e-commerce

Osnove PCI standarda za e-trgovce

Što je internetska trgovina?

Grubo rečeno, to je kada elektronički primate podatke s kartice.

- Kupac ima interakciju s vašom web trgovinom.
- Kupac koristi mobilnu aplikaciju koja šalje podatke sustavima pod vašom kontrolom.

Ako ste outsourcali svoje platforme e-trgovine, i dalje ste odgovorni za osiguravanje usklađenosti s PCI standardima.

- Treća strana s kojom surađujete možda već ima usklađenost s PCI standardima.
- Ako nisu, onda sve što rade uključeno je u vašu procjenu.

Ako imate web stranicu, postoji mnogo načina na koji se to može upravljati.

- Vi kontrolirate hardver i web stranicu.
- Koristite pružatelja usluga koji će kreirati i upravljati vašom web stranicom umjesto vas.
- Imate web trgovinu na jednoj od mnogih marketplace-ova.

Plaćanja se mogu obrađivati na nekoliko načina.

- Vaša web stranica obrađuje transakciju, a zatim detalje šalje prihvatitelju kartica.
- Vaša web stranica ne pohranjuje podatke, već ih prihvaća i zatim ih šalje na obradu prihvatitelju kartica.
- Vaša web stranica ne prihvaća podatke s kartice direktno.
- Kada kupac obavi plaćanje, vaša stranica preusmjerava unos na prihvatitelja kartica radi obrade.
- Vaša stranica nema nikakve interakcije s podacima s kartice na bilo koji način.

Što ja moram kao trgovac?

Ako niste usklađeni s PCI standardima, možete biti odgovorni za kazne koje nametnu brandovi kartičnih shema, i možda više nećemo moći obrađivati ​​plaćanja u vaše ime jer niste potvrdili svoju sigurnost u vezi s plaćanjima.

PCI DSS ima nekoliko stotina zahtjeva jer obuhvaća svaku moguću aktivnost koja je obuhvaćena ocjenom.

Za one zahtjeve koji se odnose na vaš posao, trebate postići 100% prolaznu ocjenu.

Isti standard vrijedi za sve, pojedinačni zahtjevi mogu biti označeni kao "Nije primjenjivo" ako za to postoje razlozi, ali to mora biti opravdano.

Godišnja ocjena je potvrda usklađenosti. Međutim, morate biti usklađeni stalno.

Većim subjektima (koji obrađuju više od 1 milijun transakcija godišnje) može biti potrebno da njihovu godišnju ocjenu obavi ISA ili QSA.

Manji subjekti možda mogu sami provesti procjenu bez potrebe za ISA-om ili QSA-om.

Koja osnovna načela standarda se odnose na mene?

Za manje trgovce, PCI Vijeće je stvorilo set Samoprocjenskih upitnika (SAQ) koji su usmjereni na specifične poslovne modele.

Postoje dvije alternative za trgovce s e-trgovinskim sustavima:

1) SAQ A: Trgovci koji ne primaju fizički kartice (e-trgovina ili narudžbe putem pošte/telefona) i koji su potpuno outsourcali sve funkcije vezane uz podatke nositelja kartica trećim pružateljima usluga validiranim prema PCI DSS, bez elektroničkog pohranjivanja, obrade ili prijenosa podataka nositelja kartica na sustavima ili lokacijama trgovca.

2) SAQ A EP: Trgovci e-trgovine koji su outsourcali sve procese plaćanja trećim stranama validiranim prema PCI DSS, i koji imaju web stranicu (ili više njih) koja direktno ne prima podatke nositelja kartica, ali koja može utjecati na sigurnost transakcije plaćanja. Nema elektroničkog pohranjivanja, obrade ili prijenosa podataka nositelja kartica na sustavima ili lokacijama trgovca.

Ako ni jedan od ovih opisa ne odgovara točno situaciji, tada trgovac mora koristiti SAQ D.

e-commerce

Više o pojedinačnim SAQ-ovima za trgovce elektroničkom trgovinom.

SAQ A.

Ako ispunjavate kriterije za popunjavanje SAQ-a A, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ A:

  • • Trgovci koji ne zahtijevaju prisutnost kartice (trgovci elektroničkom trgovinom ili narudžbama putem pošte/telefona) koji su potpuno outsourcali sve funkcije podataka o nositeljima kartica provjerenim od strane PCI DSS-a trećim stranama pružateljima usluga, bez elektroničkog pohranjivanja, obrade ili prijenosa bilo kakvih podataka o nositeljima kartica na sustavima ili prostorima trgovca.
  • • Kada se doseže faza plaćanja u transakciji, vaša web stranica ne obavlja nikakve funkcije, već preusmjerava nositelja kartice na vaš procesor plaćanja ili se prikazuje iFrame procesora plaćanja i svi podaci o transakciji ograničeni su na ovaj okvir.

PRIMJERI ZAHTJEVA ZA SAQ A:

  • • Nema elektroničkog pohranjivanja podataka o karticama.
  • • Sustavi su osigurani i ažurirani.
  • • Skripte učitane i izvršene u pregledniku nositelja kartice tijekom procesa plaćanja upravljaju se, kontroliraju i ovlašćuju.
  • • Vanjski skenovi ("ASV") provode se barem kvartalno.
  • • Kritične datoteke sustava na trgovčevim sustavima nadziru se i podignu se upozorenja i reagira se ako se otkrije bilo kakva promjena.

Ako ispunjavate kriterije za popunjavanje SAQ-a A EP, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ A EP:

• Trgovci s e-trgovinom koji outsourcaju sve procese plaćanja trećim stranama provjerenim od strane PCI DSS-a, te koji imaju web stranicu(e) koja ne prima izravno podatke o nositelju kartice, ali koja može utjecati na sigurnost transakcije plaćanja. Nema elektroničkog pohranjivanja, obrade ili prijenosa bilo kakvih podataka o nositeljima kartica na sustavima ili prostorima trgovca.

• Web stranica trgovca kontrolira stranicu plaćanja, ali web stranica ne obavlja nikakvu obradu, svi podaci se šalju procesoru plaćanja (npr. direktno POST).

KRITERIJI ZA SAQ A EP:

• Trgovci elektroničkom trgovinom koji outsourcaju sve procese plaćanja trećim stranama provjerenim od strane PCI DSS-a, te koji imaju web stranicu(e) koja ne prima izravno podatke o nositelju kartice, ali koja može utjecati na sigurnost transakcije plaćanja. Nema elektroničkog pohranjivanja, obrade ili prijenosa bilo kakvih podataka o nositeljima kartica na sustavima ili prostorima trgovca.

• Web stranica trgovca kontrolira stranicu plaćanja, ali web stranica ne obavlja nikakvu obradu, svi podaci se šalju procesoru plaćanja (npr. direktno POST).

Ako ne ispunjavate kriterije za sve druge SAQ-ove, tada se SAQ D i sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ D:

• Trgovci koji ne pohranjuju podatke o računima elektronički, ali ne ispunjavaju kriterije drugog tipa SAQ-a.

• Trgovci s web stranicom koja prima dolazne transakcije putem elektroničkih kanala, obrađuje ih, a zatim šalje podatke procesoru plaćanja.

• Trgovci s više kanala prihvata plaćanja.

• Trgovci koji elektronički pohranjuju podatke o računima.

• Nijedan drugi SAQ nije prikladan.

ZAHTJEVI ZA SAQ D:

SAQ D uključuje većinu zahtjeva i može zahtijevati pomoć internih ili vanjskih resursa za adekvatnu procjenu.

Koji su zahtjevi?

Standard je strukturiran u 12 odjeljaka, pri čemu svaki pokriva određeni aspekt zahtjeva.

  • Dvanaest odjeljaka standarda uvijek ostaje isto, ali svaki SAQ ima svoj unaprijed određeni broj zahtjeva.
  • Individualni zahtjevi su isti bez obzira na to koji se izvještajni predložak koristi, Izvještaj o usklađenosti ("ROC") koji koriste veći trgovci (koji procesuiraju više od 6 milijuna transakcija godišnje) uključuje ih sve, SAQ D sadrži većinu njih, dok ih SAQ P2PE sadrži vrlo malo.

OSNOVNI PRINCIPI

ODJELJCI STANDARD

Izgradite i održavajte sigurnu mrežu i sustave

1. Instalirajte i održavajte sigurnosne kontrole mreže.

2. Primijenite sigurnu konfiguraciju na sve komponente sustava.

Zaštita podataka o računima

3. Zaštitite pohranjene podatke o računima.

4. Zaštitite podatke nositelja kartica s jakom kriptografijom tijekom prijenosa preko otvorenih, javnih mreža.

Održavanje programa za upravljanje ranjivostima

5. Zaštitite sve sustave i mreže od zlonamjernog softvera.

6. Razvijajte i održavajte sigurne sustave i softver.

Implementacija snažnih mjera pristupačnosti

7. Ograničite pristup komponentama sustava i podacima nositelja kartica prema poslovnoj potrebi.

8. Identificirajte korisnike i autenticirajte pristup komponentama sustava.

9. Ograničite fizički pristup podacima nositelja kartica.

Redovito nadgledajte i testirajte mreže

10. Zabilježite i nadgledajte svaki pristup komponentama sustava i podacima nositelja kartica.

11. Redovito testirajte sigurnost sustava i mreža.

Održavanje politike informacijske sigurnosti

12. Podržite informacijsku sigurnost organizacijskim politikama i programima.

  1. SAQ-ovi jednostavno zahtijevaju da trgovac naznači je li zahtjev postavljen ili nije.
  2. Trgovac "svjedoči" da su usklađeni putem AOC-a ("Izjava o usklađenosti").
  3. Ako koristite pružatelja usluga za obavljanje nekih funkcija obuhvaćenih procjenom, tada biste trebali dobiti kopiju njihovog AOC-a kako biste dokazali da su usklađeni, budući da ne možete tvrditi da ste usklađeni ako oni nisu.
  4. AOC je važeći godinu dana. Trebali biste završiti (a ne započeti) svoju obnovu procjene do datuma isteka posljednjeg.
  5. Neke procjene zahtijevaju skeniranje koje obavlja ASV dobavljač koji bi trebao biti angažiran od strane vaše tvrtke.
  • Prođeni skenovi moraju se dobiti barem kvartalno.
  • Završna faza ASV skeniranja je vaše "svjedočenje"; ako to ne učinite, niste dovršili skeniranje.
Što je PCI?
Osnove PCI standarda za trgovce čije se poslovanje održava licem u lice na određenom prodajnom mjestu.

ASV skeniranje, Testiranje probojnosti, Sustavi za otkrivanje/preveniranje upada i Monitoring integriteta datoteka.

 Jedan ili više ovih može biti potreban za procjenu, ovisno o korištenom predlošku izvješća. Ovo su sve temeljno različite aktivnosti, kako je objašnjeno u nastavku.

ASV (Approved Scanning Vendor)

Kao dio zahtjeva PCI DSS-a, svaka entitet koja ima IP adrese na internetu (javno dostupne) mora proći sigurnosno skeniranje barem kvartalno, a skeniranje mora obaviti odobreni ASV dobavljač. Da bi prošli skeniranje, ne smije biti identificiranih sigurnosnih problema (ranjivosti) koje skeniranje nije adresiralo. Napomena: Ovo nije detaljan test probojnosti, već jednostavno traži poznate probleme s softverom i konfiguracijom kao osnovnu sigurnosnu provjeru.

Testiranje probojnosti

Iskusni ispitivač provodi skeniranje kako bi identificirao potencijalne slabosti u sustavima baš kao i ASV skeniranje, ali zatim ide korak dalje i pokušava iskoristiti te ranjivosti. Ovo je korak dalje od ASV skeniranja, ali ASV skeniranje i dalje je potrebno. Napomena: ASV skeniranje mora obaviti odobreni dobavljač naveden na web mjestu PCI vijeća. Ispitivači probojnosti nisu navedeni od strane PCI vijeća, ali moraju biti vješti i iskusni u aktivnostima.

Sustavi za otkrivanje/preveniranje upada (IDS/IPS)

Ovo su sustavi unutar vašeg okruženja koji nadgledaju mrežni promet na sličan način na koji antivirusni softver nadgleda programe i podatke. Sustavi su sposobni identificirati poznati "loš" promet i ili upozoriti ili blokirati, ovisno o implementaciji. Ovi sustavi su "uvijek uključeni" i trebaju se kontinuirano ažurirati kako bi imali najnovije podatke o prijetnjama kako bi mogli identificirati loše aktivnosti.

Monitoring integriteta datoteka (FIM)

Prati datoteke na vašem sustavu i podiže upozorenje ako su se promijenile u odnosu na poznatu "dobru" verziju. To identificira bilo kakve zlonamjerne promjene na kritičnim datotekama na vašim sustavima.

Gdje mogu pronaći više informacija?

Sve standarde sadrži PCI Security Standards Council.

Službena web stranica PCI Security Standards Council-a:

  • Preuzimanje smjernica o vrstama SAQ-a
  • Stvarni SAQ-ovi
  • Često postavljena pitanja
  • Upute za trgovce
  • Popis dobavljača/proizvoda koji su certificirani prema raznim PCI standardima PTS, ASV, P2PE
  • I još mnogo toga...
Službena web stranica PCI Security Standards Council-a Otvara se u novoj kartici
pci logo

Jedna od misija tvrtke Worldline je osigurati i podržati naše trgovce da budu usklađeni s PCI DSS standardom prema zahtjevima i propisima kartičnih shema.

Što je PCI? Osnove PCI standarda za trgovce čije se poslovanje održava licem u lice na određenom prodajnom mjestu
security