Wiele norm i standardów istnieje i są tworzone w zakresie bezpieczeństwa informacji. Część z nich stanowi dobrą praktykę i nie jest obowiązkowa do wdrożenia i certyfikacji, ale niektóre normy są obligatoryjne dla wybranych branż, grup przedsiębiorstw lub organizacji.
W danym artykule rozpatrzymy jedną z norm, która jest obowiązkową do wdrożenia (w różnym zakresie) w niektórych organizacjach. Jest to norma PCI DSS, najbardziej aktualne wydanie której zostało opublikowane w maju 2018 roku (Wymagania i procedury oceny bezpieczeństwa, wersja 3.2.1.)
Co to jest PCI DSS?
PCI DSS albo Payment Card Industry Data Security Standard jest normą w zakresie bezpieczeństwa, wydaną przez Payment Card Industry Security Standards Council. Jej głównym celem jest zapewnienie wysokiego i spójnego poziomu bezpieczeństwa informacji we wszystkich środowiskach, w których są przetwarzane dane kart płatniczych.
Kto ma spełniać wymogi PCI DSS?
Wszystkie organizacje, niezależnie od wielkości, które przechowują, przetwarzają lub przesyłają dane posiadaczy kart płatniczych są zobowiązane spełniać wymogi PCI DSS. Wymogi te obowiązują we wszystkich kanałach akceptacji płatności, w tym w sektorze detalicznym, sprzedaży wysyłkowej oraz e-commerce.
Warto zauważyć, iż spełnienie wymagań jest obowiązkowe, ale sposoby kontroli, potwierdzenia faktu spełnienia wymagań jest uzależnione od ilości transakcji, które są realizowane rocznie. Również wszystkie organizacji zostały podzielone na dwie grupy: handlowo-usługowe, czyli te którzy bezpośrednio otrzymują dane posiadaczy kart płatniczych oraz dostawcy, którzy przetwarzają lub przechowują dane (data centry, hostingi, międzynarodowe systemy płatnicze).
Jak potwierdzić zgodność z wymaganiami PCI DSS?
Teraz rozpatrzymy bardziej szczegółowo, jak różne grupy organizacji w zależności od liczby transakcji, mają potwierdzić zgodność swoich zabezpieczeń z wymaganiami PCI DSS.
Organizacji handlowo-usługowe zostały podzielone na cztery grupy:
- roczna liczba transakcji powyżej 6 mln w systemie Visa lub MasterCard oraz inni Akceptanci o podwyższonym ryzyku wyznaczeni decyzją systemów płatniczych – metody sprawdzenia zgodności z PCI DSS to coroczny Audyt PCI* oraz kwartalny zewnętrzny skan sieci (testy penetracyjne);
- roczna liczba transakcji od 1 mln do 6 mln w systemie Visa lub MasterCard, – potwierdzenie zgodności za pomocą corocznej Samooceny Zgodności PCI lub corocznego Audytu PCI* oraz przeprowadzenie kwartalnego zewnętrznego skanowania sieci;
- roczna liczba transakcji eCommerce (handel elektroniczny) od 20 tys. do 1 mln w systemie Visa lub MasterCard, – weryfikacja zgodności przez przeprowadzenie corocznej samooceny zgodności PCI oraz kwartalnego zewnętrznego skanowania sieci;
- pozostali Akceptanci mogą wykazać się zgodnością dzięki corocznej samoocenie zgodności PCI (na prośbę agenta rozliczeniowego) oraz okazaniu przeprowadzonego kwartalnego zewnętrznego skanowania sieci (na prośbę agenta rozliczeniowego)
Dostawcy (data centry, hosting, międzynarodowe systemy płatnicze) :
- powyżej 300 tyś. transakcji rocznie – niezbędne jest przeprowadzenie corocznego audytu zewnętrznego (QSA – Qualified Security Assessor) oraz kwartalny zewnętrzny skan sieci (ASV-Approved Scanning Vendor);
- do 300 tyś. transakcji rocznie – potwierdzenie zgodności poprzez przeprowadzenie corocznej samooceny (SAQ – Self Assessment Questionnaire) oraz kwartalnego zewnętrznego skanowania sieci (ASV-Approved Scanning Vendor)
UWAGA!
*Audyt zgodności z PCI ma być przeprowadzony przez zewnętrznego Certyfikowanego Audytora Bezpieczeństwa
Masz pytania? Zadzwoń do NAS!
Pomagamy we wdrożeniu PCI DSS oraz spełnieniu wymagań normy.
Autor: Maryna Kuczyńska (2768)