pci security

Kaj je PCI?

Zakaj je to pomembno za moje podjetje?

O PCI in PCI standardih

PCI pomeni »Payment Card Industry«. Payment Card Industry Security Standards Council (PCI SSC) je organizacija, ki določa in upravlja varnostnostne standarde v kartičnem poslovanju. Payment Card Industry Data Security Standard (PCI DSS) je mednarodni varnostni standard v kartičnem poslovanju, ki velja za vse trgovce in organizacije, vključene v kartično poslovanje. 

  1. Varnostni svet PCI SSC deluje pod okriljem največjih kartičnih znamk in je bil ustanovljen z namenom vzpostavitve in upravljanja varnostnih standardov na vseh področjih kartičnega poslovanja.
  2. Ključni standardi za vaše podjetje so:
  • Payment Card Industry Data Security Standard (PCI DSS) je mednarodni varnostni standard v kartičnem poslovanju (kratko: PCI). Vsak trgovec in vsaka organizacija, ki posreduje, obdeluje ali hrani podatke plačilnih kartic, mora delovati skladno s standardom varnosti podatkov kartičnega poslovanja.
  • Pin Transaction Security (PCI PTS): ta standard velja za strojno opremo, ki se uporablja za izvajanje kartičnih plačil ob prisotnosti kartice. Trgovci lahko uporabljalo le plačilne terminale, certificirane v skladu s PTS.
  • Point to Point Encryption (P2PE): se nanaša na šifriranje podatkov, ki se uporablja za transakcije ob prisotnosti kartice in lahko znatno zmanjša obseg PCI zahtev.
  • Approved Scanning Vendor (ASV): podjetja, ki ponujajo storitve pregledovanja ranljivosti omrežja.
card payment
card payment and coffee

Kaj se zahteva od podjetja, ki sprejema kartična plačila?

Standard, ki ga morajo upoštevati vsi deležniki, je DSS (PCI DSS, " Payment Card Industry Data Security Standard ").

  1. Da 24/7/365 poslujete skladno s standardi.
  2. Da vsako leto validirate vašo skladnost.
  3. Skladnost morate preverjati tudi v primeru, če ste za ukrepe na področju zagotavljanja skladnosti pooblastili zunanjega izvajalca.
  4. Če ste za ukrepe na področju zagotavljanja skladnosti pooblastili zunanjega izvajalca, se:
  • v preverjanje skladnosti vključi tudi preverjanje skladnosti pooblaščenega zunanjega izvajalca

        ali

  • zunanji izvajalec sam izvede postopek preverjanja skladnosti ter vam predloži dokaz, da so skladni vsi postopki, ki jih opravlja za vas. 
  • PCI DSS vključuje več sto zahtev, saj pokriva vse aktivnosti, ki se preverjajo.
  • Za tiste zahteve, ki veljajo za vaše podjetje, potrebujete oceno 100-odstotne skladnosti s predpisi.
  • Enak standard velja za vse, vendar so lahko posamezne zahteve označene kot "N/A" (ni relevantno), če za to obstaja razlog, vendar morajo biti te izjeme ustrezno utemeljene.
  • V primeru neskladnosti s standardi lahko pride do denarne kazni s strani kartičnih shem, ki ste jo dolžni poravnati.
  • Od velikih podjetij (ki opravijo več kot 1 milijon transakcij na leto) se lahko zahteva, da njihovo letno varnostno oceno izvede pooblaščeni revizor (notranji varnostni ocenjevalec (»ISA«) ali zunanji varnostni ocenjevalec (»QSA«)).
  • Manjši poslovni subjekti lahko opravijo samooceno, brez da bi za to pooblastili ISA ali QSA (notranjega ali zunanjega specialista za preverjanje varnosti).
  • Letna ocena preveri zahteve glede skladnosti, ki jih morate izpolnjevati 365 dni v letu.

PCI DSS vprašalnik za samooceno

Svet PCI (PCI SSC) priznava, da obstaja veliko primerov uporabe, kjer je potrebno izpolniti le omejen nabor zahtev za skladnost.

  • Nabor omejenih zahtev velja za vsa podjetja, ki sprejemajo plačila le ob prisotnosti kartice in samo prek certificiranega POS terminala, povezanega prek interneta.
  • Drug sklop posebnih zahtev velja za podjetja, ki imajo spletno trgovino in so za tehnično izvedbo plačil pooblastili service providerja, ki je certificiran s strani PCI.

PCI SSC je dal na voljo nabor vprašalnikov za samooceno ("SAQ"), ki vsebujejo samo tiste zahteve, ki veljajo za določene primere poslovnih praks.  

Kako izpolniti in oddati vprašalnik za samooceno (SAQ)?

  • Vse kar morate storiti je, da ugotovite, kateri opis SAQ se popolnoma ujema s poslovno prakso in obsegom sprejemanja kartic v vašem podjetju.
  • Odprite dokument.
  • Odgovorite na vprašanja.
  • Za uspešno oceno je potrebno izpolniti vse zahteve – tako tiste, ki so relevantne pri vašem poslovanju ter so upoštevane, kot tudi tiste, za katere obstaja upravičen razlog, da se štejejo kot nerelevantne.
  • Izpolnite vprašalnik v celoti in ga posredujte vašemu ponudniku plačilnih storitev.

Pomembno za vašega ponudnika plačilnih storitev (acquirerja):

  • Vse navedene zahteve morate izpolnjevati vsak dan v sledečih 12 mesecih.
  • Po 1 letu se vrnite na prvi korak in obnovite oceno.
Za več informacij o različnih vrstah vprašalnikov za samooceno (SAQ) glejte smernice PCI DSS. Odpri v novem oknu

Kakšne so zahteve?

Standard je razdeljen na 12 področij, od katerih vsako področje pokriva določen vidik zahtev.

  • Dvanajst področij standarda ostaja enakih, vendar ima vsak vprašalnik za samooceno (SAQ) vnaprej določen obseg zahtev.
  • Posamezne zahteve so enake, ne glede na uporabljeno predlogo za poročanje. Poročilo o skladnosti ("ROC"), ki ga uporabljajo večje organizacije (ki opravijo več kot 6 milijonov transakcij na leto), vključuje vse zahteve. SAQ D vključuje večji del zahtev, SAQ P2PE pa le manjši del. 

OSNOVNA NAČELA

PODROČJA STANDARDOV

Postavite in vzdržujte varno omrežje in sisteme.

1. Namestite in vzdržujte kontrole za varnost omrežja.

2. Uporabite varno konfiguracijo za vse sistemske komponente.

 Zaščitite podatke o računih strank.

3. Zaščitite shranjene podatke o računih in imetnikih kartic.

4. Zaščitite podatke imetnikov kartic z močnim šifriranjem pri prenosu podatkov prek odprtih javnih omrežij.

Vzdržujte program za upravljanje ranljivosti.

5. Zaščitite vse sisteme in omrežja pred zlonamerno programsko opremo.

6. Razvijajte in vzdržujte varne sisteme in programsko opremo.

Izvajajte stroge ukrepe za nadzor dostopa. 

7. Omejite dostop do sistemskih komponent in podatkov o imetnikih kartic le na minimum, ki je potreben, v skladu z načelom »need to know« (dostopa do nujno potrebnih podatkov za nemoteno in skladno poslovanje).

8. Določite uporabnike in ustrezno avtentikacijo za dostop do sistemskih komponent.

9. Omejite fizični dostop do podatkov imetnikov kartic.

Redno spremljajte in testirajte varnost omrežja.

10. Zabeležite in spremljajte vse dostope do sistemskih komponent in podatkov imetnikov kartic.

11. Redno preverjajte varnost svojih sistemov in omrežij.

Vzdržujte pravilnik o varnosti informacij.

12. Zagotovite varnost informacij z izvajanjem ustreznih organizacijskih politik in programov.

  1. Vprašalniki SAQ od vaše organizacije zahtevajo, da navedete, ali so posamezne zahteve izpolnjene ali ne.
  2. Trgovec potrdi skladnost poslovanja s potrdilom AOC (“Attestation of Compliance”).
  3. Če je kateri koli del ocenjevanja za vas opravil pooblaščeni zunanji ocenjevalec, potem ste dolžni pridobiti tudi njihovo AOC potrdilo.
  4. AOC velja eno leto. Ponovno preverjanje skaldnosti morate zaključiti (ne pričeti) pred datumom izteka veljavnosti prejšnje preverbe.
  5. Nekatera ocenjevanja zahtevajo preglede ranljivosti s strani »ASV«, zunanjega izvajalca, ki ga pooblastite za izvedbo takih pregledov.
  • Pregledi ranljivosti morajo biti opravljeni vsaj vsako četrtletje.
  • Zadnja faza uspešnega ASV pregleda ranljivosti s strani zunanjega izvajalca je, da validirate njegovo oceno. Brez vaše validacije pregleda ranljivosti proces za vas ni končan.  
Osnovne informacije za e-comm trgovce
Osnovne informacije za trgovce, ki na svojih prodajnih mestih sprejemajo kartična plačila
man with tablet

Kje lahko najdem več informacij?

 

Vse standarde aktualizira in objavlja PCI Security Standard Council.

Kaj najdete na spletni strani PCI SSC:

  • - Datoteke (ki jih je mogoče prenesti) s smernicami in navodili za izpolnjevanje SAQ.
  • - Vprašalnike tipa SAQ.
  • - Pogosto zastavljena vprašanja (FAQ).
  • - Smernice za podjetja.
  • - Sezname ponudnikov ter produktov/storitev, ki so certificirani skladno z različnimi PCI standardi: PTS, ASV, P2PE.
  • - In še več...
Uradna spletna stran Sveta za varnostne standarde PCI Odpri v novem oknu

Ena od misij podjetja Worldline je zagotoviti in podpreti naše trgovce pri vzpostavitvi in vzdrževanju skladnosti s PCI DSS, ki jo zahtevajo kartične sheme in regulatorji.

Osnovne informacije za e-comm trgovce Osnovne informacije za trgovce, ki na svojih prodajnih mestih sprejemajo kartična plačila
security