e-commerce

Osnove PCI standarda za trgovce čije se poslovanje održava licem u lice na određenom prodajnom mjestu

Što znači "licem u lice" ili "uživo"?

Ne uključuje:

- Transakcije obavljene putem web stranice ili trgovine elektroničkom trgovinom "vlasništvo" trgovca (čak i ako je pružena od treće strane) bez obzira tko unese broj kartice. 

- Plaćanja obavljena putem mobilne aplikacije na uređaju nositelja kartice.

Uključuje:

- Nositelj kartice predstavlja ili fizičku karticu ili svoj telefon/sat/tablet na kojem drži karticu u mobilnom novčaniku.

- Plaćanje se obrađuje korištenjem uređaja pod kontrolom trgovca - na primjer, platnog terminala (samostalnog, pričvršćenog na POS platformu ili telefona/tableta).

- To uključuje i situaciju u kojoj trgovac prima plaćanje unosom detalja kartice izravno na web stranicu koju pruža njihov pružatelj usluga plaćanja - "virtualni terminal" (više o tome kasnije).

Što moram učiniti kao trgovac?

Ako niste usklađeni s PCI standardima, možete biti podložni kaznama koje propisuju brendovi kartica, i možda više nećemo moći obrađivati plaćanja u vaše ime jer niste potvrdili svoju sigurnost u vezi s plaćanjima.

PCI DSS ima nekoliko stotina zahtjeva jer pokriva svaku moguću aktivnost koja je obuhvaćena procjenom

Za one zahtjeve koji se primjenjuju na vaše poslovanje potreban vam je 100% prolazni rezultat

Isti standard se primjenjuje na sve, pojedinačni zahtjevi mogu se označiti kao "Nije primjenjivo" ako postoji opravdanje, ali ta opravdanja moraju biti opravdana

Veće organizacije (koje obrađuju preko 1 milijun transakcija godišnje) možda će biti obavezne da godišnju procjenu obavi ISA ili QSA

Manje organizacije možda će moći samostalno procijeniti bez potrebe za ISA ili QSA.

Godišnja procjena je potvrda usklađenosti. Međutim, morate biti usklađeni u svakom trenutku

Koji od osnovnih principa standarda se primjenjuju na mene?

Za manje trgovce, PCI Council je kreirao set Upitnika za samoprocjenu (SAQ) koji su usmjereni na specifične poslovne modele.

Pogledajte zahtjeve koji se odnose na plaćanja licem u lice u nastavku:

SAQ B: Trgovci koji koriste samo uređaje za otisak s nikakvim pohranjenim elektroničkim podacima nositelja kartice i/ili samostalne terminale s biranim pozivom bez pohranjenih elektroničkih podataka nositelja kartice.

SAQ B IP: Trgovci koji koriste samo samostalne, PTS odobrene platne terminale s IP vezom prema procesoru plaćanja, bez pohranjenih elektroničkih podataka nositelja kartice.

SAQ C VT: Trgovci koji ručno unose pojedinačne transakcije putem tipkovnice u internetsko rješenje virtualnog terminala koje pruža i hosta treća strana koja je certificirana prema PCI DSS standardima. Nema pohranjenih elektroničkih podataka nositelja kartice.

SAQ C: Trgovci s plaćenim aplikacijskim sustavima povezanim s internetom, bez pohranjenih elektroničkih podataka nositelja kartice.

SAQ P2PE HW: Trgovci koji koriste samo hardverske platne terminale koji su uključeni i upravljani putem validiranog, PCI SSC listiranog P2PE rješenja, bez pohranjenih elektroničkih podataka nositelja kartice.

SAQ SPoC: Trgovci koji koriste komercijalne mobilne uređaje (npr. telefon ili tablet) s sigurnim čitačem kartica uključenim na PCI SSC-ovom popisu validiranih SPoC rješenja. Nema pristupa podacima o računu u čistom tekstu i nema pohrane elektroničkih podataka o računu.

Ako niti jedan od ovih ne opisuje točnu situaciju, tada trgovac mora koristiti SAQ D.

e-commerce

Više o pojedinačnim SAQ-ovima za trgovce koji posluju licem u lice:

Ako ispunjavate kriterije za popunjavanje SAQ B, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ B:

  • • Trgovci koji koriste samo uređaje za otisak bez pohranjenih elektroničkih podataka o nositeljima kartica i/ili samostalne, birane pozivne terminale bez pohranjenih elektroničkih podataka o nositeljima kartica.
  • • MORAJU biti povezani putem telefonske linije i NE putem interneta.
  • • NEMA pohrane podataka o kartici.

PRIMJER ZAHTJEVA ZA SAQ B:

Nadgledanje i pregledavanje vaših platnih terminala, osposobljavanje osoblja za obavljanje inspekcija.

Ako ispunjavate kriterije za popunjavanje SAQ B IP, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ B IP:

• Trgovci koji koriste samo samostalne, PTS odobrene platne terminale s IP vezom prema procesoru plaćanja, bez pohranjenih elektroničkih podataka o nositeljima kartica.

• Platni terminali su povezani putem mreže s procesorom, ali nisu povezani s drugim sustavima unutar okruženja trgovca i ne ovise o drugim uređajima (npr. računalo, mobilni telefon, tablet itd.) za povezivanje s procesorom plaćanja.

• NEMA pohrane elektroničkih podataka o kartici.

PRIMJERI ZAHTJEVA ZA SAQ B:

• Platni terminali su certificirani prema PTS standardu.

• Sigurno upravljanje mrežama i sustavima.

• Nadgledanje i pregledavanje platnih terminala, osposobljavanje osoblja za izvođenje inspekcija.

• Izvođenje ASV skeniranja (certificirani skenovi ranjivosti) kvartalno na svim IP adresama koje su izložene internetu.

Ako ispunjavate kriterije za popunjavanje SAQ C VT, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ C VT:

• Trgovci koji ručno unose pojedinačnu transakciju putem tipkovnice u virtualnoj terminalnoj rješenju koje je dostavljeno i hostirano od strane treće strane usluge koja je validirana prema PCI DSS standardu.

• NEMA pohrane elektroničkih podataka o nositelju kartice.

• Koristi se samo stranica za plaćanje koju je pružio dobavljač i pristupljeno joj putem preglednika.

• PC koji se koristi nije povezan s drugim sustavima.

• Jedna transakcija odjednom, nema prijenosa datoteka ili grupne obrade.

• NEMA drugih metoda prihvata plaćanja.

• NEMA pohrane podataka o kartici.

PRIMJERI ZAHTJEVA ZA SAQ C VT:

• Sigurno upravljanje mrežama i sustavima.

• Instalacija i održavanje antivirusnog softvera na svim odgovarajućim sustavima.

Ako ispunjavate kriterije za popunjavanje SAQ C, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ C:

• Trgovci s plaćenim aplikacijskim sustavima povezanim s internetom, bez pohranjenih elektroničkih podataka o nositeljima kartica.

• Jedna aplikacija pokrenuta na jednom računalu ili drugom uređaju.

• Aplikacija ne pohranjuje podatke o kartici.

• Individualni sustavi su samostalni, nisu povezani jedan s drugim, lokacije su izolirane.

• NEMA pohrane podataka o kartici.

PRIMJERI ZAHTJEVA ZA SAQ C:

• Sigurno upravljanje mrežama i sustavima.

• Korištenje snažne enkripcije.

• Instaliranje i održavanje antivirusnog programa na svim odgovarajućim sustavima.

• Sigurno razvijanje softvera.

• Nadzor i provjera vaših platnih terminala te obuka osoblja za obavljanje inspekcija.

• Izvođenje internih i eksternih skeniranja ranjivosti kvartalno na svim IP adresama i mrežama usmjerenim prema internetu.

• Nadgledanje sustava i zapisivanje događaja uz postavljanje upozorenja.

Ako ispunjavate kriterije za popunjavanje SAQ P2PE HW, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ P2PE HW:

• Trgovci koji koriste samo hardverske platne terminale koji su uključeni i upravljani putem validiranog, PCI SSC listiranog P2PE rješenja, bez pohranjenih elektroničkih podataka o nositeljima kartica.

• Samo se procesuiranje plaćanja obavlja korištenjem listiranog, certificiranog P2PE rješenja.

• Terminali, firmware i verzije aplikacija podudaraju se točno s listom (Službeni popis P2PE).

PRIMJERI ZAHTJEVA ZA SAQ P2PE HW:

• Implementiranje svih kontrola u P2PE Implementacijskom priručniku (PIM) koji je dostavljen od strane dobavljača.

• Nadzor i pregled platnih terminala, osposobljavanje osoblja za obavljanje inspekcija.

Ako ispunjavate kriterije za popunjavanje SAQ SPoC, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ SPoC:

• Trgovci koji koriste komercijalni mobilni uređaj (na primjer, telefon ili tablet) s sigurnim čitačem kartica uključenim na PCI SSC-ovom popisu validiranih SPoC rješenja. Nema pristupa podacima o računu u čistom tekstu i nema pohrane elektroničkih podataka o računu.

• Samo se procesuiranje plaćanja obavlja korištenjem listiranog, certificiranog SPoC rješenja.

• Terminali, firmware i verzije aplikacija podudaraju se točno s listom na službenoj web stranici PCI vijeća.

PRIMJER ZAHTJEVA ZA SAQ SPoC:

Nadzor i inspekcija platnih terminala, osposobljavanje osoblja za obavljanje inspekcija.

SAQ D uključuje većinu zahtjeva i može zahtijevati pomoć unutarnjih ili vanjskih resursa kako bi bio adekvatno procijenjen.

KRITERIJI ZA SAQ D:

• Trgovci koji ne pohranjuju podatke o računu elektronički, ali ne ispunjavaju kriterije za drugi tip SAQ-a.

• Trgovci s web stranicom koja prima dolazne transakcije putem elektroničkih kanala, obrađuje ih, a zatim prosljeđuje podatke procesoru plaćanja.

• Trgovci s više kanala prihvaćanja plaćanja.

• Trgovci s elektroničkom pohranom podataka o računu.

• Nijedan drugi SAQ nije prikladan.

ZAHTJEV ZA SAQ D:

SAQ D uključuje većinu zahtjeva i može zahtijevati pomoć unutarnjih ili vanjskih resursa kako bi bio adekvatno procijenjen.

Koji su zahtjevi?

Standard je strukturiran u 12 odjeljaka, pri čemu svaki pokriva određeni aspekt zahtjeva.

  • Dvanaest odjeljaka standarda uvijek ostaje isto, ali svaki SAQ ima svoj unaprijed određeni broj zahtjeva.
  • Individualni zahtjevi su isti bez obzira na to koji se izvještajni predložak koristi, Izvještaj o usklađenosti ("ROC") koji koriste veći trgovci (koji procesuiraju više od 6 milijuna transakcija godišnje) uključuje ih sve, SAQ D sadrži većinu njih, dok ih SAQ P2PE sadrži vrlo malo.

OSNOVNI PRINCIPI

ODJELJCI STANDARD

Izgradite i održavajte sigurnu mrežu i sustave

1. Instalirajte i održavajte sigurnosne kontrole mreže.

2. Primijenite sigurnu konfiguraciju na sve komponente sustava.

Zaštita podataka o računima

3. Zaštitite pohranjene podatke o računima.

4. Zaštitite podatke nositelja kartica s jakom kriptografijom tijekom prijenosa preko otvorenih, javnih mreža.

Održavanje programa za upravljanje ranjivostima

5. Zaštitite sve sustave i mreže od zlonamjernog softvera.

6. Razvijajte i održavajte sigurne sustave i softver.

Implementacija snažnih mjera pristupačnosti

7. Ograničite pristup komponentama sustava i podacima nositelja kartica prema poslovnoj potrebi.

8. Identificirajte korisnike i autenticirajte pristup komponentama sustava.

9. Ograničite fizički pristup podacima nositelja kartica.

Redovito nadgledajte i testirajte mreže

10. Zabilježite i nadgledajte svaki pristup komponentama sustava i podacima nositelja kartica.

11. Redovito testirajte sigurnost sustava i mreža.

Održavanje politike informacijske sigurnosti

12. Podržite informacijsku sigurnost organizacijskim politikama i programima.

  1. SAQ-ovi jednostavno zahtijevaju da trgovac naznači je li zahtjev postavljen ili nije.
  2. Trgovac "svjedoči" da su usklađeni putem AOC-a ("Izjava o usklađenosti").
  3. Ako koristite pružatelja usluga za obavljanje nekih funkcija obuhvaćenih procjenom, tada biste trebali dobiti kopiju njihovog AOC-a kako biste dokazali da su usklađeni, budući da ne možete tvrditi da ste usklađeni ako oni nisu.
  4. AOC je važeći godinu dana. Trebali biste završiti (a ne započeti) svoju obnovu procjene do datuma isteka posljednjeg.
  5. Neke procjene zahtijevaju skeniranje koje obavlja ASV dobavljač koji bi trebao biti angažiran od strane vaše tvrtke.
  • Prođeni skenovi moraju se dobiti barem kvartalno.
  • Završna faza ASV skeniranja je vaše "svjedočenje"; ako to ne učinite, niste dovršili skeniranje.
Što je PCI?
Osnove PCI standarda za e-trgovce

Gdje mogu pronaći više informacija?

Sve standarde sadrži PCI Security Standards Council.

Službena web stranica PCI Security Standards Council-a:

  • Preuzimanje smjernica o vrstama SAQ-a
  • Stvarni SAQ-ovi
  • Često postavljena pitanja
  • Upute za trgovce
  • Popis dobavljača/proizvoda koji su certificirani prema raznim PCI standardima PTS, ASV, P2PE
  • I još mnogo toga...
Službena web stranica PCI Security Standards Council-a Otvara se u novoj kartici
pci logo

Jedna od misija tvrtke Worldline je osigurati i podržati naše trgovce da budu usklađeni s PCI DSS standardom prema zahtjevima i propisima kartičnih shema.

Što je PCI? Osnove PCI standarda za e-trgovce
security