PCI DSS - úvod

PCI DSS (Payment Card Industry Data Security Standard) je soubor bezpečnostních požadavků – pravidel, které mají za cíl omezit rizika úniku dat držitelů platebních karet a kartové podvody ze zneužití těchto dat. Bezpečnostní požadavky – pravidla (standardy / normy) zaměřené na data (PCI DSS) jsou globálně (mezinárodně) platné a jsou určeny pro organizace, resp. prostředí (CDE) , kde jsou zpracovávána, přenášena anebo uchovávána data o držitelích platebních karet a kartových transakcích (jde tedy zejména o obchodníky akceptující platební karty, outsourcing partnery obchodníků, akceptační i vydavatelské subjekty platebních karet a jejich outsourcing partnery – např. banky, autorizační centrály, datová centra apod.). Plnění je vyžadováno kartovými společnostmi. Nedodržení pravidel včetně způsobu opakovaného prokazování shody s nimi může vést ke vzniku reputačních a finančních škod a k vysokým pokutám.

Informace o kartových datech

Hlavní kartová data

  1. Data držitelů platebních karetčíslo karty, datum její expirace, jméno držitele karty. Tato data lze, pokud je to nevyhnutelně nutné, ukládat v případě dodržení bezpečnostních požadavků vyplývajících ze standardu PCI DSS.
  2. Citlivá ověřovací data (kódy CAV2/CVC2/CVV2/CID, kompletní data z magnetického proužku, osobní identifikační číslo (PIN). Ukládání těchto dat není za žádných okolností povoleno!

K únikům, resp. odcizení kartových dat může dojít z mnoha míst, např. z:

  • platebního terminálu
  • prostoru, kde jsou ukládány papírové účtenky pokud taková data obsahují
  • počítačového systému
  • nahrávky skryté kamery při ověřování dat
  • odposlouchávání pevného i bezdrátového připojení

PCI DSS požadavky (pravidla) - výčet

  1. Instalovat a udržovat konfiguraci firewallů k ochraně dat držitelů karet.
  2. Nepoužívat výchozí nastavení od dodavatele pro systémová hesla a jiné bezpečnostní parametry.
  3. Chránit uchovávaná data držitelů karet.
  4. Zašifrovat přenos dat držitelů karet po otevřených veřejných sítích.
  5. Chránit všechny systémy proti malware a pravidelně aktualizovat antivirový software nebo programy.
  6. Vyvíjet a udržovat bezpečné systémy a aplikace.
  7. Omezit přístup k datům držitelů karet jen podle oprávněné potřeby.
  8. Identifikovat a autentizovat přístup k systémovým komponentám.
  9. Omezit fyzický přístup k datům držitelů karet.
  10. Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet.
  11. Pravidelně testovat bezpečnostní systémy a procesy.
  12. Udržovat politiku zaměřenou na informační bezpečnost pro všechen personál.

Množství relevantních požadavků se může u každého subjektu lišit.

Ke stažení:
PCI DSS v aktuální verzi 3.2.1. EN naleznete zde. 

Hodnotitelé, auditoři posuzující shodu s PCI DSS, ASV

Hodnotitelé provádějící sebehodnocení, auditoři posuzující shodu s PCI DSS a dodavatelé služeb, např. bezpečnostního skenování.

„Qualified Security Assessor” (kvalifikovaný hodnotitel bezpečnosti) je společnost schválená Radou pro bezpečnostní standardy (PCI SSC), jejímž účelem je provádět hodnocení na místě podle kritérií PCI DSS.

QSA organizace a jejich jednotlivé certifikované hodnotitele naleznete zde.

Interní hodnotitel bezpečnosti (Internal Security Assessor) je interní bezpečnostní hodnotitel, který prošel školením a výcvikem organizovaným Radou pro bezpečnostní standardy (PCI SSC) k získání kvalifikace, směřující k lepšímu pochopení PCI Data Security Standardu (PCI DSS). Je schopen usnadnit interakci dané organizace s externími kvalifikovanými hodnotiteli (QSA), příp. zlepšit kvalitu, spolehlivost a důslednost vnitřního sebehodnocení PCI DSS organizace, a podporovat konzistentní a správné uplatňování opatření a kontrol dodržování shody s PCI DSS.

Certifikované ISA neleznete zde.

Organizace kvalifikované Radou pro bezpečnostní standardy (PCI SSC) pro validaci P2PE řešení a P2PE komponent, resp. pro validaci P2PE aplikací. Kvalita, spolehlivost a důslednost QSA (P2PE) společností poskytují jistotu, že P2PE řešení byly validovány pro P2PE.

Jednotlivé certifikované P2PE QSA, naleznete zde.

Certifikované P2PE PA naleznete zde.

ASV organizace schválená Radou pro bezpečnostní standardy PCI SSC disponující souborem bezpečnostních nástrojů a služeb („řešení ASV skenování”), která je kvalifikována pro provádění skenování vnějších zranitelností pro dodržování validace požadavků PCI DSS externího skenování. 

Jednotlivé certifikované ASV naleznete zde.

Další PCI Standardy

  • Určeno pro výrobce platebních (EFT POS, ATM, …) a šifrovacích (HSM) zařízení
  • Požadavky pro zajištění fyzické a logické bezpečnosti zařízení a jejich správu před nahráním šifrovacích klíčů pro zpracovávání platebních transakcí
  • Vytvořeno pro zajištění bezpečnosti zařízení, kde data vstupují do systému a kde se šifrují

    Certifikovaná PTS zařízení naleznete zde.
  • Určeno pro výrobce (programátory) platebních aplikací (pro platební terminály, platební brány, acquierské systémy, …)
  • Požadavky pro zajištění bezpečného vývoje bezpečných aplikací, které zpracovávají, přenášejí nebo ukládají data držitelů karet
  • Vytvořeno pro zjednodušení PCI DSS auditu

    Certifikované platební aplikace naleznete zde.

Payment Application Data Security Standard (dále jen. PA DSS) je jedním ze základních bezpečnostních standardů ze skupiny PCI security standardů. PA DSS definuje bezpečnostní požadavky na platební aplikace dodavatelů software. Pokud jsou citlivá kartová data ukládána, zpracovávána nebo přenášena přes software aplikaci, pak je tato aplikace považována za platební a spadá do rozsahu PA DSS.

Je povinností obchodníka, aby používal pouze takové platební aplikace nebo používal taková řešení, kde použité platební Aplikace budou certifikované oproti PA DSS. Zodpovědnost za provedení PA DSS certifikaci nese její dodavatel.

Do rozsahu PA DSS nejsou zahrnuty všechny platební aplikace. V případě, že obchodník používá nebo plánuje použít aplikaci, která svým charakterem odpovídá uvedené definici pro platební aplikaci, pak je jeho povinností ověřit, zda aplikace podléhá povinnosti certifikace dle PA DSS – podrobné informace jsou k dispozici v originálním znění zde.

  • Určeno pro poskytovatele platebních řešení (poskytovatel EFT a platební brány, …)
  • Požadavky na zabezpečení platebního řešení jako služby, které neumožní získat z prostředí obchodníka přístup k datům držitelů karet
  • Vytvořeno pro redukci prostředí dat držitelů karet a zjednodušení souladu s PCI DSS

    Certifikovaná P2PE zařízení naleznete zde.

  • Určeno pro subjekty, které zpracovávají, přenáší nebo ukládají data držitelů karet (včetně obchodníků)
  • Požadavky na zabezpečení dat držitelů karet během přenosu, ukládání nebo zpracování
  • Vytvořeno pro zajištění minimální sady opatření pro redukci rizika úniku dat držitelů karet

    PCI DSS v aktuální verzi 3.2.1. EN naleznete zde. 

Standardy organizačně zajišťuje Rada pro bezpečnostní standardy – PCI SSC (Payment Card Industry Standard Security Council), kterou založily největší kartové společnosti (AMEX, Discover, JSB, Mastercard, VISA). Ta zajišťuje zveřejnění požadavků včetně jejich aktualizací (standardně ve tříletých cyklech, v případě potřeby častěji) a další – vysvětlování požadavků, přípravu nástrojů a prostředků pro ověřování shody s požadavky (jejich plnění) – zejména tvorbu dotazníků pro sebehodnocení – SAQ (Self-Assessment Questionnaire), školení a certifikaci auditorů pro ověřování plnění, laboratoří pro ověřování hardware a software aplikací a další. 

Oficiální webové stránky PCI: www.pcisecuritystandards.org