Bezpieczeństwo z PCI

Bezpieczeństwo
z PCI
Co oznacza PCI?
PCI DSS (Payment Card Industry Data Security Standard) to standard bezpieczeństwa w
posługiwaniu się danymi kart płatniczych. Aby zapobiec nadużyciom, pięć największych
organizacji kartowych (w tym Visa i MasterCard) dostosowały ten standard do przepisów
związanych z przechowywaniem danych. Standard ten zapewnia, że poufne informacje
krążące w globalnym systemie danych nie trafią w niepowołane ręce i nie zostaną
wykorzystane do celów przestępczych.
Co to oznacza dla Ciebie jako sprzedawcy?
Sprzedawca jest zobowiązany poddać się certyfikacji u akredytowanego usługodawcy PCI
DSS, jeżeli jest stroną umowy lub umów w zakresie akceptacji kart płatniczych.
Dla kogo PCI?
Przechowujesz, przetwarzasz lub przesyłasz dane kart
kredytowych zawsze wtedy, gdy pobierasz do Twojego
systemu dane kart kredytowych klientów, czy to do
stałego zapisu, czy też do krótkotrwałego przetworzenia i
przesłania do dostawcy usługi.
Tylko wtedy, gdy dane przesyłane są bezpośrednio do zewnętrznego dostawcy bez
uprzedniego pobrania przez Twój system, nie masz obowiązku używania PCI. Jeśli nie masz
pewności, czy w Twoim systemie są przechowywane, przetwarzane lub przesyłane dane
kart, zwróć się do [email protected]
Bezpiecznie z PCI!
Poprzez przestrzeganie międzynarodowych standardów chronisz siebie i innych przed
atakami cyberprzestępców. Bezpieczeństwo, jakie zapewniasz w ten sposób swoim
klientom, zostanie nagrodzone ich zaufaniem.
Twoje korzyści:
Zwiększone bezpieczeństwo danych dla Ciebie i Twoich klientów
Wzrost zaufania klientów
Zabezpieczenie przed stratami finansowymi i możliwymi roszczeniami materialnymi
klientów
Dobry wizerunek przedsiębiorstwa
Regularny monitoring Twojego systemu bezpieczeństwa
Zmniejszenie ryzyka poprzez minimalizację danych
Więcej bezpieczeństwa dla Ciebie i Twoich klientów
Monitoring bezpieczeństwa
Polega na regularnym sprawdzaniu dwunastu poniższych wymogów bezpieczeństwa PCI. W
tym celu wykorzystuje się wiele narzędzi sprawdzających zależnie od typu sprzedawcy:
Dwanaście wymogów PCI:
1.
Instalacja i utrzymanie zapory sieciowej do
ochrony danych właścicieli kart kredytowych
7.
Zmiana standardowych haseł i ustawień
2.
Przydzielenie indywidualnego numeru ID
zabezpieczających określonych przez
8.
wydawców kart
3.
4.
5.
6
Ograniczenie dostępu do danych kart
kredytowych na zasadzie „Informować tylko
wtedy, gdy to konieczne”
użytkownika każdej osobie z dostępem do
systemu komputerowego
Ochrona zapisanych danych właścicieli kart
Kodowane przesyłanie danych właścicieli kart
kredytowych w sieciach publicznych
Zastosowanie i regularna aktualizacja
oprogramowania antywirusowego
Opracowywanie i zastosowanie bezpiecznych
systemów i aplikacji
9.
Ograniczenie fizycznego dostępu do danych
kart
10.
Raportowanie i nadzorowanie wszystkich
dostępów do zasobów sieci i danych
właścicieli kart kredytowych
11.
Regularne testowanie i monitorowanie
systemów i procesów bezpieczeństwa
12.
Tworzenie wytycznych dla przedsiębiorstwa
wraz z ustawieniami domyślnymi do
zabezpieczania poufnych danych
Kategoria sprzedawcy
Self Assessment
Security Scan
Security
Audit
Poziom 1
> 6 mln transakcji na rok i markę poprzez
wszystkie kanały zbytu (POS, E-Commerce i
Mailorder)
Poziom 2
od 1 mln do 6 mln transakcji na rok i markę
poprzez wszystkie kanały zbytu (POS, ECommerce i Mailorder)
–
kwartalnie
rocznie
kwartalnie
Poziom 3
od 20 tys do 1 mln transakcji E-Commerce
na rok i kod branży
rocznie
kwartalnie
Poziom 4
< 20 tys transakcji na rok i markę poprzez
wszystkie kanały zbytu
rocznie
kwartalnie
Dla sprzedawców z poziomu 1
o
Dla sprzedawców z poziomów 2-4
coroczny audyt bezpieczeństwa na miejscu
poprzez rzeczoznawcę ds. bezpieczeństwa,
kwartalne
skanowanie
sieci
o coroczna
analiza
ankiety
PCI
dotyczącej
samooceny systemu bezpieczeństwa dokonanej
przez sprzedawcę
Qualified Security Assessor (QSA)
o
rocznie
poprzez
o kwartalne skanowanie sieci poprzez uznanego
uznanego kontrolera ds. bezpieczeństwa,
kontrolera
Approved Scanning Vendor (ASV)
Scanning Vendor (ASV)
ds.
bezpieczeństwa,
Approved
Dostosowanie do standardu PCI zabezpiecza wszystkie dane kart kredytowych na wszystkich
etapach przetwarzania danych w sieci globalnej. Tylko dzięki zaangażowaniu wszystkich
użytkowników sieci można zapewnić jej bezpieczeństwo. Dlatego też za łamanie zasad
bezpieczeństwa PCI nakładane są bardzo wysokie kary pieniężne. Oprócz tego sprzedawcy z
poziomów 2-4, u których pojawi się naruszenie zasad bezpieczeństwa, mogą zostać
przyporządkowani do poziomu 1, co pociąga za sobą zastosowanie dodatkowych środków
bezpieczeństwa i bardziej szczegółowych weryfikacji zgodności.