e-commerce

Osnove PCI standarda za e-trgovce

Što je internetska trgovina?

Grubo rečeno, to je kada elektronički primate podatke s kartice.

- Kupac ima interakciju s vašom web trgovinom.
- Kupac koristi mobilnu aplikaciju koja šalje podatke sustavima pod vašom kontrolom.

Ako ste outsourcali svoje platforme e-trgovine, i dalje ste odgovorni za osiguravanje usklađenosti s PCI standardima.

- Treća strana s kojom surađujete možda već ima usklađenost s PCI standardima.
- Ako nisu, onda sve što rade uključeno je u vašu procjenu.

Ako imate web stranicu, postoji mnogo načina na koji se to može upravljati.

- Vi kontrolirate hardver i web stranicu.
- Koristite pružatelja usluga koji će kreirati i upravljati vašom web stranicom umjesto vas.
- Imate web trgovinu na jednoj od mnogih marketplace-ova.

Plaćanja se mogu obrađivati na nekoliko načina.

- Vaša web stranica obrađuje transakciju, a zatim detalje šalje prihvatitelju kartica.
- Vaša web stranica ne pohranjuje podatke, već ih prihvaća i zatim ih šalje na obradu prihvatitelju kartica.
- Vaša web stranica ne prihvaća podatke s kartice direktno.
- Kada kupac obavi plaćanje, vaša stranica preusmjerava unos na prihvatitelja kartica radi obrade.
- Vaša stranica nema nikakve interakcije s podacima s kartice na bilo koji način.

Što ja moram kao trgovac?

Ako niste usklađeni s PCI standardima, možete biti odgovorni za kazne koje nametnu brandovi kartičnih shema, i možda više nećemo moći obrađivati ​​plaćanja u vaše ime jer niste potvrdili svoju sigurnost u vezi s plaćanjima.

PCI DSS ima nekoliko stotina zahtjeva jer obuhvaća svaku moguću aktivnost koja je obuhvaćena ocjenom.

Za one zahtjeve koji se odnose na vaš posao, trebate postići 100% prolaznu ocjenu.

Isti standard vrijedi za sve, pojedinačni zahtjevi mogu biti označeni kao "Nije primjenjivo" ako za to postoje razlozi, ali to mora biti opravdano.

Godišnja ocjena je potvrda usklađenosti. Međutim, morate biti usklađeni stalno.

Većim subjektima (koji obrađuju više od 1 milijun transakcija godišnje) može biti potrebno da njihovu godišnju ocjenu obavi ISA ili QSA.

Manji subjekti možda mogu sami provesti procjenu bez potrebe za ISA-om ili QSA-om.

Koja osnovna načela standarda se odnose na mene?

Za manje trgovce, PCI Vijeće je stvorilo set Samoprocjenskih upitnika (SAQ) koji su usmjereni na specifične poslovne modele.

Postoje dvije alternative za trgovce s e-trgovinskim sustavima:

1) SAQ A: Trgovci koji ne primaju fizički kartice (e-trgovina ili narudžbe putem pošte/telefona) i koji su potpuno outsourcali sve funkcije vezane uz podatke nositelja kartica trećim pružateljima usluga validiranim prema PCI DSS, bez elektroničkog pohranjivanja, obrade ili prijenosa podataka nositelja kartica na sustavima ili lokacijama trgovca.

2) SAQ A EP: Trgovci e-trgovine koji su outsourcali sve procese plaćanja trećim stranama validiranim prema PCI DSS, i koji imaju web stranicu (ili više njih) koja direktno ne prima podatke nositelja kartica, ali koja može utjecati na sigurnost transakcije plaćanja. Nema elektroničkog pohranjivanja, obrade ili prijenosa podataka nositelja kartica na sustavima ili lokacijama trgovca.

Ako ni jedan od ovih opisa ne odgovara točno situaciji, tada trgovac mora koristiti SAQ D.

e-commerce

Više o pojedinačnim SAQ-ovima za trgovce elektroničkom trgovinom.

SAQ A.

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ A to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ A:

  • - Organizacje typu „Card-Not-Present” (e-commerce lub zamówienia pocztowe/telefoniczne), które całkowicie powierzyły wszystkie funkcje danych posiadaczy kart zatwierdzonym przez PCI DSS dostawcom usług zewnętrznych, bez elektronicznego przechowywania, przetwarzania lub transmisji jakichkolwiek danych posiadaczy kart w systemie organizacji lub na jego terenie.
  • - Podczas ostatniego etapu płatności Twoja strona internetowa nie wykonuje żadnej z tego typu funkcji - albo przekierowuje posiadaczy kart do twojego procesora płatności albo wyświetlana jest tzw: ramka płatności „iFrame” procesora płatności i wszystkie dane transakcyjne są ograniczone tylko do tej ramki.

Przykłady wymagania dla kwestionariusza typu SAQ A:

  • - Brak elektronicznego przechowywania danych kart.
  • - Systemy są zabezpieczone i aktualizowane.
  • - Skrypty ładowane i wykonywane w przeglądarce posiadacza karty. Podczas procesu płatności są zarządzane, kontrolowane i autoryzowane.
  • - Zewnętrzne skany podatności („ASV”) przeprowadzane są co najmniej raz na kwartał.
  • - Krytyczne pliki systemowe na systemach sprzedawcy są monitorowane, a w przypadku wykrycia jakiejkolwiek zmiany podnoszone są alarmy i podejmowane są odpowiednie działania.

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ A-EP to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ A-EP:

- Organizacje e-commerce, które powierzyły całą obsługę płatności zatwierdzonym przez PCI DSS stronom trzecim i które nie posiadają strony internetowej bezpośrednio odbierającej dane posiadaczy kart, ale mogą przetwarzać lub transmitować dane posiadaczy kart w systemach sprzedawcy lub na jego terenie.

- Strona internetowa Twojej organizacji kontroluje stronę płatności, ale sama strona nie wykonuje żadnych operacji przetwarzania. Wszystkie dane są wysyłane do procesora płatności (na przykład za pomocą metody POST).

Przykłady wymagań dla kwestionariusza typu SAQ A-EP:

- Brak elektronicznego przechowywania danych kart.

- Systemy są zabezpieczone i aktualizowane.

- Oprogramowanie antywirusowe jest wdrażane tam gdzie jest to konieczne.

- Oprogramowanie jest rozwijane i aktualizowane w sposób bezpieczny.

- Skrypty łądowane Ładowane i wykonywane w przeglądarce posiadacza karty podczas procesu płatności są zarządzane, kontrolowane i autoryzowane.

- Od 2024 roku wdrażana jest techniczna metoda wykrywania i zapobiegania atakom opartym na sieci web.

- Dostęp do systemów jest ograniczony i zabezpieczony.

- Aktywność użytkownika i zdarzenia systemowe są rejestrowane i przechowywane.

- Zewnętrzne skanypodatności ASV przeprowadzane są co najmniej raz na kwartał.

- Testy penetracyjne są wykonywane co najmniej raz w roku.

- Wdrażane są systemy wykrywania i zapobiegania intruzjom, aby ostrzegać i/lub zapobiegać nieautoryzwanemu dostępowi.

- Krytyczne pliki systemowe w organizacji są monitorowane, aby podczas jakiejkolwiek zmiany pojawiał się alert – (FIM – File Integrity Monitoring) Monitorowanie Integralności Plików.

Jeśli nie spełniasz kryteriów dla wszystkich wymienionych Kwestionariuszy SAQ wówczas musisz zastosować Kwestionariusz SAQ D w Twojej organizacji:

Kryteria dla SAQ D:

- Organizacje, które nie przechowują elektronicznie danych kart płatniczych, ale nie spełniają kryteriów dla innego typu SAQ.

- Organizacja posiadające stronę internetową, która przyjmuje transakcje poprzez elektroniczne kanały płatności, przetwarza je, a następnie przekazuje te dane do procesora płatności.

- Organizacje dysponujące wieloma kanałami akceptacji płatności.

- Organizacje, które elektronicznie przechowują dane kart płatniczych.

- Nie ma innego odpowiedniego Kwestionariusza SAQ.

Przykłady wymagania dla kwestionariusza typu SAQ D:

SAQ D obejmuje większość wymagań i w tym przypadku może zaisnieć potrzeba wsparcia wewnętrznego lub zewnętrznego audytora w celu odpowiedniego przetestowania.

Koji su zahtjevi?

Standard je strukturiran u 12 odjeljaka, pri čemu svaki pokriva određeni aspekt zahtjeva.

  • Dvanaest odjeljaka standarda uvijek ostaje isto, ali svaki SAQ ima svoj unaprijed određeni broj zahtjeva.
  • Individualni zahtjevi su isti bez obzira na to koji se izvještajni predložak koristi, Izvještaj o usklađenosti ("ROC") koji koriste veći trgovci (koji procesuiraju više od 6 milijuna transakcija godišnje) uključuje ih sve, SAQ D sadrži većinu njih, dok ih SAQ P2PE sadrži vrlo malo.

OSNOVNI PRINCIPI

ODJELJCI STANDARD

Izgradite i održavajte sigurnu mrežu i sustave

1. Instalirajte i održavajte sigurnosne kontrole mreže.

2. Primijenite sigurnu konfiguraciju na sve komponente sustava.

Zaštita podataka o računima

3. Zaštitite pohranjene podatke o računima.

4. Zaštitite podatke nositelja kartica s jakom kriptografijom tijekom prijenosa preko otvorenih, javnih mreža.

Održavanje programa za upravljanje ranjivostima

5. Zaštitite sve sustave i mreže od zlonamjernog softvera.

6. Razvijajte i održavajte sigurne sustave i softver.

Implementacija snažnih mjera pristupačnosti

7. Ograničite pristup komponentama sustava i podacima nositelja kartica prema poslovnoj potrebi.

8. Identificirajte korisnike i autenticirajte pristup komponentama sustava.

9. Ograničite fizički pristup podacima nositelja kartica.

Redovito nadgledajte i testirajte mreže

10. Zabilježite i nadgledajte svaki pristup komponentama sustava i podacima nositelja kartica.

11. Redovito testirajte sigurnost sustava i mreža.

Održavanje politike informacijske sigurnosti

12. Podržite informacijsku sigurnost organizacijskim politikama i programima.

  1. SAQ-ovi jednostavno zahtijevaju da trgovac naznači je li zahtjev postavljen ili nije.
  2. Trgovac "svjedoči" da su usklađeni putem AOC-a ("Izjava o usklađenosti").
  3. Ako koristite pružatelja usluga za obavljanje nekih funkcija obuhvaćenih procjenom, tada biste trebali dobiti kopiju njihovog AOC-a kako biste dokazali da su usklađeni, budući da ne možete tvrditi da ste usklađeni ako oni nisu.
  4. AOC je važeći godinu dana. Trebali biste završiti (a ne započeti) svoju obnovu procjene do datuma isteka posljednjeg.
  5. Neke procjene zahtijevaju skeniranje koje obavlja ASV dobavljač koji bi trebao biti angažiran od strane vaše tvrtke.
  • Prođeni skenovi moraju se dobiti barem kvartalno.
  • Završna faza ASV skeniranja je vaše "svjedočenje"; ako to ne učinite, niste dovršili skeniranje.
Što je PCI?
Osnove PCI standarda za trgovce čije se poslovanje održava licem u lice na određenom prodajnom mjestu.

ASV skeniranje, Testiranje probojnosti, Sustavi za otkrivanje/preveniranje upada i Monitoring integriteta datoteka.

 Jedan ili više ovih može biti potreban za procjenu, ovisno o korištenom predlošku izvješća. Ovo su sve temeljno različite aktivnosti, kako je objašnjeno u nastavku.

ASV (Approved Scanning Vendor)

Kao dio zahtjeva PCI DSS-a, svaka entitet koja ima IP adrese na internetu (javno dostupne) mora proći sigurnosno skeniranje barem kvartalno, a skeniranje mora obaviti odobreni ASV dobavljač. Da bi prošli skeniranje, ne smije biti identificiranih sigurnosnih problema (ranjivosti) koje skeniranje nije adresiralo. Napomena: Ovo nije detaljan test probojnosti, već jednostavno traži poznate probleme s softverom i konfiguracijom kao osnovnu sigurnosnu provjeru.

Testiranje probojnosti

Iskusni ispitivač provodi skeniranje kako bi identificirao potencijalne slabosti u sustavima baš kao i ASV skeniranje, ali zatim ide korak dalje i pokušava iskoristiti te ranjivosti. Ovo je korak dalje od ASV skeniranja, ali ASV skeniranje i dalje je potrebno. Napomena: ASV skeniranje mora obaviti odobreni dobavljač naveden na web mjestu PCI vijeća. Ispitivači probojnosti nisu navedeni od strane PCI vijeća, ali moraju biti vješti i iskusni u aktivnostima.

Sustavi za otkrivanje/preveniranje upada (IDS/IPS)

Ovo su sustavi unutar vašeg okruženja koji nadgledaju mrežni promet na sličan način na koji antivirusni softver nadgleda programe i podatke. Sustavi su sposobni identificirati poznati "loš" promet i ili upozoriti ili blokirati, ovisno o implementaciji. Ovi sustavi su "uvijek uključeni" i trebaju se kontinuirano ažurirati kako bi imali najnovije podatke o prijetnjama kako bi mogli identificirati loše aktivnosti.

Monitoring integriteta datoteka (FIM)

Prati datoteke na vašem sustavu i podiže upozorenje ako su se promijenile u odnosu na poznatu "dobru" verziju. To identificira bilo kakve zlonamjerne promjene na kritičnim datotekama na vašim sustavima.

Gdje mogu pronaći više informacija?

Sve standarde sadrži PCI Security Standards Council.

Službena web stranica PCI Security Standards Council-a:

  • Preuzimanje smjernica o vrstama SAQ-a
  • Stvarni SAQ-ovi
  • Često postavljena pitanja
  • Upute za trgovce
  • Popis dobavljača/proizvoda koji su certificirani prema raznim PCI standardima PTS, ASV, P2PE
  • I još mnogo toga...
Službena web stranica PCI Security Standards Council-a Otvara se u novoj kartici
pci logo

Jedna od misija tvrtke Worldline je osigurati i podržati naše trgovce da budu usklađeni s PCI DSS standardom prema zahtjevima i propisima kartičnih shema.

Što je PCI? Osnove PCI standarda za trgovce čije se poslovanje održava licem u lice na određenom prodajnom mjestu
security