Přijímám platební karty (obchodník)

Pro účely PCI DSS je obchodník (Merchant) definován jako subjekt, který akceptuje platební karty s logem některého z pěti členů PCI SSC (American Express, Discover, JCB, MasterCard nebo Visa) k platbě za zboží a/nebo služby. Obchodníkem může být i poskytovatel služby, pokud prodávané služby vedou k ukládání, zpracování nebo přenosu dat držitele karty pro jiné obchodníky nebo poskytovatele služeb. V tom případě je nutné zabývat se i požadavky / standardy určenými pro poskytovatele služeb včetně způsobu prokazování shody.

Základní povinností je dodržování stanovených požadavků / standardů a pravidelné posuzování a prokazování shody stanoveným způsobem (validace). Stanovení požadavků a způsobu prokazování shody vyplývá zejména z kategorizace obchodníka dle rizika, to je dáno zejména počtem kartových transakcí. Veškeré povinnosti včetně přesné kategorizace stanoví subjekt, který obchodníkovi zajišťuje akceptaci platebních karet (acquirer) a ten je odpovědný konkrétní kartové společnosti.

Orientační kategorizace a validace:

  • všichni obchodníci, kteří zpracovávají více než 6 mil. transakcí za rok (bez ohledu na typ platebního kanálu)
  • všichni obchodníci, na které byl proveden úspěšný útok, který vyústil v kompromitaci dat držitelů karet
  • všichni obchodníci, o kterých kartová společnost (např. VISA/MasterCard) na základě svého vyjádření rozhodne, že jsou obchodníky úrovně I za účelem minimalizovat rizika kompromitace celého platebního systému
  • nutný pravidelný roční audit prováděný nezávislým externím kvalifikovaným bezpečnostním auditorem QSA, příp. interním proškoleným auditorem (ISA)
  • nutné pravidelné čtvrtletní externí testování zranitelnosti prostřednictvím certifikovaného dodavatele skenování – ASV, pokud lze aplikovat
  • všichni obchodníci, kteří zpracovávají 1-6 mil. transakcí za rok
  • nutný pravidelný roční audit prováděný nezávislým externím kvalifikovaným bezpečnostním auditorem QSA, příp. interním proškoleným auditorem (ISA), v určitých případech může být postačující vyplnění příslušného Dotazníku pro sebehodnocení (SAQ)
  • nutné pravidelné čtvrtletní externí testování zranitelnosti prostřednictvím certifikovaného dodavatele skenování – ASV, pokud lze aplikovat
  • všichni internetoví obchodníci, kteří zpracovávají 20 tisíc až 1 mil. e-commerce transakcí za rok
  • nutné pravidelné roční sebehodnocení a vyplnění příslušného Dotazníku pro sebehodnocení (SAQ), příp. prokázání využití certifikovaného (z hlediska PCI DSS) poskytovatele služeb, resp. řešení, kdy obchodník nepřichází do styku s číslem platební karty
  • nutné pravidelné čtvrtletní externí testování zranitelnosti prostřednictvím certifikovaného dodavatele skenování – ASV, pokud lze aplikovat
  • všichni ostatní obchodníci (pod 1 mil., resp. 20 tis. transakcí dle platebního kanálu)
  • nutné pravidelné roční posouzení shody a vyplnění příslušného Dotazníku pro sebehodnocení
  • nutné pravidelné čtvrtletní externí testování zranitelnosti prostřednictvím certifikovaného dodavatele skenování – ASV, pokud lze aplikovat
  • v případě e-commerce alternativně prokázání využití certifikovaného (z hlediska PCI DSS) poskytovatele služeb, resp. řešení, kdy obchodník nepřichází do styku s číslem platební karty

Pozn.: rozhodné počty transakcí pro určení úrovně jsou vždy za danou kartovou značku

V prostředí cestovního ruchu dochází každý den k úniku dat. Každá společnost, která poskytuje služby v této oblasti musí zajistit ochranu soukromých údajů svých hostů a současně data z transakcí. Jsou každý hotel, cestovní kancelář, nebo autopůjčovna připraveni bez váhání odpovědět „ano“ na následující dotazy?

  • Je číslo platební karty maskované?
  • Jsou data k transakcím bezpečně uložena?
  • Jsou data k transakcím a údaje o zákaznících uloženy pouze po dobu nezbytně nutnou?
  • Nakládá můj back office systém, hotel management systém s kartovými údaji bezpečně v souladu s PCI DSS?
  • Je ukládání, zpracovávání a přenos údajů společností, se kterými spolupracuji (např. rezervační agentury) bezpečné a v souladu s PCI DSS?
  • Seznámil jsem se a můj personál s principy standardu PCI DSS?

Šetření úniků dat v hotelových řetězcích poukazuje na nedostatečnou ochranu systémů. Nejčastějším způsobem krádeže dat je instalace škodlivého software (malware), pomocí kterého dojde ke stažení údajů ze systému. V téměř 40 % všech případů se postižení týká právě oblasti cestovního ruchu.

Hacker takto získá přístup k osobním údajům cestujících, včetně cenných údajů o platební kartě, data expirace a ověřovacích kódů, tzv. CVC.

Únik dat je velice nepříjemná zkušenost pro všechny zainteresované strany s dlouhodobými důsledky. Takový incident má pro Vaše podnikání vážné důsledky. Především pak znamená:

  • Ztrátu zisku
  • Dobrého jména společnosti
  • Neplánované další náklady
    – V případě úniku dat je nutné zahájit forenzní šetření, které provede externí dodavatel a poté investovat do nového, bezpečného řešení.
    – Vedle těchto nákladů je třeba počítat i s nemalými pokutami za nedodržení bezpečnosti a penalizací ze strany kartových společností a regulátorů.
  • Ztráta klientské důvěry
    – Cestujícího zajímá, jak komfortně se může ubytovat a strávit svou dovolenou nebo služební cestu bez starostí. Nicméně, v poslední době kladou i dotazy, zda a jak jsou zabezpečeny citlivé osobní údaje. A to je dobře, i držitel platební karty je součástí platebního řetězce.
    – Údaje o pobytu klienta, tedy osobní a data z platební karty jsou často uloženy v hotelovém systému (hotel management system), který sdílí i několik hotelů v rámci hotelového řetězce. V případě úniku informací to může znamenat i ztrátu identity.

Proč je právě oblast cestovního ruchu tak zranitelná?

  • Příliš mnoho zdrojů dat – klient zadává svou objednávku prostřednictvím stránek hotelu, rezervačních portálů, telefonicky, poštou, emailem a osobně. Všechny uvedené kanály jsou zdrojem údajů o klientovi v případě, že nejsou chráněny.
  • Osobní data ukládána v klientských databázích – citlivé údaje jsou zde uloženy po mnoho let.
  • PC na pokojích s přípojkou na internet – v případě, že jsou propojeny bez antivirové ochrany, další zdroj osobních údajů klienta.
  • Obecně bezpečnost v cestovním ruchu je běžně opomíjena a s daty klientů není bezpečně/korektně/správně nakládáno/zacházeno.

Doporučení pro omezení ztráty dat:

  1. Seznamte se se standardem PCI DSS. Tento dokument vám pomůže nastavit odpovídající ochranu citlivých dat.
  2. Řiďte se standardem PCI DSS:
    1. Ukládejte data po dobu nezbytně nutnou. Pokud je nepotřebujete, neukládejte je.
    2. Omezte přístup personálu, kontrolujte záznamy “pohybu” personálu ve Vašem systému.
    3. Seznamte se s jednotlivými částmi systému a zajistěte, aby jednotlivé komponenty vašeho systému oddělil firewall.
    4. Používejte šifrování dat.
    5. Ochrana dat se musí stát součástí každodenních činností. Pravidelně seznamujte personál se zásadami bezpečného zacházení s daty klientů, protože bezpečnost není pouze záležitostí IT oddělení.
  3. Spolupracujte pouze s takovými subjekty, které mohou doložit, že prošli auditem dle PCI DSS standardu a to nejenom dodavatelé Vašeho hotel management systému, ale především rezervační portály.
Dotazníky pro sebehodnocení SAQ