Osnovne informacije za e-comm trgovce

Kaj v kartičnem poslovanju pomenita izraza "e-commerce” oziroma "plačila preko spleta"?

E-comm pomeni sprejemanje plačil na daljavo (v elektronski obliki) prek spleta.

- Vaša stranka interagira z vašo spletno trgovino.
- Stranka uporablja mobilno aplikacijo, ki podatke o kartici pošlje do sistema, ki ga kontrolirate vi.

Če vašo spletno trgovino upravlja zunanji izvajalec, ste za PCI skladno poslovanje kljub temu odgovorni vi.

- Vaš pooblaščeni zunanji izvajalec morda že posluje skladno s PCI standardi.
- Če ne, potem vaša ocena skladnosti vključuje tudi skladnost zunanjega izvajalca.

Če imate spletno trgovino, jo lahko upravljate na več načinov.

- Vi nadzorujete strojno opremo in spletno trgovino.
- Za postavitev in upravljanje spletne trgovine ste pooblastili zunanjega ponudnika.
- Spletno trgovino imate na eni izmed prodajnih platform skupaj z drugimi prodajalci (t. i. marketplaces).

Možnost procesiranja plačil je več.

- Vaša spletna trgovina obdela transakcijo in podatke nato pošlje acquirerju.
- Vaša spletna trgovna ne shranjuje podatkov, temveč jih samo sprejme in jih nato pošlje v obdelavo acquirerju.
- Vaša spletna trgovina ne sprejme podatkov o kartici. Ko stranka izvede plačilo, vaše spletno mesto preusmeri vnesene podatke v obdelavo acquirerju. Vaša spletna trgovina nima interakcije s podatki kartice.

Kaj moramo storiti kot podjetje, ki sprejema kartična plačila preko spleta?

V primeru neskladnosti s PCI standardi lahko pride do denarne kazni s strani kartičnih shem, ki ste jo dolžni poravnati, mi pa smo lahko primorani prenehati procesirati vaše transkacije.

PCI DSS vključuje več sto zahtev, saj pokriva vse aktivnosti, katerih skladnost se preverja.

Za tiste zahteve, ki veljajo za vaše podjetje, potrebujete oceno 100-odstotne skladnosti s predpisi.

Enak standard velja za vse, vendar so lahko posamezne zahteve označene kot "N/A" (ni relevantno), če za to obstaja razlog, vendar morajo biti te izjeme ustrezno utemeljene.

Od velikih podjetij (ki opravijo več kot 1 milijon transakcij na leto) se lahko zahteva, da njihovo letno varnostno ocene izvede pooblaščeni revizor (notranji varnostni ocenjevalec (»ISA«) ali zunanji (»QSA«)).

Manjši poslovni subjekti lahko opravijo samooceno, brez da bi za to pooblastili ISA ali QSA (notranjega ali zunanjega specialista za preverjanje varnosti).

Opravljeno letno preverjanje pomeni validacijo vaše skladnosti. Ne glede na to pa ste dolžni ravnati skladno s standardi 365 dni v letu.

Katera temeljna načela standardov veljajo za moje podjetje?

Za manjša podjetja je Svet PCI oblikoval nabor vprašalnikov za samooceno ("SAQ"), ki veljajo za določene primere poslovnih praks.

Obstajata dve vrsti SAQ vprašalnikov, ki veljata za podjetja, ki sprejemajo plačila prek spleta:

SAQ A: Podjetja, ki sprejemajo transakcije brez prisotnosti kartice (prek spletne trgovine ali za naročila po pošti/ telefonu - MO/TO) in ki so za izvedbo plačil pooblastila preverjenega zunanjega ponudnika, ki je odobren s strani PCI DSS. Podjetja sama ne hranijo, obdelujejo ali posredujejo kakršnih koli podatkov o imetnikih kartic v svojih sistemih in prostorih.
SAQ A-EP: Podjetja, ki sprejemajo transakcije brez prisotnosti kartice in ki so za procesiranje plačil pooblastila preverjenega zunanjega ponudnika, odobrenega s strani PCI DSS. Podjetja neposredno ne prejmejo podatkov o karticah, vendar lahko vplivajo na varnost plačilne transakcije. Podjetja sama ne hranijo, obdelujejo ali posredujejo kakšnih koli podatkov o imetnikih kartic v svojih sistemih in prostorih.

Če noben od zgornjih opisov ne velja za vaše podjetje, uporabite vprašalnik SAQ-D.

Preberite več o posameznih vprašalnikih za samooceno (SAQ) za e-comm trgovce

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ A, za vaše podjetje veljajo naslednje informacije:

Kriteriji za SAQ A:

· Podjetja, ki sprejemajo transakcije brez prisotnosti kartice (prek spletne trgovine ali za naročila po pošti/ telefonu - MO/TO) in ki so za izvedbo plačil pooblastila preverjenega zunanjega ponudnika, ki je odobren s strani PCI DSS. Podjetja sama ne hranijo, obdelujejo ali posredujejo kakršnih koli podatkov o imetnikih kartic v svojih sistemih in prostorih
· Med zadnjim korakom plačila vaša spletna stran ne opravlja nobene od zgoraj omenjenih funkcij, temveč preusmeri imetnike kartic na vašega service providerja ali pa se prikaže plačilno okence ("iFrame"), na katerega so omejeni vsi podatki o transakcijah.

Primeri zahtev pri vprašalniku SAQ A:

· Brez shranjevanja podatkov o kartici.
· Varovanje in posodabljanje sistemov.
· Upravljanje, nadzor in avtorizacija skriptov, ki se med postopkom plačila naložijo in izvedejo v brskalniku imetnika kartice.
· Opravljanje četrtletnih pregledov ranljivosti (ki jih izvede zunanji izvajalec »ASV«).
· Spremljanje kritičnih sistemskih datotek. Ob morebitnih nepravilnostih se sprožijo opozorila, na katera se vaše podjetje ustrezno odzove.

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ A-EP, za vaše podjetje veljajo naslednje informacije:

Kriteriji za SAQ A-EP:

· Podjetja, ki sprejemajo transakcije brez prisotnosti kartice in ki so za procesiranje plačil pooblastila preverjenega zunanjega ponudnika, odobrenega s strani PCI DSS. Podjetja neposredno ne prejmejo podatkov o karticah, vendar lahko vplivajo na varnost plačilne transakcije. Podjetja sama ne hranijo, obdelujejo ali posredujejo kakšnih koli podatkov o imetnikih kartic v svojih sistemih in prostorih.
· Vaše spletno mesto nadzoruje plačilno stran. Spletno mesto samo ne procesira podatkov plačilnih kartic, vendar posreduje vse podatke procesorju plačil.

Primeri zahtev pri vprašalniku SAQ A-EP:

· Brez shranjevanja podatkov o kartici.

· Varovanje in posodabljanje sistemov.

· Protivirusna programska oprema je nameščena tam, kjer je potrebna.

· Programska oprema je razvita in posodobljena na varen način.

· Upravljanje, nadzor in avtorizacija skriptov, ki se med postopkom plačila naložijo in izvedejo v brskalniku imetnika kartice.

· Od leta 2024: metoda za odkrivanje in preprečevanje spletnih napadov je implementirana.

· Dostop do sistemov je ustrezno omejen in zavarovan.

· Beleženje in shranjevanje dejavnosti uporabnikov in sistemskih dogodkov.

· Opravljanje najmanj četrtletnih pregledov ranljivosti (ki jih izvede zunanji izvajalec »ASV«).

· Penetracijsko testiranje se izvaja vsaj enkrat letno.

· Sistemi za odkrivanje in preprečevanje vdorov se uporabljajo za opozarjanje in/ali preprečevanje nepooblaščenega dostopa.

· Spremljanje kritičnih sistemskih datotek. Ob morebitnih nepravilnostih se sprožijo opozorila, na katera se vaše podjetje ustrezno odzove.
(FIM – File Integrity Monitoring).

Če noben do sedaj omenjen vprašalnik SAQ ni ustrezen, potem uporabite vprašalnik SAQ D:

Kriteriji za SAQ D:

· Podjetja, ki ne shranjujejo podatkov o plačilnih karticah elektronsko, vendar ne ustrezajo kriterijem za druge vrste vprašalnikov SAQ.

· Podjetja s spletno stranjo, ki sprejemajo transakcije preko elektronskih plačilnih kanalov, jih obdelujejo in posredujejo podatke plačilnemu procesorju.

· Podjetja, ki sprejemajo plačilne kartice preko več kanalov.

· Podjetja, ki elektronsko shranjujejo podatke o plačilnih karticah.

· Noben drug SAQ vprašalnik ni primeren.

Primeri zahtev pri vprašalniku SAQ D:

SAQ D vključuje večino zahtev in lahko zahteva pomoč notranjega ali zunanjega specialista za preverjanje varnosti.

Kakšne so zahteve?

Standard je razdeljen na 12 oddelkov, od katerih vsak pokriva določen vidik zahtev.

Dvanajst področij standarda ostaja enakih, vendar ima vsak vprašalnik za samooceno (SAQ) vnaprej določen obseg zahtev.
Posamezne zahteve so enake, ne glede na uporabljeno predlogo za poročanje. Poročilo o skladnosti ("ROC"), ki ga uporabljajo večje organizacije (ki opravijo več kot 6 milijonov transakcij na leto), vključuje vse zahteve. SAQ D vključuje večji del zahtev, SAQ P2PE pa le manjši del.

OSNOVNA NAČELA

PODROČJA STANDARDOV

Postavite in vzdržujte varno omrežje in sisteme.

1. Namestite in vzdržujte kontrole za varnost omrežja.

2. Uporabite varno konfiguracijo za vse sistemske komponente.

Zaščitite podatke o računih strank.

3. Zaščitite shranjene podatke o računih in imetnikih kartic.

4. Zaščitite podatke imetnikov kartic z močnim šifriranjem pri prenosu podatkov prek odprtih javnih omrežij.

Vzdržujte program za upravljanje ranljivosti.

5. Zaščitite vse sisteme in omrežja pred zlonamerno programsko opremo.

6. Razvijajte in vzdržujte varne sisteme in programsko opremo.

Izvajajte stroge ukrepe za nadzor dostopa.

7. Omejite dostop do sistemskih komponent in podatkov o imetnikih kartic le na minimum, ki je potreben, v skladu z načelom »need to know« (dostopa do nujno potrebnih podatkov za nemoteno in skladno poslovanje).

8. Določite uporabnike in ustrezno avtentikacijo za dostop do sistemskih komponent.

9. Omejite fizični dostop do podatkov imetnikov kartic.

Redno spremljajte in testirajte varnost omrežja.

10. Zabeležite in spremljajte vse dostope do sistemskih komponent in podatkov imetnikov kartic.

11. Redno preverjajte varnost svojih sistemov in omrežij.

Vzdržujte pravilnik o varnosti informacij.

12. Zagotovite varnost informacij z izvajanjem ustreznih organizacijskih politik in programov.

Vprašalniki SAQ od vaše organizacije zahtevajo, da navedete, ali so posamezne zahteve izpolnjene ali ne.
Trgovec potrdi skladnost poslovanja s potrdilom AOC (“Attestation of Compliance”).
Če je kateri koli del ocenjevanja za vas opravil pooblaščeni zunanji ocenjevalec, potem ste dolžni pridobiti tudi njihovo AOC potrdilo.
AOC velja eno leto. Ponovno preverjanje skaldnosti morate zaključiti (ne pričeti) pred datumom izteka veljavnosti prejšnje.
Nekatera ocenjevanja zahtevajo preglede ranljivosti s strani »ASV«, zunanjega izvajalca, ki ga pooblastite za izvedbo takih pregledov.

Pregledi ranljivosti morajo biti opravljeni vsaj vsako četrtletje.
Zadnja faza uspešnega ASV pregleda ranljivosti s strani zunanjega izvajalca je, da validirate njegovo oceno. Brez vaše validacije pregleda ranljivosti proces za vas ni končan.

Kaj je PCI?

Osnovne informacije za trgovce, ki na svojih prodajnih mestih sprejemajo kartična plačila

ASV skeniranje, penetracijski testi, sistemi IDS / IPS (zaznavanje vdorov / preprečevanje vdorov), File Integrity Monitoring - FIM.

Pri oceni se lahko zahteva ena ali več teh dejavnosti, odvisno od uporabljene predloge za poročanje.

Gre za bistveno različne dejavnosti, kot je pojasnjeno v nadaljevanju.

ASV

Kot del PCI DSS zahtev mora vsak trgovec z IP naslovom, ki je javno dostopen preko interneta, opraviti varnostni pregled vsaj vsako četrtletje. Varnosti pregled izvede zunanji izvajalec ASV. Če želite uspešno opraviti pregled, ne sme biti nobenih varnostnih težav ali odkritih ranljivosti, ki niso bile odpravljene. Pomembno je omeniti, da to ni poglobljen penetracijski test. Varnostni pregled s strani ASV poišče običajne težave s programsko opremo ter težave glede konfiguracij in se šteje le kot osnovno varnostno preverjanje.

Penetracijsko testiranje

Izkušen tester opravi skeniranje, da ugotovi morebitne ranljivosti sistema. Testiranje je podobno kot skeniranje s strani ASV, vendar gre tester v tem primeru še dlje in poskuša izkoristiti ugotovljene ranljivosti. Kljub temu, da penetracijsko skeniranje predstavlja višji nivo kot ASV, je ASV skeniranje še vedno potrebno. Pomembno je omeniti, da mora skeniranje ASV opraviti zunanji izvajalec, ki je odobren in naveden na spletni strani Sveta PCI. Testerji niso imenovani s strani Sveta PCI, vendar morajo biti usposobljeni in izkušeni v tej dejavnosti.

Sistemi IDS/IPS za odkrivanje kibernetskih napadov in boj proti njim

To so sistemi v vašem podjetju, ki spremljajo mrežni promet na podoben način, kot protivirusna programska oprema nadzoruje programe in podatke. Ti sistemi lahko prepoznajo znane "slabe" vnose v omrežju ali pa lahko naj opozorijo in ga blokirajo, odvisno od načina implementacije IDS/IPS. Vedno morajo biti v stanju pripravljenosti in se posodabljati, da se zagotovi, da imajo najnovejše podatke o morebitnih nevarnih elementih, ki jim omogočajo prepoznavanje nevarnih dejavnosti.

File Integrity Monitoring - FIM

Sistem FIM spremlja datoteke v sistemu in sproži alarm, če zazna spremembo znanih/ izvirnih različic. Na ta način lahko prepoznate morebitne zlonamerne spremembe v bistvenih sistemskih datotekah.

Kje lahko najdem več informacij?

Vse standarde aktualizira in objavlja PCI Security Standard Council.

Kaj najdete na spletni strani PCI SSC:

Datoteke (ki jih je mogoče prenesti) s smernicami in navodili za izpolnjevanje SAQ.
Vprašalnike tipa SAQ.
Pogosto zastavljena vprašanja (FAQ).
Smernice za podjetja.
Sezname ponudnikov ter produktov/storitev, ki so certificirani skladno z različnimi PCI standardi: PTS, ASV, P2PE.
In še več...

Uradna spletna stran Sveta za varnostne standarde PCI