PCI DSS (Payment Card Industry Data Security Standard) je soubor bezpečnostních požadavků – pravidel, které mají za cíl omezit rizika úniku dat držitelů platebních karet a kartové podvody ze zneužití těchto dat. Bezpečnostní požadavky – pravidla (standardy / normy) zaměřené na data (PCI DSS) jsou globálně (mezinárodně) platné a jsou určeny pro organizace, resp. prostředí (CDE) , kde jsou zpracovávána, přenášena anebo uchovávána data o držitelích platebních karet a kartových transakcích (jde tedy zejména o obchodníky akceptující platební karty, outsourcing partnery obchodníků, akceptační i vydavatelské subjekty platebních karet a jejich outsourcing partnery – např. banky, autorizační centrály, datová centra apod.). Plnění je vyžadováno kartovými společnostmi. Nedodržení pravidel včetně způsobu opakovaného prokazování shody s nimi může vést ke vzniku reputačních a finančních škod a k vysokým pokutám.
Hlavní kartová data
K únikům, resp. odcizení kartových dat může dojít z mnoha míst, např. z:
Množství relevantních požadavků se může u každého subjektu lišit.
Ke stažení:
PCI DSS v aktuální verzi 3.2.1. EN naleznete zde.
Hodnotitelé provádějící sebehodnocení, auditoři posuzující shodu s PCI DSS a dodavatelé služeb, např. bezpečnostního skenování.
„Qualified Security Assessor” (kvalifikovaný hodnotitel bezpečnosti) je společnost schválená Radou pro bezpečnostní standardy (PCI SSC), jejímž účelem je provádět hodnocení na místě podle kritérií PCI DSS.
QSA organizace a jejich jednotlivé certifikované hodnotitele naleznete zde.
Interní hodnotitel bezpečnosti (Internal Security Assessor) je interní bezpečnostní hodnotitel, který prošel školením a výcvikem organizovaným Radou pro bezpečnostní standardy (PCI SSC) k získání kvalifikace, směřující k lepšímu pochopení PCI Data Security Standardu (PCI DSS). Je schopen usnadnit interakci dané organizace s externími kvalifikovanými hodnotiteli (QSA), příp. zlepšit kvalitu, spolehlivost a důslednost vnitřního sebehodnocení PCI DSS organizace, a podporovat konzistentní a správné uplatňování opatření a kontrol dodržování shody s PCI DSS.
Certifikované ISA neleznete zde.
Organizace kvalifikované Radou pro bezpečnostní standardy (PCI SSC) pro validaci P2PE řešení a P2PE komponent, resp. pro validaci P2PE aplikací. Kvalita, spolehlivost a důslednost QSA (P2PE) společností poskytují jistotu, že P2PE řešení byly validovány pro P2PE.
Jednotlivé certifikované P2PE QSA, naleznete zde.
Certifikované P2PE PA naleznete zde.
ASV organizace schválená Radou pro bezpečnostní standardy PCI SSC disponující souborem bezpečnostních nástrojů a služeb („řešení ASV skenování”), která je kvalifikována pro provádění skenování vnějších zranitelností pro dodržování validace požadavků PCI DSS externího skenování.
Jednotlivé certifikované ASV naleznete zde.
Payment Application Data Security Standard (dále jen. PA DSS) je jedním ze základních bezpečnostních standardů ze skupiny PCI security standardů. PA DSS definuje bezpečnostní požadavky na platební aplikace dodavatelů software. Pokud jsou citlivá kartová data ukládána, zpracovávána nebo přenášena přes software aplikaci, pak je tato aplikace považována za platební a spadá do rozsahu PA DSS.
Je povinností obchodníka, aby používal pouze takové platební aplikace nebo používal taková řešení, kde použité platební Aplikace budou certifikované oproti PA DSS. Zodpovědnost za provedení PA DSS certifikaci nese její dodavatel.
Do rozsahu PA DSS nejsou zahrnuty všechny platební aplikace. V případě, že obchodník používá nebo plánuje použít aplikaci, která svým charakterem odpovídá uvedené definici pro platební aplikaci, pak je jeho povinností ověřit, zda aplikace podléhá povinnosti certifikace dle PA DSS – podrobné informace jsou k dispozici v originálním znění zde.
Certifikovaná P2PE zařízení naleznete zde.
PCI DSS v aktuální verzi 3.2.1. EN naleznete zde.
Standardy organizačně zajišťuje Rada pro bezpečnostní standardy – PCI SSC (Payment Card Industry Standard Security Council), kterou založily největší kartové společnosti (AMEX, Discover, JSB, Mastercard, VISA). Ta zajišťuje zveřejnění požadavků včetně jejich aktualizací (standardně ve tříletých cyklech, v případě potřeby častěji) a další – vysvětlování požadavků, přípravu nástrojů a prostředků pro ověřování shody s požadavky (jejich plnění) – zejména tvorbu dotazníků pro sebehodnocení – SAQ (Self-Assessment Questionnaire), školení a certifikaci auditorů pro ověřování plnění, laboratoří pro ověřování hardware a software aplikací a další.
Oficiální webové stránky PCI: www.pcisecuritystandards.org