Safetica > Resources > Předpis PCI DSS: Rozsah, účel a jak dosáhnout souladu

Předpis PCI DSS: Rozsah, účel a jak dosáhnout souladu

Srp 2, 2022

Payment Card Industry Data Security Standard (PCI DSS, zkráceně PCI) je sada pravidel a procesů, které jsou navrženy k ochraně citlivých dat držitelů karet před úniky dat a podvody. V podstatě říká obchodníkům, jak nakládat s informacemi o platebních kartách svých zákazníků bezpečně a chráněně, aby se nedostaly do nesprávných rukou.

PCI DSS byl poprvé představen v USA v prosinci 2004. Pět hlavních společností vydávajících kreditní karty, které standard vytvořily, pak založilo Payment Card Industry Security Standards Council (PCI SSC) jako řídící orgán. PCI SSC dohlíží na správu a další vývoj PCI DSS.

Standard se nadále vyvíjí a v současné době je ve verzi 4.0, vydané v březnu 2022.

blog-PCI-DSS-credit-card-payment-buy-sell-products-service


Pro koho PCI DSS platí?

PCI DSS se vztahuje globálně na všechny subjekty, které zpracovávají, přenášejí nebo ukládají data držitelů karet, bez ohledu na velikost nebo počet transakcí.

Laicky řečeno, pokud jste organizací nebo společností, která pracuje s kreditními nebo debetními kartami s logy alespoň jedné z 5 členských společností, PCI DSS se vás týká. Akvírující banky, online a offline obchodníci a poskytovatelé služeb – všichni musí dodržovat PCI.

Není to však univerzální řešení. Existují 4 úrovně shody, které skutečně závisí na počtu transakcí zpracovaných společností.

Jsou brána v úvahu i další kritéria, jako například to, zda podnik zažil únik dat dříve, nebo způsob, jakým přijímá platby kartou (pouze offline vs. online platební brána).

Každá společnost vydávající karty má svou vlastní tabulku s přesnými kritérii pro každou úroveň, ale obecně to vypadá takto:

  • Úroveň 1: Více než 6 milionů transakcí ročně bez ohledu na akceptační kanál
  • Úroveň 2: Mezi 1 a 6 miliony transakcí ročně bez ohledu na akceptační kanál
  • Úroveň 3: 20 000 až 1 milion e-commerce transakcí ročně
  • Úroveň 4: Méně než 20 000 e-commerce transakcí ročně nebo až 1 milion transakcí bez ohledu na akceptační kanál ročně

Každá úroveň bude mít jiné požadavky na ověření a vykazování PCI – čím větší podnik, tím náročnější jsou požadavky.

Základy souladu s PCI DSS

PCI DSS je komplexní soubor pokynů, které jsou určeny k ochraně dat platebních karet před únikem nebo krádeží od obchodníka nebo organizace. Existuje 12 obecných požadavků. Budeme o nich hovořit níže.

Je důležité si uvědomit, že udržování souladu s PCI DSS je nepřetržité úsilí, ne jednorázová překážka. K udržení souladu jsou hodnocení a zprávy podávány každoročně a systémové skeny jsou prováděny ještě častěji.

Konkrétní postupy testování a ověřování se liší od úrovně k úrovni.

Obecně platí, že všechny organizace podléhající pokynům PCI DSS jsou povinny dokončit roční sebehodnocení. To bude indikovat, jak bezpečné jsou jejich postupy zpracování a uchovávání karet.

Hodnotící formulář může být krátký jako 9 stran a relativně snadno vyplnitelný, nebo se může jednat o 80stránkovou záležitost, která vyžaduje pomoc třetí strany. Na formulářích jsou pouze otázky 'ano' a 'ne', což se může zdát jednoduché, ale technická a stále náročnější povaha otázek může vést k nejistotě. Podniky jsou rovněž povinny řešit jakékoli 'ne' před odesláním formuláře, což přidává další úroveň obtížnosti.

Mezi další požadavky na ověření PCI mohou patřit poskytnutí důkazu o úspěšném absolvování schváleného skenu zranitelnosti nebo dokončení potvrzení o souladu.

Jaké jsou 12 požadavků PCI DSS?

Ačkoli může být dodržování PCI DSS poměrně velkou zátěží pro společnost, jedná se v podstatě o seznam (povinných) osvědčených postupů, které nejsou příliš přitažené za vlasy. Každý z 12 požadavků je pak rozpracován do 3 sekcí: definice, testovací proces a vysvětlení účelu.

12 požadavků PCI ve stručnosti:

  1. Nainstalujte a udržujte firewall. Firewall je preventivní systém, který blokuje příchozí provoz v přístupu k soukromým datům v počítačovém systému podniku.

  2. Konfigurujte bezpečnostní nastavení a hesla. Každé hardwarové zařízení, jako jsou routery nebo POS systémy, je dodáváno s továrně nastaveným heslem a nastavením. Vždy se ujistěte, že tato výchozí nastavení změníte.

  3. Chraňte uložená data držitelů karet. Šifrujte uložená data pomocí algoritmů přijímaných v oboru. Pravidelně skenujte úložné systémy pro odhalení nešifrovaných dat.

  4. Chraňte data držitelů karet přenášená přes otevřené, veřejné sítě. Pro ochranu dat procházejících otevřenými sítěmi musí být použito šifrování.

  5. Používejte a pravidelně aktualizujte antivirový software. Všechny systémy, které mohou být ovlivněny malwarem, musí mít nainstalován aktuální antivirový software.

  6. Pravidelně aktualizujte a opravujte bezpečnostní systémy. Aktualizujte software pravidelně a implementujte všechny záplaty, jakmile jsou vydány, abyste zabránili přístupu hackerů prostřednictvím nedávno objevené zranitelnosti.

  7. Omezte přístup k datům držitelů karet na potřebu znát. Každý v rámci organizace, kdo nepotřebuje přístup k datům držitelů karet, by k nim neměl mít přístup. Ti, kteří jej potřebují, musí být dobře dokumentováni.

  8. Přiřaďte jedinečné ID každému, kdo má přístup do systému pro účely odpovědnosti. Každá osoba s přístupem ke kritickým datovým systémům musí mít své vlastní ID a heslo a všechny případy přístupu musí být zalogovány.

  9. Zabezpečte a omezte fyzický přístup k datům držitelů karet. Data musí být uchovávána v bezpečném umístění, ať už fyzickém nebo digitálním, aby se zabránilo neoprávněnému přístupu a odstranění dat nebo hardwaru.

  10. Sledujte a monitorujte veškerý přístup k datům držitelů karet prostřednictvím logovacích mechanismů. Veďte a kontrolujte logy přístupu k počítačovým systémům a všechny aktivity uživatelů týkající se přístupu k datům. Musí být zavedeny procesy pro zajištění správné reakce na jakékoli anomálie.

  11. Pravidelně testujte zabezpečení systémů a provádějte skeny zranitelnosti. Všechny systémy a procesy musí být pravidelně testovány na zranitelnost a penetraci, aby se odhalily potenciální bezpečnostní problémy.

  12. Udržujte zásady zabezpečení informací. Dokumentujte bezpečnostní zásady, plány a postupy společnosti. Udržujte dokumentaci s inventářem softwaru, hardwaru, informací o přístupu personálu a logů.
 

Rizika nedodržení PCI DSS

Pokud společnost podléhá PCI, ale není v souladu nebo porušuje podmínky stanovené v její smlouvě, bude čelit důsledkům. Ty mohou sahat od pokut udělovaných společnostmi vydávajícími kreditní karty po přirozené důsledky.

Jaká jsou některá rizika nesouladu s PCI?

  • Poplatek za nedodržení PCI


Společnosti může být účtován „poplatek za nedodržení PCI" v hodnotě stovek tisíc USD měsíčně v závislosti na velikosti podniku. Ať už se na to díváte z jakéhokoli úhlu, tento poplatek je opakující se pokuta. Bude účtován každý měsíc, dokud podnik nedodrží standardy PCI.

  • Únik dat


Přirozeně, pokud nedodržujete standardy PCI, zvyšujete riziko úniku dat ve vaší společnosti. Ačkoli požadavky PCI nezaručují, že data držitelů karet podniku zůstanou v bezpečí před útoky, výrazně snižují šanci na úspěšné narušení.

  • Forenzní audit


Bude muset být proveden forenzní audit na náklady společnosti, která byla ohrožena, aby se posoudila příčina úniku dat.

  • Další náklady po úniku


Pokud dojde ke kompromitaci dat platebních karet zákazníků, společnosti vzniknou další náklady, jako je odškodnění zákazníků, náklady na odpovědnost nebo pokuty za každého držitele karty, jehož data byla ukradena nebo ohrožena, a možné zvýšené sazby účtované bankami nebo společnostmi vydávajícími karty po narušení.

Není neslýchané, aby po bezpečnostním narušení následovala žaloba, v takovém případě se náklady mohou rychle znásobit.

  • Poškození značky


Jakákoli společnost, která ztratí nebo ohrozí data držitelů karet, utrpí v očích svých zákazníků. Nevyhnutelné poškození značky může učinit znovuzískání důvěry zákazníků nemožným úkolem. Mnoho podniků po úniku dat skončilo.


Příklady porušení PCI DSS

Ignorování technicky složitějších požadavků PCI DSS je zřejmým příkladem porušení souladu. Existují však případy, kdy je porušení čistě nezáměrné. Zde je několik příkladů:

  • Ukládání informací o platebních kartách na nešifrovaném úložišti nebo koncových bodech
  • Umožnění komukoli v organizaci přístupu k datům platebních karet
  • Ztráta přehledu o tom, kde se data platebních karet nacházejí a pohybují v rámci organizace
  • Posílání informací o držitelích karet e-mailem v rámci společnosti.
  • Nevyžadování, aby se zaměstnanci přihlašovali do systému s jedinečným ID a heslem.
  • Zabezpečení dat pouze mimo pracovní dobu v mylném domnění, že právě tehdy probíhá většina pokusů o hackování.

Mnohokrát stačí nedostatek pochopení nebo pozornosti k pokynům PCI k tomu, aby procesy nebyly správně implementovány nebo v některých případech vůbec.

Zajištění správného školení personálu společnosti o PCI DSS je rovněž důležitou součástí procesu.

Je PCI nařízeno zákonem?

Ne. Řídícím a spravujícím subjektem pro PCI DSS je PCI SSC. Požadavky PCI DSS jsou vymáhány na základě smluv mezi podnikem a jeho bankou a společností vydávající platební karty.

Některé státy v USA začlenily PCI DSS do svých státních zákonů, většinou v tom smyslu, že společnosti, které jsou v souladu s PCI DSS, jsou chráněny před odpovědností v případě úniku dat.

V Evropě je PCI DSS široce používaným standardem, který byl v posledních letech stále více propagován. Stejně jako v USA, PCI není nařízeno zákonem.

safetica-images-regulatory-compliance

Jak Safetica pomáhá s dodržením PCI DSS

  • Sets Company Security Policies

PCI requires you to create and implement well-defined, aligned, and up-to-date information security policies to secure sensitive cardholder data. With Safetica you can monitor user operations across the entire organization, and have an overview of how personal information is processed. Safetica can enforce security policies to make sure that personal information is always protected.

  • Encrypts and protects cardholder information

Business owners who store cardholder information are obligated to protect and encrypt it. Safetica automatically classifies PHI data and enforces related security policies and manages storage encryption across the entire organization.

  • Overview of your sensitive data

It is crucial to know where your sensitive cardholder and other data are stored and how your employees process such data. Safetica provides an overview of the information flows and sensitive data storage.

  • Notifies you in case of data leakage

To minimize the impact of data leakage, you need to be informed immediately. Safetica offers a real-time alert system that makes sure that you can take follow-up actions right away.

Zjistěte více o tom, jak Safetica pomáhá s dodržením PCI-DSS

Similar posts

Co je přístup Zero Trust?

„Nikdy nedůvěřuj, vždy ověřuj" je heslem Zero Trust. Přístup Zero Trust je vyvíjející se model ochrany před úniky dat, který se zaměřuje na...

Čvc 19, 2024 Read more