PCI DSS

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2020. március 31-én felülvizsgált verziótól ; az ellenőrzések 16 szerkesztést igényelnek .

A Payment Card Industry Data Security Standard (PCI DSS) (az angol "payment card industry security standard" szóból) a Visa , MasterCard , American Express , JCB és Discover nemzetközi fizetési rendszerek által létrehozott fizetési kártyaadat- biztonsági szabvány . [1] A PCI biztonsági szabványok célja a fizetési adatok védelme a fizetés teljes életciklusa alatt, valamint olyan technológiai megoldások biztosítása, amelyek leértékelik ezeket az adatokat, és ezáltal elriasztják a bűnözőket attól, hogy ellopják azokat. [2]

A fizetési kártya iparág adatbiztonsági szabványáról

A PCI DSS követelményeinek való megfelelés átfogó megközelítést jelent a fizetési kártyaadatok információbiztonságának biztosítására . [3] A PCI DSS megfelelőség szükségességét a fizetési rendszer üzemeltetői saját biztonsági programjaik részeként állapítják meg.

Például:

Minden olyan szervezetnek, amely ezen fizetési rendszerek kártyaadatait tárolja, továbbítja vagy feldolgozza, meg kell felelnie a PCI DSS követelményeinek. Ezenkívül a fizetési rendszerek szabályokat állapítanak meg a PCI DSS-nek való megfelelés megerősítésére. [3]

A nemzeti (helyi) fizetési rendszerek biztonsági programjaikban is meghatározhatják a PCI DSS megfelelőség követelményét, és követelményeket állapíthatnak meg a megfelelőség-igazolási rendszerre vonatkozóan. Például a „ Mir ” fizetési rendszerben a PCI DSS-nek való megfelelés szükségességét a „Mir” PS „Biztonsági program” szabványa határozza meg. [4] A program meghatározza a szervezeti szinteket és a jelentéstételi követelményeket is.

A szabványt 2006 szeptembere óta a Visa nemzetközi fizetési rendszer vezeti be a CEMEA régióban ( Közép - Kelet-Európa , Közel-Kelet és Afrika ) kötelező jelleggel, hatása Oroszországra is vonatkozik . Ezért a VisaNettel közvetlenül dolgozó szolgáltatóknak ( feldolgozó központok, fizetési átjárók , internetszolgáltatók ) audit eljáráson kell átesnie a szabvány követelményeinek való megfelelés érdekében.

2012 óta minden bankkártyával dolgozó szervezet számára kötelező a tanúsítás. [5]

PCI DSS megfelelőségi nyilatkozat

A különböző nemzetközi fizetési rendszerek eltérő követelményeket támasztanak a PCI DSS-követelményeknek való megfelelés ellenőrzésének folyamatában.

A visszaigazolási sémák általában a szervezetenként eltérőek a feldolgozott kártyatranzakciók számától függően. Minden szervezethez hozzárendelnek egy bizonyos szintet a megfelelő követelményekkel, amelyeket teljesíteniük kell. A fizetési rendszerek követelményeinek részeként a szervezetek éves auditja a PCI DSS-nek való megfelelés vagy önértékelés tekintetében.

A következő módszerek állnak rendelkezésre a PCI DSS követelményeknek való megfelelés ellenőrzésére:

A megfelelőség-ellenőrzési módszer vagy módszerek kombinációja a kereskedő vagy szolgáltató szintjétől függően kerül kiválasztásra.

A kereskedelmi és szolgáltató vállalkozások szintjei

A kereskedelmi és szolgáltató vállalkozás (TSE) olyan szervezet, amely fizetési kártyát fogad el az eladott árukért vagy szolgáltatásokért. Kereskedelmi és szolgáltató vállalkozások például az üzletek, éttermek, szállodák és online áruházak.

A Visa besorolása szerint:

1. szint:

A megfelelőségértékelés követelményei:

2. szint:

A megfelelőségértékelés követelményei:

3. szint:

A megfelelőségértékelés követelményei:

4. szint:

A megfelelőségértékelés követelményei:

MasterCard besorolás szerint:

1. szint:

A megfelelőségértékelés követelményei:

2. szint:

A megfelelőségértékelés követelményei:

3. szint:

A megfelelőségértékelés követelményei:

4. szint:

A megfelelőségértékelés követelményei:

Szolgáltatói szintek

A szolgáltatók olyan szervezetek, amelyek főként az informatika területén nyújtanak különféle szolgáltatásokat kereskedőknek, elfogadó bankoknak és kibocsátóknak, valamint közvetlenül a nemzetközi fizetési rendszereknek. Ugyanakkor a szervezet – a szolgáltató – hozzájut a kártyabirtokosokra vonatkozó adatokhoz. Példák a szolgáltatókra: feldolgozó központok , fizetési átjárók, adatközpontok, tokenizációs és pont-pont titkosítási ( P2PE ) szolgáltatók.

A Visa besorolása szerint:

1. szint:

A megfelelőségértékelés követelményei:

2. szint:

A megfelelőségértékelés követelményei:

MasterCard besorolás szerint:

1. szint:

Minősítési követelmények:

2. szint:

A megfelelőségértékelés követelményei:

Könyvvizsgáló cégek PCI QSA

Amint az a besorolásból látható, a legmagasabb szintű tanúsítást minősített biztonsági értékelő (PCI QSA) státuszú könyvvizsgáló cégnek kell elvégeznie. Más szintek esetében a QSA bevonása nem kötelező követelmény. A QSA azonban bármilyen szintű megfelelőségértékeléshez tud tanácsadói szolgáltatásokat nyújtani. .

Könyvvizsgáló cégek PCI PA-QSA

Létezik egy kapcsolódó PCI DSS biztonsági szabvány a fizetési alkalmazásokhoz - Payment Card Industry Payment Application - Data Security Standard (PCI PA-DSS). A fizetési tranzakciók feldolgozásával foglalkozó szoftverek gyártóinak a PA-DSS szabvány szerint kell hitelesíteniük az alkalmazásokat. A Visa és MasterCard nemzetközi fizetési rendszerek követelményei szerint 2012. július 1-től minden kereskedő és  szolgáltató csak a PA-DSS szabvány szerint tanúsított fizetési alkalmazásokat használhatja. E követelmény teljesítésének ellenőrzése az elfogadó bankokra van bízva. A PA-DSS szabvány szerinti fizetési kérelem hitelesítést PCI PA-QSA státuszú cégek végezhetik .

PCI DSS követelmények

A PCI DSS a következő hat vezérlési területet és 12 alapvető biztonsági követelményt határoz meg.

Biztonságos hálózat kiépítése és karbantartása

A kártyabirtokos adatok védelme

Sebezhetőségkezelő program támogatása

Szigorú hozzáférés-ellenőrzési intézkedések végrehajtása

Rendszeres hálózatfigyelés és tesztelés

Információbiztonsági politika támogatása

A PCI DSS szabvány verziói

A PCI SSC Tanács három éves szabványos frissítési ciklust követ. Az első évben a szabvány bevezetése az iparágban, a második évben a visszajelzések gyűjtése a fizetőkártya-iparban résztvevők megjegyzései és kívánságai formájában, a harmadik évben a szabvány új verziójának elkészítése. . A szakaszok között PCI SSC Community Meeting konferenciákat tartanak, amelyek amerikai és európai ülésekből állnak. A konferenciákon résztvevő szervezetek, nemzetközi fizetési rendszerek, tanácsadók és QSA-k, valamint kereskedők és szolgáltatók vitatják meg a szabvány és a kapcsolódó dokumentumok jövőjét.

A szabványos változások története:

Jegyzetek

  1. Mi az a PCI DSS (Payment Card Industry Data Security Standard)? - A WhatIs.com definíciója  (angol) . SearchSecurity . Hozzáférés időpontja: 2022. szeptember 16.
  2. Szabványok  _  _ . PCI Biztonsági Szabványok Tanácsa . Hozzáférés időpontja: 2022. szeptember 16.
  3. 1 2 Gyakran Ismételt   Kérdés ? . PCI Biztonsági Szabványok Tanácsa . Hozzáférés időpontja: 2022. szeptember 16.
  4. Biztonsági program .
  5. PCI DSS szabvány: mi ez, követelmények, hogyan lehet tanúsítványt szerezni . itglobal.com . Hozzáférés időpontja: 2022. szeptember 16.
  6. A fizetések jövőjének biztosítása: A PCI SSC közzéteszi a PCI Data Security Standard   v4.0 -t ? . PCI Biztonsági Szabványok Tanácsa . Hozzáférés időpontja: 2022. szeptember 16.

Linkek