e-commerce

Podstawy PCI dla organizacji obsługujących klientów osobiście

Co oznacza „face-to-face” lub „osobiście”?

Wyklucza

- Transkacje przeprowadzone przez strone internetową lub sklep e-commerce „będący własnością” organizacji (nawet jeśli jest on dostarczany przez stronę trzecią), niezależnie od tego,  kto wprowadza numer karty.

- Płatności dokonywane za pomocą aplikacji mobilnej na urządzeniu posiadacza karty.

Obejmuje

- Posiadacz karty prezentuje albo fizyczną kartę, albo swój telefon/zegarek/tablet, na którym przechowuje dane swojej karty w mobilnym portfelu.

- Płatność jest przetwarzana za pomocą urządzenia kontrolowanego przez sprzedawcę, np. Terminala płatniczego (samodzielnego, podłączonego do platformy POS lub telefonu/tabletu).

- Obejmuje to również sytuacje, gdy sprzedawca przyjmuje płatności, wprowadzając dane karty bezpośrednio na stronie internetowej dostarczonej przez dostawcę usług płatniczych – „wirtualny terminal” (więcej na ten temat w dalszej części).

Co muszę zrobić jako organizacja przyjmująca płatności kartami?

Jeśli nie posiadasz zgodności z PCI, możesz być narażony na kary nałożone przez wydawców kart płatniczych, i możemy nie być już w stanie przetwarzać płatności w Twoim imieniu, ponieważ nie potwierdziłeś sowjego bezpieczeństwa w zakresie płatności.

PCI DSS obejmuje kilkaset wymagań, ponieważ dotyczy każdej możliwej aktywności, która podlega ocenie

Dla tych wymagań, które dotyczą Twojej organizacji, potrzebujesz wyniku na poziomie 100% zgodności

Ten sam standard dotyczy wszystkich, ale poszczególne wymagania mogą być oznaczone jako „Nie dotyczy”, jeśli istnieją ku temu podstawy, jednak te wymagania muszą zostać odpowiednio uzasadnione

Większe podmioty (przetwarzające ponad 1 milion transakcji rocznie) mogą być zobowiązane do przeprowadzenia corocznej oceny przez certyfikowanego audytora wewnętrznego tzw: („Internal Security Assessor”) lub audytora zewnętrznego tzw: („Qualified Security Assessor”).

Mniejsze podmioty mogą mieć możliwość samodzielnej oceny bez konieczności angażownia ISA lub QSA

Coroczna ocena to weryfikacja wymagań zgodności, które musisz spełniać przez 365 dni w roku

Które z podstawowych zasad mają zastosowanie w moim przypadku?

Dla mniejszych organizacji, Rada PCI stworzyła zestaw kwestionariuszy SAQ, które są skierowane do konkretnych modeli biznesowych. 

Zobacz wymagania dotyczące płatności bezpośrednich poniżej:

SAQ B: Organizacje korzystające z tzw: terminanli wytłaczających „imprint” bez elektronicznego przechowywania danych posiadaczy kart oraz wolnostojących terminali lub terminali łączących się za pomocą lini telefonicznej. Brak elektronicznego przechowywania danych posiadaczy kart.

SAQ B-IP: Organizacje korzystające wyłącznie z wolnostojących terminali płatniczych zatwierdzonych przez PTS z połączeniem IP (Internet) do procesora płatności. Brak elektronicznego przechowywania danych posiadaczy kart.

SAQ C-VT: Organizacje które ręcznie wprowadzają pojedyncze transakcje za pomocą klawiatury do internetowego terminala wirtualnego. Wirtualne terminale muszą być hostowane przez dostawcę usług zatwierdzonego przez PCI DSS. Brak elektronicznego przechowywania danych posiadaczy kart.

SAQ C: Organizacje korzystające z systemowych aplikacji płatniczych podłączonych do internetu. Brak elektronicznego przechowywania danych posiadaczy kart.

SAQ P2PE-HW: Organizacje korzystające wyłącznie z terminali płatniczych, które są wymienione na stronach Rady PCI (PCI SSC) i zarządzane przez zatwierdzone rozwiązania P2PE. Brak elektronicznego przechowywania danych posiadaczy kart.

SAQ SPoC: Organizacje korzystające z urządzenia mobilnego np. telefon lub tablet z bezpiecznym czytnikiem kart znajdującym się na liście PCI SSC zatwierdzonych rozwiązań SPoC. Brak dostępu do danych konta w formie niezaszyfrowanej i brak elektronicznego przechowywania danych konta.

Jeśli żadne z powyższych opisów nie pasuje do Twojej organizacji musisz użyć kwestinariusza SAQ-D.

e-commerce

Więcj na temat indywidualnych Kwestionariuszy SAQ dla organizacji obługujących klientów osobiście.

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ B to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ B:

  • - Organizacje korzystające z tzw: terminanli wytłaczających „imprint” bez elektronicznego przechowywania danych posiadaczy kart oraz wolnostojących terminali łączących się za pomocą lini telefonicznej. Brak elektronicznego przechowywania danych posiadaczy kart.
  • MUSZĄ to być terminale łączące się za pomocą linii telefonicznej – a NIE poprzez Internet.
  • - Brak przechowywania danych kart.

Przykłady wymagania dla kwestionariusza typu SAQ B:

Monitorowanie i inspekcja terminali płatniczych. Szkolenie personelu w zakresie przeprowadzania inspekcji.

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ B-IP to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ B-IP:

- Organizacje korzystające wyłącznie z wolnostojących terminali płatniczych zatwierdzonych przez PTS, łączące się za pomocą protokołu IP (Internet) z procesorem płatności. Brak elektronicznego przechowywania danych posiadaczy kart

- Terminale płatnicze połączone przez sieć z procesorem płatności, ale NIE są połączone z żadnymi innymi systemami w środowisku gdzie przetwarzasz płatności w Twojej organizacji i nie polegają na żadnym innym urządzeniu, (na przykład: komputerze, telefonie komórkowym, tablecie itp.) do połączenia z procesorem płatności.

Brak przechowywania danych kart.

Przykłady wymagania dla kwestionariusza typu SAQ B-IP:

- Terminale płatnicze są certyfikowane przez PTS.

- Bezpieczne zarządzanie i monitorowanie sieci i systemów w organizacji.

- Monitorowanie i inspekcja Twoich terminali płatniczych. Szkolenie personelu w zakresie przeprowadzania inspekcji.

- Wykonywanie kwartalnych skanów podatności wszystkich publicznych sieci i systemów podłączonych do sieci Internet. (wykonywane przez uprawniony podmiot skanujący (Approved Scanning Vendor, “ASV”).

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ C-VT to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ C-VT:

- Organizacje które ręcznie wprowadzają pojedyncze transakcje za pomocą klawiatury do internetowego terminala wirtualnego. Wirtualne terminale muszą być hostowane przez dostawcę usług zatwierdzonego przez PCI DSS.

- BRAK elektronicznego przechowywania danych.

W użyciu jest tylko strona internetowego terminala wirtualnego dostępna przez przeglądarkę. Rozwiązanie to dostarczane jest przez zatwierdzonego dostawcę.

- Używany komputer nie jest połączony z żadnym innym systemem.

- Jedna transakcja naraz - brak przesyłania plików lub przetwarzania wsadowego.

- NIE istnieją żadne inne metody przyjmowania płatności.

Przykłady wymagania dla kwestionariusza typu SAQ C-VT:

- Bezpieczne zarządzanie i monitorowanie sieci i systemów w organizacji.

- Instalowanie i utrzymywanie oprogramowania antywirusowego na wszystkich zależnych systemach.

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ C to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ C:

- Organizacje korzystające z systemowych aplikacji płatniczych podłączonych do Internetu. Brak elektronicznego przechowywania danych posiadaczy kart.

- Pojedyńcza aplikacja działająca na pojedyńczym komputerze lub innym urządzeniu.

- Aplikacja nie przechowuje danych kart.

- Poszczególne systemy są niezależne, nie są ze sobą połączone, lokalizacje są izolowane.

- Brak przechowywania danych kart.

Przykłady wymagania dla kwestionariusza typu SAQ C:

- Bezpieczne zarządzanie i monitorowanie sieci i systemów w organizacji.

- Implementowanie silnego szyfrowania.

- Instalowanie i utrzymywanie oprogramowania antywirusowego na wszystkich zależnych systemach.

- Bezpieczne tworzenie oprogramowania.

- Monitorowanie i inspekcja Twoich terminali płatniczych. Szkolenie personelu w zakresie przeprowadzania inspekcji.

- Wykonywanie kwartalnych skanów podatności wszystkich publicznych sieci i systemów podłączonych do sieci Internet. (wykonywane przez uprawniony podmiot skanujący (Approved Scanning Vendor, “ASV”).

- Monitorowanie systemów i zdarzeń w logach systemowych z ustawionymi alertami.

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ PSPE-HW to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ PSPE-HW:

- Organizacje korzystające wyłącznie z terminali płatniczych, które są wymienione na stronach Rady PCI (PCI SSC) i zarządzane przez zatwierdzone rozwiązania P2PE.

- Brak elektronicznego przechowywania danych posiadaczy kart.

- Przetwarzanie płatności odbywa się wyłącznie za pomocą wymienionego na oficjalnej liście P2PE rozwiązania. Terminale, oprogramowanie układowe i wersje aplikacji dokładnie muszą odpowiadać pozycją z listy. Oficjalna lista P2PE.

Przykłady wymagania dla kwestionariusza typu SAQ PSPE-HW:

- Wdrożenie wszystkich kontroli z (PIM) Instrukcji Wdrożenia P2PE dostarczonej przez dostawcę.

- Monitorowanie i inspekcja Twoich terminali płatniczych. Szkolenie personelu w zakresie przeprowadzania inspekcji.

Jeśli spełniasz kryteria do wypełnienia Kwestionariusza SAQ SPoC to poniższe informacje będą miały zastosowanie w Twojej organizacji:

Kryteria dla SAQ SPoC:

- Organizacje korzystające z urządzenia mobilnego np. telefon lub tablet z bezpiecznym czytnikiem kart znajdującym się na liście PCI SSC zatwierdzonych rozwiązań SPoC. Brak dostępu do danych konta w formie niezaszyfrowanej i brak elektronicznego przechowywania danych kart płatniczych.

- Przetwarzanie płatności odbywa się wyłącznie za pomocą wymienionego na oficjalnej liście SPoC rozwiązania.

- Terminale, oprogramowanie układowe i wersje aplikacji dokładnie odpowiadają pozycją z listy na stronie PCI SSC.

Przykłady wymagania dla kwestionariusza typu SAQ SPoC:

Monitorowanie i inspekcja Twoich terminali płatniczych. Szkolenie personelu w zakresie przeprowadzania inspekcji.

Jeśli nie spełniasz kryteriów dla wszystkich wymienionych Kwestionariuszy SAQ wówczas musisz zastosować Kwestionariusz SAQ D w Twojej organizacji:

Kryteria dla SAQ D:

- Organizacje, które nie przechowują elektronicznie danych kart płatniczych, ale nie spełniają kryteriów dla innego typu SAQ.

- Organizacja posiadające stronę internetową, która przyjmuje transakcje poprzez elektroniczne kanały płatności, przetwarza je, a następnie przekazuje te dane do procesora płatności.

- Organizacje dysponujące wieloma kanałami akceptacji płatności.

- Organizacje, które elektronicznie przechowują dane kart płatniczych.

- Nie ma innego odpowiedniego Kwestionariusza SAQ.

Przykłady wymagania dla kwestionariusza typu SAQ D:

SAQ D obejmuje większość wymagań i w tym przypadku może zaisnieć potrzeba wsparcia wewnętrznego lub zewnętrznego audytora w celu odpowiedniego przetestowania.

Jakie są wymagania?

Standard jest podzielony na 12 sekcji, z których każda obejmuje konkretny aspekt wymagań.

  • Dwanaście sekcji standardu pozostaje niezmienne, jednak każdy Kwestionariusz Samooceny (SAQ) posiada określoną z góry liczbę wymagań.
  • Poszczególne wymagania są takie same, niezależnie od użytego szablonu raportowania. Raport z Oceny Zgodności („ROC – Report of Compliance”), używany przez większe organizacje (przetwarzające ponad 6 milionów transakcji rocznie), zawiera wszystkie z nich. SAQ D obejmuje większość z nich. SAQ P2PE zawiera tylko małą ich część.

PODSTAWOWE ZASADY

SEKCJE STANDARDU

Buduj i utrzymuj bezpieczną sieć oraz systemy. 

1. Instaluj i utrzymuj środki kontroli bezpieczeństwa sieci

2. Zastosuj bezpieczną konfigurację dla wszystkich komponentów systemu

Chroń dane posiadaczy kart.

3. Chroń przechowywane dane posiadacza kart płatniczych.

4. Zabezpiecz dane posiadaczy kart za pomocą silnej kryptografii podczas transmisji przez otwarte sieci publiczne.

Utrzymuj program zarządzania podatnościami.

5. Chroń wszystkie systemy i sieci przed złośliwym oprogramowaniem.

6. Opracuj i utrzymuj bezpieczne systemy i oprogramowanie

Wprowadź silne środki ochrony dostępu.

7. Ogranicz dostęp do składników systemu i danych posiadacza kart wyłącznie do niezbędnego minimum, zgodnie z zasadą "wiedzy niezbędnej" dla prawidłowego funkcjonowania biznesu.

8. Identyfikuj użytkownika i uwierzytelniaj dostęp do składników systemu.

9. Ogranicz fizyczny dostęp do danych posiadacza kart.

Regularnie monitoruj i testuj sieci internetowe.

10. Rejestruj i monitoruj wszystkie dostępy do składników systemu i danych posiadaczy kart.

11. Regularnie testuj bezpieczeństwo systemów i sieci.

Utrzymuj Politykę Bezpieczeństwa informacji.

12. Wspieraj bezpieczeństwo informacji za pomocą wdrażania odpowiednich polityk i programów organizacyjnych.

  • Kwestionariusze SAQ wymagają jedynie, aby Twoja organizacjia wskazała, czy wymóg został spełniony, czy nie.
  • Sprzedawca poświadcza swoją zgodność poprzez („AOC – Attestation of Compliance”) – Poświadczenie Zgodności.
  • Jeśli korzystasz z usług dostawcy do realizacji niektórych fukcji objętych oceną, powinieneś uzyskać kopię AOC, aby potwierdzić ich zgodność, ponieważ nie możesz deklarować własnej zgodności, jeśli dostawca nie jest zgodny.
  • AOC jest ważne przez rok. Należy zakończyć (nie rozpoczynać) odnawiając ocenę zgodności przed upływem terminu ważności poprzedniej.
  • Niektóre oceny wymagają skanów podatności wykonanych przez dowolnego dostawcę „ASV – Approved Scanning Vendor”, z którym powinna zawerzeć umowę Twoja organizacja.
    • Skany z wynikiem pozytywnym muszą być uzyskiwane co najmniej raz na kwartał.
    • Ostatecznym etapem każdego skanu ASV jest Twoje „poświadczenie” go. Jeśli tego nie zrobisz, będzie to oznaczać, że Twoja organizacja nie ukończyła skanu.
Czym jest PCI?
Podstawy PCI w e-commerce

Gdzie mogę znaleźć więcej informacji?

Wszystkie standardy są utrzymywane przez Radę Standardów Bezpieczeństwa PCI (PCI Security Standard Council).

Co można znaleźć na stronie PCI SSC:

  • Pobieralne kopie wytycznych dotyczących typów SAQ.
  • Aktualne SAQ.
  • Często zadawane pytania.
  • Poradniki dla biznesu.
  • Listy dostawców/produktów, które są certyfikowane zgodnie z różnymi standardami PCI: PTS, ASV, P2PE
  • i więcej...
Oficjalna strona Rady Standardów Bezpieczeństwa PCI Otwiera się w nowej karcie
pci logo

Jednym z zadań Worldline jest zapewnienie i wsparcie naszych klientów w zachowaniu zgodności z PCI DSS, z wymaganiami i regulacjami systemów płatniczych.

Czym jest PCI? Podstawy PCI w e-commerce
security