pci security

Što je PCI?

Kako se primjenjuje na moje poslovanje?

O PCI-u i njegovim standardima.

PCI označava Payment Card Industry, što je zapravo skraćenica za Payment Card Industry Security Standards Council (PCI SSC). Ova organizacija upravlja brojnim standardima koji obuhvaćaju platnu industriju. PCI DSS je globalni sigurnosni standard za podatke o karticama i primjenjuje se na sve tvrtke i organizacije.

  1. PCI SSC je u vlasništvu nekih od glavnih brandova koji se bave plaćanjima i osnovano je kako bi uspostavilo i upravljalo sigurnosnim standardima koji obuhvaćaju širok spektar aktivnosti povezanih s procesuiranjem kartičnih plaćanja.
  2. Najvažniji standardi za vaše poslovanje su:
  • Data Security Standard (PCI DSS): Često se termin "PCI" koristi za upućivanje na ovaj standard. Pokriva okruženja i sustave subjekata koji pohranjuju, obrađuju ili prenose podatke o karticama, što uključuje sve trgovce.
  • Pin Transaction Security (PCI PTS): Standard koji pokriva hardver koji se koristi za primanje kartičnih plaćanja licem u lice. Trgovci mogu koristiti samo platne terminale koji su certificirani prema PTS-u.
  • Point to Point Encryption (P2PE): Pokriva rješenja koja koriste trgovci licem u lice i koja značajno mogu smanjiti zahtjeve za usklađenost s PCI standardima.
  • Approved Scanning Vendor (ASV): Entiteti koji pružaju usluge skeniranja za provjeru sigurnosti.
card payment
card payment and coffee

Što moram učiniti kao trgovac?

Standard kojeg se svi moraju pridržavati je DSS (PCI DSS, "Standard za sigurnost podataka u industriji platnih kartica").

  1. Obavezni ste biti usklađeni 24 sata dnevno, 7 dana u tjednu, 365 dana u godini.
  2. Morate potvrditi svoju usklađenost svake godine.
  3. Morate potvrditi svoju usklađenost čak i ako ste sve svoje aktivnosti outsourcali trećoj strani.
  4. Ako outsourcate bilo koji dio soje aktivnosti koji je obuhvaćen procjenom, tada se vaša procjena ili:
  • Proširuje kako bi obuhvatila aktivnosti koje treća strana obavlja

      ili

  • Treća strana provodi vlastitu procjenu i pruža vam dokaz da je obuhvatila sve što rade za vas.
  • PCI DSS ima nekoliko stotina zahtjeva budući da obuhvaća svaku moguću aktivnost koja je obuhvaćena procjenom.
  • Zahtjevi koji se odnose na vaše poslovanje moraju imati ocjenu 100% uspješnosti.
  • Isti standard primjenjuje se na sve, individualni zahtjevi mogu biti označeni kao "Nije primjenjivo" ako postoje osnove za to, ali to mora biti opravdano.
  • Nedostatak dokaza usklađenosti može rezultirati financijskim kaznama koje će nametnuti brandovi kartica, a koje će se prenijeti na vas.
  • Većim subjektima (koji procesuiraju više od 1 milijun transakcija godišnje) može biti potrebno da njihovu godišnju procjenu izvede certificirani ocjenjivač (interni ocjenjivač sigurnosti ("ISA") ili vanjski ("QSA")).
  • Manji subjekti možda mogu sami provesti procjenu bez potrebe za ISA ili QSA.
  • Godišnja procjena je potvrda usklađenosti koje morate ispunjavati 365 dana u godini.

Upitnici za samoprocjenu u PCI DSS-u.

PCI vijeće (PCI SSC) priznaje da postoji nekoliko slučajeva upotrebe u kojima se primjenjuje samo ograničeni podskup zahtjeva.

  • Isti podskup zahtjeva vrijedi za sve subjekte koji primaju plaćanja samo putem certificiranog terminala povezanog na internetu prilikom transakcija licem u lice.
  • Drugi podskup zahtjeva vrijedi za subjekte koji imaju web stranicu, ali su outsourcali sve svoje funkcije plaćanja trećoj strani koja je PCI certificirana. 

Postoje skupovi Upitnika za samoprocjenu ("SAQ-ovi") koje je osigurao PCI SSC, a koji uključuju samo one zahtjeve koji bi se primjenjivali u određenim situacijama.

Kako rukovati SAQ-ovima?

  • Jednostavno identificirajte koji opis SAQ-a točno odgovara vašoj aktivnosti obrade ili rukovanja karticama.
  • Otvorite dokument.
  • Odgovorite na pitanja.
  • Da biste prošli procjenu, morate odgovoriti na sve zahtjeve (bilo da su već važeći ili imate legitimni razlog reći da nije primjenjivo).
  • Ispunite dokument o izjavi i dostavite ga vašem prihvatitelju kartica.

Važno za vašeg prihvatitelja kartica:

  1. Nastavite ispunjavati zahtjeve svaki dan sljedećih 12 mjeseci.
  2. Obnovite svoju procjenu i ponovno krenite na korak 1.
Dodatne informacije o različitim vrstama SAQ-ova pronađite u smjernicama PCI SSC-a (stranice 4 i 5). Otvara se u novoj kartici

Koji su zahtjevi?

Standard je strukturiran u 12 odjeljaka, pri čemu svaki pokriva određeni aspekt zahtjeva.

  • Dvanaest odjeljaka standarda uvijek ostaje isto, ali svaki SAQ ima svoj unaprijed određeni broj zahtjeva.
  • Individualni zahtjevi su isti bez obzira na to koji se izvještajni predložak koristi, Izvještaj o usklađenosti ("ROC") koji koriste veći trgovci (koji procesuiraju više od 6 milijuna transakcija godišnje) uključuje ih sve, SAQ D sadrži većinu njih, dok ih SAQ P2PE sadrži vrlo malo.

OSNOVNI PRINCIPI

ODJELJCI STANDARD

Izgradite i održavajte sigurnu mrežu i sustave

1. Instalirajte i održavajte sigurnosne kontrole mreže.

2. Primijenite sigurnu konfiguraciju na sve komponente sustava.

Zaštita podataka o računima

3. Zaštitite pohranjene podatke o računima.

4. Zaštitite podatke nositelja kartica s jakom kriptografijom tijekom prijenosa preko otvorenih, javnih mreža.

Održavanje programa za upravljanje ranjivostima

5. Zaštitite sve sustave i mreže od zlonamjernog softvera.

6. Razvijajte i održavajte sigurne sustave i softver.

Implementacija snažnih mjera pristupačnosti

7. Ograničite pristup komponentama sustava i podacima nositelja kartica prema poslovnoj potrebi.

8. Identificirajte korisnike i autenticirajte pristup komponentama sustava.

9. Ograničite fizički pristup podacima nositelja kartica.

Redovito nadgledajte i testirajte mreže

10. Zabilježite i nadgledajte svaki pristup komponentama sustava i podacima nositelja kartica.

11. Redovito testirajte sigurnost sustava i mreža.

Održavanje politike informacijske sigurnosti

12. Podržite informacijsku sigurnost organizacijskim politikama i programima.

  1. SAQ-ovi jednostavno zahtijevaju da trgovac naznači je li zahtjev postavljen ili nije.
  2. Trgovac "svjedoči" da su usklađeni putem AOC-a ("Izjava o usklađenosti").
  3. Ako koristite pružatelja usluga za obavljanje nekih funkcija obuhvaćenih procjenom, tada biste trebali dobiti kopiju njihovog AOC-a kako biste dokazali da su usklađeni, budući da ne možete tvrditi da ste usklađeni ako oni nisu.
  4. AOC je važeći godinu dana. Trebali biste završiti (a ne započeti) svoju obnovu procjene do datuma isteka posljednjeg.
  5. Neke procjene zahtijevaju skeniranje koje obavlja ASV dobavljač koji bi trebao biti angažiran od strane vaše tvrtke.
  • Prođeni skenovi moraju se dobiti barem kvartalno.
  • Završna faza ASV skeniranja je vaše "svjedočenje"; ako to ne učinite, niste dovršili skeniranje.
Osnove PCI standarda za e-trgovce
Osnove PCI standarda za trgovce čije se poslovanje održava licem u lice na određenom prodajnom mjestu.
man with tablet

Gdje mogu pronaći više informacija?

 

Sve standarde sadrži Vijeće standarda sigurnosti industrije platnih kartica (PCI Security Standards Council).

Što možete pronaći na web stranici vijeća?

  • • Preuzimanje vodiča o vrstama SAQ-a
  • • Stvarni SAQ-ovi
  • • Često postavljana pitanja
  • • Smjernice za trgovce
  • • Popisi prodavača/proizvoda koji su certificirani prema različitim PCI standardima: PTS, ASV, P2PE
  • • I još mnogo toga...
Službena stranica PCI Security Standards Council-a Otvara se u novoj kartici

Jedna od misija tvrtke Worldline je osigurati i podržati naše trgovce da budu usklađeni s PCI DSS standardom prema zahtjevima i propisima kartičnih shema.

Osnove PCI standarda za e-trgovce Osnove PCI standarda za trgovce čije se poslovanje održava licem u lice na određenom prodajnom mjestu
security