e-commerce

Osnovne informacije za trgovce, ki na svojih prodajnih mestih sprejemajo kartična plačila

Kaj v kartičnem poslovanju pomenita izraza “face-to-face” ali “sprejemanje kartic na prodajnih mestih”?

To izključuje:

- transakcije, ki so opravljene preko spletne strani oz. trgovčeve spletne trgovine, ne glede na to, kdo vnese podatke o kartici.

- transakcije, ki so opravljene preko mobilne aplikacije na napravi imetnika kartice. 

To vključuje:

- plačila s karticami, ko imetnik kartice osebno opravi transakcijo s svojo fizično kartico ali kartico, ki je shranjena v njegovi mobilni denarnici.

- transakcije, opravljene na trgovčevem plačilnem terminalu (na samostojnem terminalu; terminalu, povezanem s programsko opremo trgovčeve blagajne, ali na telefonu/tabličnem računalniku trgovca).

- kartična plačila, ki jih trgovec sprejme na podlagi vnosa podatkov o kartici neposredno v virtualni terminal, ki ga priskrbi PSP, t.j. ponudnik plačilnih storitev (več o tem v nadaljevanju). 

Kaj moramo storiti kot podjetje, ki sprejema kartična plačila?

V primeru neskladnosti s PCI standardi lahko pride do denarne kazni s strani kartičnih shem, ki ste jo dolžni poravnati, mi pa smo lahko primorani prenehati procesirati vaše transkacije. 

PCI DSS vključuje več sto zahtev, saj pokriva vse aktivnosti, katerih skladnost se preverja.

Za tiste zahteve, ki veljajo za vaše podjetje, potrebujete oceno 100-odstotne skladnosti s predpisi.

Enak standard velja za vse, vendar so lahko posamezne zahteve označene kot "N/A" (ni relevantno), če za to obstaja razlog, vendar morajo biti te izjeme ustrezno utemeljene.

Od velikih podjetij (ki opravijo več kot 1 milijon transakcij na leto) se lahko zahteva, da njihovo letno varnostno ocene izvede pooblaščeni revizor (notranji varnostni ocenjevalec (»ISA«) ali zunanji varnostni ocenjevalec (»QSA«)).

Manjši poslovni subjekti lahko opravijo samooceno, brez da bi za to pooblastili ISA ali QSA (notranjega ali zunanjega specialista za preverjanje varnosti).

Opravljeno letno preverjanje pomeni validacijo vaše skladnosti. Ne glede na to pa ste dolžni ravnati skladno s standardi 365 dni v letu.

Katera temeljna načela standardov veljajo za moje podjetje?

Za manjša podjetja je Svet PCI oblikoval nabor vprašalnikov za samooceno ("SAQ"), ki veljajo za določene primere poslovnih praks.   

Zahteve, ki veljajo za izvajanje kartičnih plačil ob prisotnosti kartice:

SAQ B: Podjetja, ki uporabljajo imprinterje ali samostojne dial-out (povezane prek telefonske linije) plačilne terminale brez elektronskega shranjevanja podatkov o imetniku kartice.

SAQ B-IP: Podjetja, ki uporabljajo samostojne plačilne terminale, certificirane v skladu s PTS, z IP (internetno) povezavo s plačilnim procesorjem, brez elektronskega shranjevanja podatkov imetnika kartice.

SAQ C-VT: Podjetja, ki ročno vnašajo podatke o posamezni kartici v spletni virtualni terminal, ki ga trgovcu da na voljo PCI DSS certificiran ponudnik plačilnih storitev (PSP). Brez elektronskega shranjevanja podatkov imetnika kartice.

SAQ C: Podjetja, ki uporabljajo sistem plačilnih aplikacij, povezanih z internetom. Brez elektronskega shranjevanja podatkov imetnika kartice.

SAQ P2PE-HW: Podjetja, ki uporabljajo le fizične plačilne terminale, ki so vključeni in upravljani prek preverjene in PCI SSC notificirane P2PE rešitve, brez shranjevanja elektronskih podatkov imetnika kartice.

SAQ SPoC: Podjetja, ki uporabljajo standardno mobilno napravo, kot je telefon ali tablični računalnik, z varnim čitalcem kartic, ki je na PCI SSC SpoC seznamu odobrenih rešitev in, ki nima dostopa do nešifriranih podatkov o računu. Brez elektronskega shranjevanja podatkov imetnika kartice.

Če noben od zgornjih opisov ne velja za vaše podjetje, uporabite vprašalnik SAQ D.

e-commerce

Preberite več o posameznih vprašalnikih za samooceno (SAQ) za face-to-face trgovce

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ B, za vaše podjetje veljajo naslednje informacije:

Kriteriji za SAQ B:

  • - Podjetja, ki uporabljajo imprinterje ali samostojne dial-out plačilne terminale (ki komunicirajo prek telefonske linije) brez elektronskega shranjevanja podatkov o imetniku kartice.
  • - Velja izključno za dial-out terminale, ki se povezujejo prek telefonske linije – ne za terminale, ki komunicirajo prek interneta.
  • Brez shranjevanja podatkov o kartici. 

Primeri zahtev pri vprašalniku SAQ B:

Redno nadzorovanje in pregledovanje plačilnih terminalov ter usposabljanje osebja za izvajanje takih pregledov. 

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ B-IP, za vaše podjetje veljajo naslednje informacije:

Kriteriji za SAQ B-IP:

- Podjetja, ki uporabljajo samostojne plačilne terminale, certificirane v skladu s PTS, z IP (internetno) povezavo s plačilnim procesorjem, brez elektronskega shranjevanja podatkov imetnika kartice.

- Plačilni terminali so povezani s plačilnim procesorjem samo prek internetnega omrežja in ne s katerim koli drugim sistemom v trgovčevi infrastrukturi, ter se ne zanašajo na nobeno drugo napravo (kot je računalnik, mobilni telefon, tablica ali druga podobna naprava) za vzpostavitev povezave s plačilnim procesorjem.

Brez shranjevanja podatkov o kartici.

Primeri zahtev pri vprašalniku SAQ B-IP:

- Plačilni terminali morajo biti certificirani v skladu s PTS.

- Postavitev in vzdrževanje varnega omrežja in sistemov.

- Redno nadzorovanje in pregledovanje plačilnih terminalov ter usposabljanje osebja za izvajanje takih pregledov.

- Opravljanje četrtletnih pregledov ranljivosti vseh javnih IP omrežij (ki jih izvede zunanji izvajalec »ASV«). 

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ C-VT, za vaše podjetje veljajo naslednje informacije:

Kriteriji za SAQ C-VT:

- Podjetja, ki ročno vnašajo podatke o posamezni kartici v spletni virtualni terminal, ki ga trgovcu da na voljo PCI DSS certificiran ponudnik plačilnih storitev (PSP). Brez elektronskega shranjevanja podatkov imetnika kartice.

Brez elektronskega shranjevanja podatkov imetnika kartice.

- Uporablja se samo virtualni terminal, ki ga priskrbi ponudnik plačilnih storitev, in je dostopen prek spletne strani.

- Računalnik, ki ga uporabljate, ni povezan z nobenim drugim sistemom.

- Možno je procesirati eno transakcijo naenkrat - brez prenosa datotek ali paketne obdelave.

Ni možno sprejemanje plačil na drug način.

Brez shranjevanja podatkov o kartici.

Primeri zahtev pri vprašalniku SAQ C-VT:

- Postavitev in vzdrževanje varnega omrežja in sistemov.

- Namestitev in vzdrževanje protivirusne programske opreme.

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ C, za vaše podjetje veljajo naslednje informacije:

Kriteriji za SAQ C:

- Podjetja, ki uporabljajo sistem plačilnih aplikacij, povezanih z internetom. Brez elektronskega shranjevanja podatkov imetnika kartice.

- Ena aplikacija, ki je nameščena na enem računalniku oziroma napravi.

- Aplikacija ne shranjuje podatkov o kartici.

- Posamezni sistemi so samostojni, med seboj niso povezani, lokacije so izolirane.

Brez shranjevanja podatkov o kartici.

Primeri zahtev pri vprašalniku SAQ C:

- Postavitev in vzdrževanje varnega omrežja in sistemov.

- Uporaba močnega šifriranja.

- Namestitev in vzdrževanje protivirusne programske opreme.

- Razvoj varne programske opreme.

- Redno nadzorovanje in pregledovanje plačilnih terminalov ter usposabljanje osebja za izvajanje takih pregledov.

- Izvajanje četrtletnih pregledov ranljivosti vseh javnih IP omrežij in sistemov (ki ga izvede notranji ali zunanji specialist za preverjanje varnosti).

- Spremljanje sistemov in beleženje dogodkov vključno z implementiranimi mehanizmi za opozorila pri nepravilnostih. 

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ P2PE-HW, za vaše podjetje veljajo naslednje informacije:

Kriteriji za SAQ P2PE-HW:

- Podjetja, ki uporabljajo le fizične plačilne terminale, ki so vključeni in upravljani prek preverjene in PCI SSC notificirane P2PE rešitve, brez shranjevanja elektronskih podatkov imetnika kartice.

- Obdelava plačil poteka izključno preko rešitve, ki je notificirana in certificirana skladno s P2PE standardom.

- Terminali, programska oprema in različice aplikacije so morejo ujemati s P2PE notifikacijo le-teh na uradnem seznamu (Uradni seznam P2PE.).

Primeri zahtev pri vprašalniku SAQ P2PE-HW:

- Implementiranje vseh kontrol iz priročnika P2PE Implementation Manual (PIM), ki vam ga priskrbi vaš ponudnik.

- Redno nadzorovanje in pregledovanje plačilnih terminalov ter usposabljanje osebja za izvajanje takih pregledov. 

Če izpolnjujete kriterije za izpolnjevanje vprašalnika SAQ SPoC, za vaše podjetje veljajo naslednje informacije:

Kriteriji za SAQ SPoC:

- Podjetja, ki uporabljajo standardno mobilno napravo, kot je telefon ali tablični računalnik, z varnim čitalcem kartic, ki je na PCI SSC SpoC seznamu odobrenih rešitev in, ki nima dostopa do nešifriranih podatkov o računu in brez elektronskega shranjevanja podatkov imetnika kartice.

- Obdelava plačil poteka izključno preko uradno certificiranih in notificiranih SpoC rešitev.

- Terminali, programska oprema in različice aplikacije se morajo ujemati s seznamom na uradni spletni strani PCI SSC.

Primeri zahtev pri vprašalniku SAQ SPoC:

Redno nadzorovanje in pregledovanje plačilnih terminalov ter usposabljanje osebja za izvajanje takih pregledov. 

Če noben predhodno omenjen vprašalnik SAQ ni ustrezen, potem uporabite vprašalnik SAQ D:

Kriteriji za SAQ D:

- Podjetja, ki ne shranjujejo podatkov o plačilnih karticah elektronsko, vendar ne ustrezajo kriterijem za druge vrste vprašalnikov SAQ.

- Podjetja s spletno stranjo, ki sprejemajo transakcije preko elektronskih plačilnih kanalov, jih obdelujejo in posredujejo podatke plačilnemu procesorju.

- Podjetja, ki sprejemajo plačilne kartice preko več različnih kanalov za sprejemanje kartic.  

- Podjetja, ki elektronsko shranjujejo podatke o plačilnih karticah.

- Noben drug SAQ vprašalnik ni primeren. 

Primeri zahtev pri vprašalniku SAQ D:

SAQ D vključuje večino zahtev in lahko zahteva pomoč notranjega ali zunanjega specialista za preverjanje varnosti.

Kakšne so zahteve?

Standard je razdeljen na 12 področij, od katerih vsako področje pokriva določen vidik zahtev.

  • Dvanajst področij standarda ostaja enakih, vendar ima vsak vprašalnik za samooceno (SAQ) vnaprej določen obseg zahtev.
  • Posamezne zahteve so enake, ne glede na uporabljeno predlogo za poročanje. Poročilo o skladnosti ("ROC"), ki ga uporabljajo večje organizacije (ki opravijo več kot 6 milijonov transakcij na leto), vključuje vse zahteve. SAQ D vključuje večji del zahtev, SAQ P2PE pa le manjši del. 

OSNOVNA NAČELA

PODROČJA STANDARDOV

Postavite in vzdržujte varno omrežje in sisteme.

1. Namestite in vzdržujte kontrole za varnost omrežja.

2. Uporabite varno konfiguracijo za vse sistemske komponente.

 Zaščitite podatke o računih strank.

3. Zaščitite shranjene podatke o računih in imetnikih kartic.

4. Zaščitite podatke imetnikov kartic z močnim šifriranjem pri prenosu podatkov prek odprtih javnih omrežij.

Vzdržujte program za upravljanje ranljivosti.

5. Zaščitite vse sisteme in omrežja pred zlonamerno programsko opremo.

6. Razvijajte in vzdržujte varne sisteme in programsko opremo.

Izvajajte stroge ukrepe za nadzor dostopa. 

7. Omejite dostop do sistemskih komponent in podatkov o imetnikih kartic le na minimum, ki je potreben, v skladu z načelom »need to know« (dostopa do nujno potrebnih podatkov za nemoteno in skladno poslovanje).

8. Določite uporabnike in ustrezno avtentikacijo za dostop do sistemskih komponent.

9. Omejite fizični dostop do podatkov imetnikov kartic.

Redno spremljajte in testirajte varnost omrežja.

10. Zabeležite in spremljajte vse dostope do sistemskih komponent in podatkov imetnikov kartic.

11. Redno preverjajte varnost svojih sistemov in omrežij.

Vzdržujte pravilnik o varnosti informacij.

12. Zagotovite varnost informacij z izvajanjem ustreznih organizacijskih politik in programov.

  1. Vprašalniki SAQ od vaše organizacije zahtevajo, da navedete, ali so posamezne zahteve izpolnjene ali ne.
  2. Trgovec potrdi skladnost poslovanja s potrdilom AOC (“Attestation of Compliance”).
  3. Če je kateri koli del ocenjevanja za vas opravil pooblaščeni zunanji ocenjevalec, potem ste dolžni pridobiti tudi njihovo AOC potrdilo.
  4. AOC velja eno leto. Ponovno preverjanje  skaldnosti morate zaključiti (ne pričeti) pred datumom izteka veljavnosti prejšnje.
  5. Nekatera ocenjevanja zahtevajo preglede ranljivosti s strani »ASV«, zunanjega izvajalca, ki ga pooblastite za izvedbo takih pregledov.
  • Pregledi ranljivosti morajo biti opravljeni vsaj vsako četrtletje.
  • Zadnja faza uspešnega ASV pregleda ranljivosti s strani zunanjega izvajalca je, da validirate njegovo oceno. Brez vaše validacije pregleda ranljivosti proces za vas ni končan.  
Kaj je PCI?
Osnovne informacije za e-comm trgovce

Kje lahko najdem več informacij?

Vse standarde aktualizira in objavlja PCI Security Standard Council.

Kaj najdete na spletni strani PCI SSC:

  • Datoteke (ki jih je mogoče prenesti) s smernicami in navodili za izpolnjevanje SAQ.
  • Vprašalnike tipa SAQ.
  • Pogosto zastavljena vprašanja (FAQ).
  • Smernice za podjetja.
  • Sezname ponudnikov ter produktov/storitev, ki so certificirani skladno z različnimi PCI standardi: PTS, ASV, P2PE.
  • In še več...
Uradna spletna stran Sveta za varnostne standarde PCI Odpri v novem oknu
pci logo

Ena od nalog podjetja Worldline je zagotoviti in podpreti naše stranke pri vzdrževanju skladnosti s PCI DSS, zahtevami in predpisi plačilnih sistemov.

Kaj je PCI? Osnovne informacije za e-comm trgovce
security