e-commerce

Podstawy PCI w e-commerce

Co oznacza termin „e-commerce”?

Mówiąc w skrócie, dzieje się tak, gdy otrzymujesz dane kart elektronicznie.

- Klient wchodzi w interakcję z Twoim sklepem internetowym.
- Klient używa aplikacji mobilnej, która wysyła dane do systemów kontrolowanych przez Ciebie.

Jeśli zleciłeś obsługę swojej platformy e-commerce firmie zewnętrznej, nadal odpowiadasz za zgodność z PCI.

- Firma zewnętrzna z którą współpracujesz, może już być zgodna z PCI.
- Jeśli nie jest, to wszystko, co robią, wchodzi w zakres Twojej oceny.

Jeśli masz strone internetową, isnieje wiele sposobów jak możesz nią zarządzać.

- Kontrolujesz sprzęt i stronę internetową.
- Korzystasz z usług dostawcy od tworzenia i zarządzania Twoją stroną.
- Masz sklep internetowy na jednej z wielu platform handlowych.

Płatności mogą być przetwarzane na kilka sposobów.

- Twoja strona internetowa przetwarza traksakcje, a następnie przesyła szczegóły do instytucji rozliczeniowej
- Twoja strona nie przechowuje danych, ale je akceptuje, a następnie wysyła do przetworzenia przez instytucje rozliczeniową.
- Twoja strona sama nie akceptuje danych kart kiedy klient dokonuje płatności.
- Twoja strona przekierowuje wprowadzone dane do instytucji rozliczeniowej w celu przetworzenia.
- Twoja strona nie ma żadnej interkacji z danymi karty w jakikolwiek sposób.

 

Co muszę zrobić jako organizacja przyjmująca płatności kartami?

Jeśli nie posiadasz zgodności z PCI, możesz być narażony na kary nałożone przez wydawców kart płatniczych, i możemy nie być już w stanie przetwarzać płatności w Twoim imieniu, ponieważ nie potwierdziłeś swojego bezpieczeństwa w zakresie płatności.

PCI DSS obejmuje kilkaset wymagań, ponieważ dotyczy każdej możliwej aktywności, która podlega ocenie

Dla tych wymagań, które dotyczą Twojej organizacji, potrzebujesz wyniku na poziomie 100% zgodności

Ten sam standard dotyczy wszystkich, ale poszczególne wymagania mogą być oznaczone jako „Nie dotyczy”, jeśli istnieją ku temu podstawy, jednak te wymagania muszą zostać odpowiednio uzasadnione

Większe podmioty (przetwarzające ponad 1 milion transakcji rocznie) mogą być zobowiązane do przeprowadzenia corocznej oceny przez certyfikowanego audytora wewnętrznego tzw: („Internal Security Assessor”) lub audytora zewnętrznego tzw: („Qualified Security Assessor”).

Mniejsze podmioty mogą mieć możliwość samodzielnej oceny bez konieczności angażownia ISA lub QSA

Coroczna ocena to weryfikacja wymagań zgodności, które musisz spełniać przez 365 dni w roku

Które z podstawowych zasad PCI mają zastosowanie w mojej organizacji?

Dla mniejszych organizacji, Rada PCI stworzyła zestaw kwestionariuszy SAQ, które są skierowane do konkretnych modeli biznesowych. 

Dla organizacji z systemami e-commerce istnieją dwie alternatywy:

1)   SAQ A: Kwestionariusz przeznaczony dla organizacji przetwarzających transakcje tzw: „Card-Not-Present” (e-commerce lub zamówienia przez pocztę/zamówienia przez telefon), które całkowicie  powierzyły wszystkie funkcje danych posiadaczy kart zatwierdzonym przez PCI DSS dostawcom usług zewnętrznych, bez elektronicznego przechowywania, przetwarzania lub transmisji jakichkolwiek danych posiadaczy kart w systemie organizacji lub na jej terenie.

2)   SAQ A-EP: Kwestionariusz dla organizacji z systemami e-commerce, którzy powierzyli całą obsługę płatności zatwierdzonym przez PCI DSS stronom trzecim i którzy nie posiadają strony internetowej bezpośrednio odbierającej dane posiadaczy kart, ale mogą przetwarzać lub transmitować dane posiadaczy kart w systemach sprzedawcy lub na jego terenie.

Jeśli żadna z podanych alternatyw nie pasuje do Twojej organizacji, wówczas musi zostać użyty Kwestionariusz SAQ D.

e-commerce

Więcej na temat indywidualnych Kwestionariuszy SAQ dla organizacji e-commerce.

SAQ A.

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ A to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ A:

  • - Organizacje typu „Card-Not-Present” (e-commerce lub zamówienia pocztowe/telefoniczne), które całkowicie powierzyły wszystkie funkcje danych posiadaczy kart zatwierdzonym przez PCI DSS dostawcom usług zewnętrznych, bez elektronicznego przechowywania, przetwarzania lub transmisji jakichkolwiek danych posiadaczy kart w systemie organizacji lub na jego terenie.
  • - Podczas ostatniego etapu płatności Twoja strona internetowa nie wykonuje żadnej z tego typu funkcji - albo przekierowuje posiadaczy kart do twojego procesora płatności albo wyświetlana jest tzw: ramka płatności „iFrame” procesora płatności i wszystkie dane transakcyjne są ograniczone tylko do tej ramki.

Przykłady wymagania dla kwestionariusza typu SAQ A:

  • - Brak elektronicznego przechowywania danych kart.
  • - Systemy są zabezpieczone i aktualizowane.
  • - Skrypty ładowane i wykonywane w przeglądarce posiadacza karty. Podczas procesu płatności są zarządzane, kontrolowane i autoryzowane.
  • - Zewnętrzne skany podatności („ASV”) przeprowadzane są co najmniej raz na kwartał.
  • - Krytyczne pliki systemowe na systemach sprzedawcy są monitorowane, a w przypadku wykrycia jakiejkolwiek zmiany podnoszone są alarmy i podejmowane są odpowiednie działania.

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ A-EP to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ A-EP:

- Organizacje e-commerce, które powierzyły całą obsługę płatności zatwierdzonym przez PCI DSS stronom trzecim i które nie posiadają strony internetowej bezpośrednio odbierającej dane posiadaczy kart, ale mogą przetwarzać lub transmitować dane posiadaczy kart w systemach sprzedawcy lub na jego terenie.

- Strona internetowa Twojej organizacji kontroluje stronę płatności, ale sama strona nie wykonuje żadnych operacji przetwarzania. Wszystkie dane są wysyłane do procesora płatności (na przykład za pomocą metody POST).

Przykłady wymagań dla kwestionariusza typu SAQ A-EP:

- Brak elektronicznego przechowywania danych kart.

- Systemy są zabezpieczone i aktualizowane.

- Oprogramowanie antywirusowe jest wdrażane tam gdzie jest to konieczne.

- Oprogramowanie jest rozwijane i aktualizowane w sposób bezpieczny.

- Skrypty łądowane Ładowane i wykonywane w przeglądarce posiadacza karty podczas procesu płatności są zarządzane, kontrolowane i autoryzowane.

- Od 2024 roku wdrażana jest techniczna metoda wykrywania i zapobiegania atakom opartym na sieci web.

- Dostęp do systemów jest ograniczony i zabezpieczony.

- Aktywność użytkownika i zdarzenia systemowe są rejestrowane i przechowywane.

- Zewnętrzne skanypodatności ASV przeprowadzane są co najmniej raz na kwartał.

- Testy penetracyjne są wykonywane co najmniej raz w roku.

- Wdrażane są systemy wykrywania i zapobiegania intruzjom, aby ostrzegać i/lub zapobiegać nieautoryzwanemu dostępowi.

- Krytyczne pliki systemowe w organizacji są monitorowane, aby podczas jakiejkolwiek zmiany pojawiał się alert – (FIM – File Integrity Monitoring) Monitorowanie Integralności Plików.

Jeśli nie spełniasz kryteriów dla wszystkich wymienionych Kwestionariuszy SAQ wówczas musisz zastosować Kwestionariusz SAQ D w Twojej organizacji:

Kryteria dla SAQ D:

- Organizacje, które nie przechowują elektronicznie danych kart płatniczych, ale nie spełniają kryteriów dla innego typu SAQ.

- Organizacja posiadające stronę internetową, która przyjmuje transakcje poprzez elektroniczne kanały płatności, przetwarza je, a następnie przekazuje te dane do procesora płatności.

- Organizacje dysponujące wieloma kanałami akceptacji płatności.

- Organizacje, które elektronicznie przechowują dane kart płatniczych.

- Nie ma innego odpowiedniego Kwestionariusza SAQ.

Przykłady wymagania dla kwestionariusza typu SAQ D:

SAQ D obejmuje większość wymagań i w tym przypadku może zaisnieć potrzeba wsparcia wewnętrznego lub zewnętrznego audytora w celu odpowiedniego przetestowania.

Jakie są wymagania?

Standard jest podzielony na 12 sekcji, z których każda obejmuje konkretny aspekt wymagań.

  • Dwanaście sekcji standardu pozostaje niezmienne, jednak każdy Kwestionariusz Samooceny (SAQ) posiada określoną z góry liczbę wymagań.
  • Poszczególne wymagania są takie same, niezależnie od użytego szablonu raportowania. Raport z Oceny Zgodności („ROC – Report of Compliance”), używany przez większych organizacji (przetwarzających ponad 6 milionów transakcji rocznie), zawiera wszystkie z nich. SAQ D obejmuje większość z nich. SAQ P2PE zawiera tylko małą ich część.

PODSTAWOWE ZASADY

SEKCJE STANDARDU

Buduj i utrzymuj bezpieczną sieć oraz systemy. 

1. Instaluj i utrzymuj środki kontroli bezpieczeństwa sieci

2. Zastosuj bezpieczną konfigurację dla wszystkich komponentów systemu

Chroń dane posiadaczy kart.

3. Chroń przechowywane dane posiadacza kart płatniczych.

4. Zabezpiecz dane posiadaczy kart za pomocą silnej kryptografii podczas transmisji przez otwarte sieci publiczne.

Utrzymuj program zarządzania podatnościami.

5. Chroń wszystkie systemy i sieci przed złośliwym oprogramowaniem.

6. Opracuj i utrzymuj bezpieczne systemy i oprogramowanie

Wprowadź silne środki ochrony dostępu.

7. Ogranicz dostęp do składników systemu i danych posiadacza kart wyłącznie do niezbędnego minimum, zgodnie z zasadą "wiedzy niezbędnej" dla prawidłowego funkcjonowania biznesu.

8. Identyfikuj użytkownika i uwierzytelniaj dostęp do składników systemu.

9. Ogranicz fizyczny dostęp do danych posiadacza kart.

Regularnie monitoruj i testuj sieci internetowe.

10. Rejestruj i monitoruj wszystkie dostępy do składników systemu i danych posiadaczy kart.

11. Regularnie testuj bezpieczeństwo systemów i sieci.

Utrzymuj Politykę Bezpieczeństwa Informacji.

12. Wspieraj bezpieczeństwo informacji za pomocą wdrażania odpowiednich polityk i programów organizacyjnych.

  • Kwestionariusze SAQ wymagają jedynie, aby Twoja organizacjia wskazała, czy wymóg został spełniony, czy nie.
  • Sprzedawca poświadcza swoją zgodność poprzez („AOC – Attestation of Compliance”) – Poświadczenie Zgodności.
  • Jeśli korzystasz z usług dostawcy do realizacji niektórych fukcji objętych oceną, powinieneś uzyskać kopię AOC, aby potwierdzić ich zgodność, ponieważ nie możesz deklarować własnej zgodności, jeśli dostawca nie jest zgodny.
  • AOC jest ważne przez rok. Należy zakończyć (nie rozpoczynać) odnawiającą ocenę zgodności przed upływem terminu ważności poprzedniej.
  • Niektóre oceny wymagają skanów podatności wykonanych przez dowolnego dostawcę „ASV – Approved Scanning Vendor”, z którym powinna zawrzeć umowę Twoja organizacja.
    • Skany z wynikiem pozytywnym muszą być uzyskiwane co najmniej raz na kwartał.
    • Ostatecznym etapem każdego skanu ASV jest Twoje „poświadczenie” go. Jeśli tego nie zrobisz, będzie to oznaczać, że Twoja organizacja nie ukończyła skanu.
Czym jest PCI?
Podstawy PCI dla organizacji obsługujących klientów osobiście

Skany ASV, testy penetracyjne, systemy typu IDS/IPS (Intrusion detection/Intrusion prevention), monitorowanie integralności plików – FIM.

Jedna lub więcej z tych czynności może być wymagana w ocenie, w zależności od użytego szablonu raportowania są to fundamentalnie różne działania, jak wyjaśniono poniżej.

ASV

W ramach wymagań PCI DSS każda jednostka posiadająca ADRESY IP dostępne publicznie przez Internet musi poddać się skanowaniu bezpieczeństwa co najmniej raz na kwartał. Skan musi być wykonany przez zatwierdzonego dostawcę skanowania (ASV). Aby zaliczyć skan, nie może być żadnych problemów z bezpieczeństwem ani żadnych wykrytych luk, które nie zostały zaadresowane. Należy zauważyć, że nie jest to dogłębny test penetracyjny. Skanowanie ASV polega jedynie na poszukiwaniu znanych problemów z oprogramowaniem i konfiguracją jako podstawowej kontroli bezpieczeństwa.

Testy penetracyjne

Doświadczony pentester przeprowadza skanowanie w celu zidentyfikowania potencjalnych słabości w systemie. Podobnie jak w przypadku skanowania ASV, ale w tym przypadku idzie dalej i próbuje wykorzystać te luki. Jest to krok dalej od skanowania ASV, ale skanowanie ASV jest nadal wymagane. Należy zauważyć, że skanowanie ASV musi być wykonane przez zatwierdzonego dostawcę wymienionego na stronie Rady PCI. Pentesterzy nie są wymieniani przez Radę PCI, ale muszą być wykwalifikowani i doświadczeni w tych działaniach.

Systemy IDS/IPS służące do wykrywania i przeciwdziałania atakom cybernetycznym

Są to systemy w Twojej organizacji monitorujące ruch sieciowy w sposób podobny do monitorowania programów i danych przez oprogramowanie antywirusowe. Systemy te są w stanie zidentyfikować znany „zły” ruch w sieci lub potrafią ostrzegać oraz blokować w zależności od implementacji. Muszą być zawsze w stanie gotowości i zaktualizowane tak aby zapewnić, że mają najnowsze dane o zagrożeniach, umożliwiając identyfikację złej aktywności.

Monitorowanie integralności plików - FIM

System FIM monitoruje pliki w systemie i podnosi alarm jeśli uległy one zmianie w stosunku do znanej dobrej/oryginalnej wersji. To identyfikuje wszelkie złośliwe zmiany w krytycznych plikach systemowych.

Gdzie mogę znaleźć więcej informacji?

Wszystkie standardy są utrzymywane przez Radę Standardów Bezpieczeństwa PCI (PCI Security Standard Council).

Co można znaleźć na stronie PCI SSC:

  • Pobieralne kopie wytycznych dotyczących typów SAQ.
  • Aktualne SAQ.
  • Często zadawane pytania.
  • Poradniki dla biznesu.
  • Listy dostawców/produktów, które zostały certyfikowane zgodnie z różnymi standardami PCI: PTS, ASV, P2PE
  • i więcej...
Oficjalna strona Rady Standardów Bezpieczeństwa PCI Otwiera się w nowej karcie
pci logo

Jednym z zadań Worldline jest zapewnienie i wsparcie naszych klientów w zachowaniu zgodności z PCI DSS, z wymaganiami i regulacjami systemów płatniczych.

Czym jest PCI? Podstawy PCI dla organizacji obsługujących klientów osobiście
security