e-commerce

Osnovne informacije za e-comm trgovce

Kaj v kartičnem poslovanju pomenita izraza "e-commerce” oziroma "plačila preko spleta"?

E-comm pomeni sprejemanje plačil na daljavo (v elektronski obliki) prek spleta.

- Vaša stranka interagira z vašo spletno trgovino.
- Stranka uporablja mobilno aplikacijo, ki podatke o kartici pošlje do sistema, ki ga kontrolirate vi. 

Če vašo spletno trgovino upravlja zunanji izvajalec, ste za PCI skladno poslovanje kljub temu odgovorni vi.

- Vaš pooblaščeni zunanji izvajalec morda že posluje skladno s PCI standardi.
- Če ne, potem vaša ocena skladnosti vključuje tudi skladnost zunanjega izvajalca.

Če imate spletno trgovino, jo lahko upravljate na več načinov.

- Vi nadzorujete strojno opremo in spletno trgovino.
- Za postavitev in upravljanje spletne trgovine ste pooblastili zunanjega ponudnika.
- Spletno trgovino imate na eni izmed prodajnih platform skupaj z drugimi prodajalci (t. i. marketplaces). 

Možnost procesiranja plačil je več.

- Vaša spletna trgovina obdela transakcijo in podatke nato pošlje acquirerju.
-  Vaša spletna trgovna ne shranjuje podatkov, temveč jih samo sprejme in jih nato pošlje v obdelavo acquirerju.
- Vaša spletna trgovina ne sprejme podatkov o kartici. Ko stranka izvede plačilo, vaše spletno mesto preusmeri vnesene podatke v obdelavo acquirerju. Vaša spletna trgovina nima interakcije s podatki kartice. 

Kaj moramo storiti kot podjetje, ki sprejema kartična plačila preko spleta?

V primeru neskladnosti s PCI standardi lahko pride do denarne kazni s strani kartičnih shem, ki ste jo dolžni poravnati, mi pa smo lahko primorani prenehati procesirati vaše transkacije.

PCI DSS vključuje več sto zahtev, saj pokriva vse aktivnosti, katerih skladnost se preverja.

Za tiste zahteve, ki veljajo za vaše podjetje, potrebujete oceno 100-odstotne skladnosti s predpisi.

Enak standard velja za vse, vendar so lahko posamezne zahteve označene kot "N/A" (ni relevantno), če za to obstaja razlog, vendar morajo biti te izjeme ustrezno utemeljene.

Od velikih podjetij (ki opravijo več kot 1 milijon transakcij na leto) se lahko zahteva, da njihovo letno varnostno ocene izvede pooblaščeni revizor (notranji varnostni ocenjevalec (»ISA«) ali zunanji (»QSA«)).

Manjši poslovni subjekti lahko opravijo samooceno, brez da bi za to pooblastili ISA ali QSA (notranjega ali zunanjega specialista za preverjanje varnosti).

Opravljeno letno preverjanje pomeni validacijo vaše skladnosti. Ne glede na to pa ste dolžni ravnati skladno s standardi 365 dni v letu.

Katera temeljna načela standardov veljajo za moje podjetje?

Za manjša podjetja je Svet PCI oblikoval nabor vprašalnikov za samooceno ("SAQ"), ki veljajo za določene primere poslovnih praks.

Obstajata dve vrsti SAQ vprašalnikov, ki veljata za podjetja, ki sprejemajo plačila prek spleta:

  1. SAQ A: Podjetja, ki sprejemajo transakcije brez prisotnosti kartice (prek spletne trgovine ali za naročila po pošti/ telefonu - MO/TO) in ki so za izvedbo plačil pooblastila preverjenega zunanjega ponudnika, ki je odobren s strani PCI DSS. Podjetja sama ne hranijo, obdelujejo ali posredujejo kakršnih koli podatkov o imetnikih kartic v svojih sistemih in prostorih.
  2. SAQ A-EP:  Podjetja, ki sprejemajo transakcije brez prisotnosti kartice in ki so za procesiranje plačil pooblastila preverjenega zunanjega ponudnika, odobrenega s strani PCI DSS. Podjetja neposredno ne prejmejo podatkov o karticah, vendar lahko vplivajo na varnost plačilne transakcije. Podjetja sama ne hranijo, obdelujejo ali posredujejo kakšnih koli podatkov o imetnikih kartic v svojih sistemih in prostorih.

Če noben od zgornjih opisov ne velja za vaše podjetje, uporabite vprašalnik SAQ-D.

e-commerce

Preberite več o posameznih vprašalnikih za samooceno (SAQ) za e-comm trgovce

SAQ A.

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ A, za vaše podjetje veljajo naslednje informacije:

Kryteria dla SAQ A:

  • - Organizacje typu „Card-Not-Present” (e-commerce lub zamówienia pocztowe/telefoniczne), które całkowicie powierzyły wszystkie funkcje danych posiadaczy kart zatwierdzonym przez PCI DSS dostawcom usług zewnętrznych, bez elektronicznego przechowywania, przetwarzania lub transmisji jakichkolwiek danych posiadaczy kart w systemie organizacji lub na jego terenie.
  • - Podczas ostatniego etapu płatności Twoja strona internetowa nie wykonuje żadnej z tego typu funkcji - albo przekierowuje posiadaczy kart do twojego procesora płatności albo wyświetlana jest tzw: ramka płatności „iFrame” procesora płatności i wszystkie dane transakcyjne są ograniczone tylko do tej ramki.

Przykłady wymagania dla kwestionariusza typu SAQ A:

  • - Brak elektronicznego przechowywania danych kart.
  • - Systemy są zabezpieczone i aktualizowane.
  • - Skrypty ładowane i wykonywane w przeglądarce posiadacza karty. Podczas procesu płatności są zarządzane, kontrolowane i autoryzowane.
  • - Zewnętrzne skany podatności („ASV”) przeprowadzane są co najmniej raz na kwartał.
  • - Krytyczne pliki systemowe na systemach sprzedawcy są monitorowane, a w przypadku wykrycia jakiejkolwiek zmiany podnoszone są alarmy i podejmowane są odpowiednie działania.

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ A-EP, za vaše podjetje veljajo naslednje informacije:

Kryteria dla SAQ A-EP:

- Organizacje e-commerce, które powierzyły całą obsługę płatności zatwierdzonym przez PCI DSS stronom trzecim i które nie posiadają strony internetowej bezpośrednio odbierającej dane posiadaczy kart, ale mogą przetwarzać lub transmitować dane posiadaczy kart w systemach sprzedawcy lub na jego terenie.

- Strona internetowa Twojej organizacji kontroluje stronę płatności, ale sama strona nie wykonuje żadnych operacji przetwarzania. Wszystkie dane są wysyłane do procesora płatności (na przykład za pomocą metody POST).

Przykłady wymagań dla kwestionariusza typu SAQ A-EP:

- Brak elektronicznego przechowywania danych kart.

- Systemy są zabezpieczone i aktualizowane.

- Oprogramowanie antywirusowe jest wdrażane tam gdzie jest to konieczne.

- Oprogramowanie jest rozwijane i aktualizowane w sposób bezpieczny.

- Skrypty łądowane Ładowane i wykonywane w przeglądarce posiadacza karty podczas procesu płatności są zarządzane, kontrolowane i autoryzowane.

- Od 2024 roku wdrażana jest techniczna metoda wykrywania i zapobiegania atakom opartym na sieci web.

- Dostęp do systemów jest ograniczony i zabezpieczony.

- Aktywność użytkownika i zdarzenia systemowe są rejestrowane i przechowywane.

- Zewnętrzne skanypodatności ASV przeprowadzane są co najmniej raz na kwartał.

- Testy penetracyjne są wykonywane co najmniej raz w roku.

- Wdrażane są systemy wykrywania i zapobiegania intruzjom, aby ostrzegać i/lub zapobiegać nieautoryzwanemu dostępowi.

- Krytyczne pliki systemowe w organizacji są monitorowane, aby podczas jakiejkolwiek zmiany pojawiał się alert – (FIM – File Integrity Monitoring) Monitorowanie Integralności Plików.

Če noben do sedaj omenjen vprašalnik SAQ ni ustrezen, potem uporabite vprašalnik SAQ D:

Kryteria dla SAQ D:

- Organizacje, które nie przechowują elektronicznie danych kart płatniczych, ale nie spełniają kryteriów dla innego typu SAQ.

- Organizacja posiadające stronę internetową, która przyjmuje transakcje poprzez elektroniczne kanały płatności, przetwarza je, a następnie przekazuje te dane do procesora płatności.

- Organizacje dysponujące wieloma kanałami akceptacji płatności.

- Organizacje, które elektronicznie przechowują dane kart płatniczych.

- Nie ma innego odpowiedniego Kwestionariusza SAQ.

Przykłady wymagania dla kwestionariusza typu SAQ D:

SAQ D obejmuje większość wymagań i w tym przypadku może zaisnieć potrzeba wsparcia wewnętrznego lub zewnętrznego audytora w celu odpowiedniego przetestowania.

Kakšne so zahteve?

Standard je razdeljen na 12 oddelkov, od katerih vsak pokriva določen vidik zahtev.

  • Dvanajst področij standarda ostaja enakih, vendar ima vsak vprašalnik za samooceno (SAQ) vnaprej določen obseg zahtev.
  • Posamezne zahteve so enake, ne glede na uporabljeno predlogo za poročanje. Poročilo o skladnosti ("ROC"), ki ga uporabljajo večje organizacije (ki opravijo več kot 6 milijonov transakcij na leto), vključuje vse zahteve. SAQ D vključuje večji del zahtev, SAQ P2PE pa le manjši del. 

OSNOVNA NAČELA

PODROČJA STANDARDOV

Postavite in vzdržujte varno omrežje in sisteme.

1. Namestite in vzdržujte kontrole za varnost omrežja.

2. Uporabite varno konfiguracijo za vse sistemske komponente.

 Zaščitite podatke o računih strank.

3. Zaščitite shranjene podatke o računih in imetnikih kartic.

4. Zaščitite podatke imetnikov kartic z močnim šifriranjem pri prenosu podatkov prek odprtih javnih omrežij.

Vzdržujte program za upravljanje ranljivosti.

5. Zaščitite vse sisteme in omrežja pred zlonamerno programsko opremo.

6. Razvijajte in vzdržujte varne sisteme in programsko opremo.

Izvajajte stroge ukrepe za nadzor dostopa. 

7. Omejite dostop do sistemskih komponent in podatkov o imetnikih kartic le na minimum, ki je potreben, v skladu z načelom »need to know« (dostopa do nujno potrebnih podatkov za nemoteno in skladno poslovanje).

8. Določite uporabnike in ustrezno avtentikacijo za dostop do sistemskih komponent.

9. Omejite fizični dostop do podatkov imetnikov kartic.

Redno spremljajte in testirajte varnost omrežja.

10. Zabeležite in spremljajte vse dostope do sistemskih komponent in podatkov imetnikov kartic.

11. Redno preverjajte varnost svojih sistemov in omrežij.

Vzdržujte pravilnik o varnosti informacij.

12. Zagotovite varnost informacij z izvajanjem ustreznih organizacijskih politik in programov.

  1. Vprašalniki SAQ od vaše organizacije zahtevajo, da navedete, ali so posamezne zahteve izpolnjene ali ne.
  2. Trgovec potrdi skladnost poslovanja s potrdilom AOC (“Attestation of Compliance”).
  3. Če je kateri koli del ocenjevanja za vas opravil pooblaščeni zunanji ocenjevalec, potem ste dolžni pridobiti tudi njihovo AOC potrdilo.
  4. AOC velja eno leto. Ponovno preverjanje  skaldnosti morate zaključiti (ne pričeti) pred datumom izteka veljavnosti prejšnje.
  5. Nekatera ocenjevanja zahtevajo preglede ranljivosti s strani »ASV«, zunanjega izvajalca, ki ga pooblastite za izvedbo takih pregledov.
  • Pregledi ranljivosti morajo biti opravljeni vsaj vsako četrtletje.
  • Zadnja faza uspešnega ASV pregleda ranljivosti s strani zunanjega izvajalca je, da validirate njegovo oceno. Brez vaše validacije pregleda ranljivosti proces za vas ni končan. 
Kaj je PCI?
Osnovne informacije za trgovce, ki na svojih prodajnih mestih sprejemajo kartična plačila

ASV skeniranje, penetracijski testi, sistemi IDS / IPS (zaznavanje vdorov / preprečevanje vdorov), File Integrity Monitoring - FIM.

Pri oceni se lahko zahteva ena ali več teh dejavnosti, odvisno od uporabljene predloge za poročanje.

Gre za bistveno različne dejavnosti, kot je pojasnjeno v nadaljevanju.

ASV

Kot del PCI DSS zahtev mora vsak trgovec z IP naslovom, ki je javno dostopen preko interneta, opraviti varnostni pregled vsaj vsako četrtletje. Varnosti pregled izvede zunanji izvajalec ASV. Če želite uspešno opraviti pregled, ne sme biti nobenih varnostnih težav ali odkritih ranljivosti, ki niso bile odpravljene. Pomembno je omeniti, da to ni poglobljen penetracijski test. Varnostni pregled s strani ASV poišče običajne težave s programsko opremo ter težave glede konfiguracij in se šteje le kot osnovno varnostno preverjanje.

Penetracijsko testiranje

Izkušen tester opravi skeniranje, da ugotovi morebitne ranljivosti sistema. Testiranje je podobno kot skeniranje s strani ASV, vendar gre tester v tem primeru še dlje in poskuša izkoristiti ugotovljene ranljivosti. Kljub temu, da penetracijsko skeniranje predstavlja višji nivo kot ASV, je ASV skeniranje še vedno potrebno. Pomembno je omeniti, da mora skeniranje ASV opraviti zunanji izvajalec, ki je odobren in naveden na spletni strani Sveta PCI. Testerji niso imenovani s strani Sveta PCI, vendar morajo biti usposobljeni in izkušeni v tej dejavnosti.

Sistemi IDS/IPS za odkrivanje kibernetskih napadov in boj proti njim

To so sistemi v vašem podjetju, ki spremljajo mrežni promet na podoben način, kot protivirusna programska oprema nadzoruje programe in podatke. Ti sistemi lahko prepoznajo znane "slabe" vnose v omrežju ali pa lahko naj opozorijo in ga blokirajo, odvisno od načina implementacije IDS/IPS. Vedno morajo biti v stanju pripravljenosti in se posodabljati, da se zagotovi, da imajo najnovejše podatke o morebitnih nevarnih elementih, ki jim omogočajo prepoznavanje nevarnih dejavnosti.

File Integrity Monitoring - FIM

Sistem FIM spremlja datoteke v sistemu in sproži alarm, če zazna spremembo znanih/ izvirnih različic. Na ta način lahko prepoznate morebitne zlonamerne spremembe v bistvenih sistemskih datotekah.

Kje lahko najdem več informacij?

Vse standarde aktualizira in objavlja PCI Security Standard Council.

Kaj najdete na spletni strani PCI SSC:

  • Datoteke (ki jih je mogoče prenesti) s smernicami in navodili za izpolnjevanje SAQ.
  • Vprašalnike tipa SAQ.
  • Pogosto zastavljena vprašanja (FAQ).
  • Smernice za podjetja.
  • Sezname ponudnikov ter produktov/storitev, ki so certificirani skladno z različnimi PCI standardi: PTS, ASV, P2PE.
  • In še več...
Uradna spletna stran Sveta za varnostne standarde PCI Odpri v novem oknu
pci logo

Ena od nalog podjetja Worldline je zagotoviti in podpreti naše stranke pri vzdrževanju skladnosti s PCI DSS, zahtevami in predpisi plačilnih sistemov.

Kaj je PCI? Osnovne informacije za trgovce, ki na svojih prodajnih mestih sprejemajo kartična plačila
security