pci security

Czym jest PCI?

Jakie ma znaczenie dla mojej organizacji?

O PCI i jego standardach

PCI to skrót od “Payment Card Industry”, a pełna nazwa „Payment Card Industry Security Standard Council” (PCI SSC) odnosi się do organizacji, która zarządza standardami związanymi z bezpieczeństwem płatności kartowych. PCI to globalny standard bezpieczeństwa danych kartowych, który jest wymagany od wszystkich firm i organizacji przetwarzających, przechowujących lub transmitujących dane kart płatniczych. 

  1. Rada Bezpieczeństwa PCI SSC powstała we wspołpracy kilku głównych marek płatniczych i została stworzona w celu ustanawiania i zarządzania standardami bezpieczeństwa obejmującymi szeroki zakres działań związanych z przetwarzaniem płatności kartowych.
  2. Kluczowe standardy dla twojego biznesu to:
  • Standard Bezpieczeństwa Danych (PCI DSS – Payment Card Industry Data Security Standard): Jest to kompleksowy standard wymagany od wszystkich organizacji oraz firm przetwarzających, przechowujących lub transmitujących dane kart płatnicznych. Obejmuje on środowiska i systemy tych podmiotów.
  • Bezpieczeństwo Transakcji Płatnicznych przy użyciu PIN-u (PCI PTS – Payment Card Industry Pin Transaction Security): standard ten dotyczy sprzętu używanego do przeprowadzania płatności kartami z użyciem kodu PIN. Sprzedawcy są zobowiązani do korzystania z terminali płatniczych certyfikowanych zgodnie z PTS.
  • Szyfrowanie Punkt-Punkt (P2PE – Point to Point Encryption): odnosi się do rozwiązań szyfrowania stosowanych w transakcjach bezpośrednich, które mogą znacząco zmniejszyć zakres wymagań PCI dla użytkowników.
  • Zatwierdzony Dostawca Usług Skanowania (ASV – Approved Scanning Vendor): to firmy dostarczające usługi skanowania podatności sieci, które pomagają w spełnieniu wymagań PCI. 
card payment
card payment and coffee

Co jest wymagane od organizacji przyjmującej płatności kartami?

Standardem, który musi być przestrzegany przez wszystkich jest DSS (PCI DSS, „Payment Card Industry Data Security Standard).

  1. Jesteś zobowiązany do zachowania zgodności 24/7/365.
  2. Jesteś zobowiązany do corocznego potwierdzania swojej zgodności.
  3. Musisz potwierdzić swoją zgodność, nawet jeśli zleciłeś wszystkie swoje działania podmiotom zewnętrznym.
  4. Jeśli zlecasz na zewnątrz jakąkolwiek część swojej działalności, która podlega ocenie, wówczas twoja ocena musi albo:
  • zostać rozszerzona aby objęła działalność wykonywaną przez stronę trzecią

        lub

  • strona trzecia przeprowadza własną ocenę i dostarcza ci dowód, że objęła wszystko, co wykonuje dla ciebie.
  • PCI DSS obejmuje kilkaset wymagań, ponieważ dotyczy każdej możliwej aktywności, która podlega ocenie.
  • Dla tych wymagań, które dotyczą Twojej organizacji, potrzebujesz wyniku na poziomie 100% zgodności.
  • Ten sam standard dotyczy wszystkich, ale poszczególne wymagania mogą być oznaczone jako „Nie dotyczy”, jeśli istnieją ku temu podstawy, jednak te wymagania muszą zostać odpowiednio uzasadnione.
  • Brak zgodności może skutkować nałożeniem kar finansowych przez wydawców kart, które zostaną przekazane Tobie.
  • Większe podmioty (przetwarzające ponad 1 milion transakcji rocznie) mogą być zobowiązane do przeprowadzenia corocznej oceny przez certyfikowanego audytora wewnętrznego tzw: („Internal Security Assessor”) lub audytora zewnętrznego tzw: („Qualified Security Assessor”).
  • Mniejsze podmioty mogą mieć możliwość samodzielnej oceny bez konieczności angażownia ISA lub QSA.
  • Coroczna ocena to weryfikacja wymagań zgodności, które musisz spełniać przez 365 dni w roku.

Kwestionariusz samooceny w PCI DSS

Rada PCI (PCI SSC) uznaje, że isnieje wiele przypadków użycia, w których stosuje się tylko ograniczony podzbiór wymagań.

  • Ten sam zestaw określonych wymagań dotyczy wszystkich podmiotów, które przyjmują płatności wyłącznie za pomocą certyfikowanego terminala połączonego z internetem w traksakcji bezpośredniej.
  • Inny zestaw określonych wymagań dotyczy podmiotów, które posiadają stronę internetową, ale zleciły wszystkie swoje funkcje płatnicze certyfikowanej przez PCI stronie trzeciej.

Isnieje zestaw Kwestionariuszy Samooceny („SAQ”) udostępnionych przez PCI SSC, które zawierają tylko te wymagania, które mają zastosowanie do szeregu określonych sytuacji.

Jak postępować z Kwestorianuszami Samooceny (SAQ)?

  • Wystarczy zidentyfikować, który opis SAQ dokładnie odpowiada Twojej działalności związanej z przetwarzaniem lub obsługą kart.
  • Otwórz dokument.
  • Odpowiedz na pytania.
  • Do pomyślnej oceny niezbędne jest udzielenie odpowiedzi na wszystkie wymagania – zarówno te „Zaimplementowane”, jak i te, dla których isnieje uzasadniony powód uznania ich za nieodpowiednie.
  • Wypełnij dokument poświadczenia i dostarcz go swojemu dostawcy usług płatnicznych.

Ważne dla Twojego dostawcy usług płatniczych:

  1. Kontynuj spełnianie wymagań każdego dnia przez kolejne 12 miesięcy.
  2. Odnów swoją ocenę i wróć do kroku pierwszego.
Dodatkowe informacje na temat różnych typów SAQ w wytycznych PCI SSC (strona 4-5) Otwiera się w nowej karcie

Jakie są wymagania?

Standard jest podzielony na 12 sekcji, z których każda obejmuje konkretny aspekt wymagań.

  • Dwanaście sekcji standardu pozostaje niezmienne, jednak każdy Kwestionariusz Samooceny (SAQ) posiada określoną z góry liczbę wymagań.
  • Poszczególne wymagania są takie same, niezależnie od użytego szablonu raportowania. Raport z Oceny Zgodności („ROC – Report of Compliance”), używany przez większe organizacje (przetwarzające ponad 6 milionów transakcji rocznie), zawiera wszystkie z nich. SAQ D obejmuje większość z nich. SAQ P2PE zawiera tylko małą ich część.

PODSTAWOWE ZASADY

SEKCJE STANDARDU

Buduj i utrzymuj bezpieczną sieć oraz systemy. 

1. Instaluj i utrzymuj środki kontroli bezpieczeństwa sieci

2. Zastosuj bezpieczną konfigurację dla wszystkich komponentów systemu

Chroń dane posiadaczy kart.

3. Chroń przechowywane dane posiadaczy kart płatniczych.

4. Zabezpiecz dane posiadaczy kart za pomocą silnej kryptografii podczas transmisji przez otwarte sieci publiczne.

Utrzymuj program zarządzania podatnościami.

5. Chroń wszystkie systemy i sieci przed złośliwym oprogramowaniem.

6. Opracuj i utrzymuj bezpieczne systemy i oprogramowanie

Wprowadź silne środki ochrony dostępu.

7. Ogranicz dostęp do składników systemu i danych posiadacza kart wyłącznie do niezbędnego minimum, zgodnie z zasadą "wiedzy niezbędnej"dla prawidłowego funkcjonowania biznesu.

8. Identyfikuj użytkownika i uwierzytelniaj dostęp do składników systemu.

9. Ogranicz fizyczny dostęp do danych posiadaczy kart.

Regularnie monitoruj i testuj sieci internetowe.

10. Rejestruj i monitoruj wszystkie dostępy do składników systemu i danych posiadaczy kart.

11. Regularnie testuj bezpieczeństwo systemów i sieci.

Utrzymuj Politykę Bezpieczeństwa informacji.

12. Wspieraj bezpieczeństwo informacji za pomocą wdrażania odpowiednich polityk i programów organizacyjnych.

  • Kwestionariusze SAQ wymagają jedynie, aby Twoja organizacjia wskazała, czy wymóg został spełniony, czy nie.
  • Sprzedawca poświadcza swoją zgodność poprzez („AOC – Attestation of Compliance”) – Poświadczenie Zgodności.
  • Jeśli korzystasz z usług dostawcy do realizacji niektórych fukcji objętych oceną, powinieneś uzyskać kopię AOC, aby potwierdzić ich zgodność, ponieważ nie możesz deklarować własnej zgodności, jeśli dostawca nie jest zgodny.
  • AOC jest ważne przez rok. Należy zakończyć (nie rozpoczynać) odnawiającą ocenę zgodności przed upływem terminu ważności poprzedniej.
  • Niektóre oceny wymagają skanów podatności wykonanych przez dowolnego dostawcę „ASV – Approved Scanning Vendor”, z którym powinna zawrzeć umowę Twoja organizacja.
    • Skany z wynikiem pozytywnym muszą być uzyskiwane co najmniej raz na kwartał.
    • Ostatecznym etapem każdego skanu ASV jest Twoje „poświadczenie” go. Jeśli tego nie zrobisz, będzie to oznaczać, że Twoja organizacja nie ukończyła skanu.
Podstawy PCI w e-commerce
Podstawy PCI dla organizacji obsługujących klientów osobiście
man with tablet

Gdzie mogę znaleźć więcej informacji?

 

Wszystkie standardy są utrzymywane przez Radę Standardów Bezpieczeństwa PCI (PCI Security Standard Council).

Co można znaleźć na stronie PCI SSC:

  • · Pobieralne kopie wytycznych dotyczących typów SAQ.
  • · Aktualne SAQ.
  • · Często zadawane pytania.
  • · Poradniki dla biznesu.
  • · Listy dostawców/produktów, które zostały certyfikowane zgodnie z różnymi standardami PCI: PTS, ASV, P2PE
  • · i więcej...
Oficjalna strona Rady Standardów Bezpieczeństwa PCI Otwiera się w nowej karcie

Jednym z zadań Worldline jest zapewnienie i wsparcie naszych klientów w zachowaniu zgodności z PCI DSS, z wymaganiami i regulacjami systemów płatniczych.

Podstawy PCI w e-commerce Podstawy PCI dla organizacji obsługujących klientów osobiście
security