Broszura informacyjna PaySquare PCI DSS

Broszura informacyjna PaySquare PCI DSS

Informator
PCI DSS
Jak bezpiecznie i odpowiedzialnie obsługiwać dane
właścicieli kart płatniczych?
Spis
treści
Wstęp
Zdobyć zaufanie
3
Definicja
Czym jest PCI DSS?
4
Cztery kategorie Akceptanta
Jak należy dostosować się do standardu PCI DSS?
5
Rodzaje SAQ
Różne rodzaje SAQ
7
Pozostałe informacje
9
Wstęp
Zdobyć zaufanie
Zdecydowaliście się Państwo zaoferować swoim klientom możliwość dokonywania płatności kartami kredytowymi i debetowymi, co pomoże Państwu zwiększyć sprzedaż. Klienci są skłonni do wydawania większych
sum na zakupy, gdy mogą to zrobić w prosty i bezpieczny sposób. Warto zaznaczyć, że bierzecie Państwo na
siebie większą odpowiedzialność, ponieważ klienci ufają, że dane ich kart płatniczych są w Państwa rękach
bezpieczne.
Akceptując płatności posiadaczy kart jesteście Państwo odpowiedzialni za bezpieczeństwo danych kart płatniczych.
Dla ułatwienia Państwa pracy, pięć największych organizacji płatniczych opracowało standard bezpieczeństwa,
zwany „Payment Card Industry Data Security Standard“ (PCI DSS). W związku z tym, firma może przyjmować
płatności kartą jedynie wtedy, gdy spełnia wymagania stawiane przez PCI DSS.
Wymagania te powinni spełniać także dostawcy usług ( jak na przykład „Payment Service Providers“ (PSPs) oraz
dostawcy terminali płatniczych). Dla zachowania bezpieczeństwa podczas akceptacji transakcji płatniczych konieczna jest współpraca wszystkich uczestników obrotu płatniczego. PCI DSS nakłada na Państwa pewne obowiązki. Korzyścią jest to, że klienci ufają Państwa firmie i kupują w niej bez wahania. Dodatkowo jest to zabezpieczenie
dla klientów przed opłatami i karami pieniężnymi, które mogłyby wyniknąć w przypadku kradzieży lub niewłaściwego wykorzystania informacji o kartach.
W broszurze informacyjnej PaySquare znajdują się ważne informacje o PCI DSS. Dowiecie się Państwo, jak zwiększyć zaufanie klientów do Państwa firmy oraz co należy zrobić, aby spełnić wymagania standardu PCI. Dodatkowo
otrzymacie Państwo informacje określające zakres odpowiedzialności w ramach PCI DSS.
3
Definicja
Czym jest PCI DSS?
W celu wprowadzenia przejrzystych ram ochrony danych kart płatniczych, główne organizacje kart opracowały
standard bezpieczeństwa dla wszystkich firm biorących udział w transakcjach przy użyciu kart płatniczych. Wytyczne standardu zostały zawarte w tzw. Payment Card Industry Data Security Standard (PCI DSS). Obowiązują
one wszystkich, którzy przechowują, przetwarzają lub przesyłają dane kart płatniczych. Wytyczne te dotyczą
każdego akceptanta, który na podstawie umowy z dostawcą usług akceptuje karty kredytowe. PCI DSS składa
się z dwunastu wymogów:
Instalacja i utrzymanie
bezpiecznej sieci i systemów
1. Instalacja i utrzymanie zapory sieciowej w celu ochrony
danych właścicieli kart kredytowych.
2. Natychmiastowa zmiana standardowych haseł i ustawień
zabezpieczających przekazywanych przez dostawców usług.
Ochrona danych właścicieli
kart
3. Ochrona zapisanych danych właścicieli kart.
4. Kodowane przesyłanie danych właścicieli kart kredytowych
w sieciach publicznych.
Implementacja programu
zarządzania siecią
5. Zastosowanie i regularna aktualizacja oprogramowania
antywirusowego.
6. Opracowywanie i zastosowanie bezpiecznych systemów
i aplikacji.
Implementacja aktywnych
programów kontrolnych
7. Ograniczenie dostępu do danych kart kredytowych
na zasadzie: „Informować tylko wtedy, gdy to konieczne”.
Ciągła kontrola i testowanie
sieci
10. Raportowanie i nadzorowanie wszystkich dostępów do
zasobów sieci i danych właścicieli kart.
11. Regularne testowanie i monitorowanie systemów i procesów
bezpieczeństwa.
Utrzymanie polityki
bezpieczeństwa informacji
12. Tworzenie wytycznych dla przedsiębiorstwa wraz z ustawieniami domyślnymi do zabezpieczania poufnych danych.
8. Przydzielenie indywidualnego numeru ID użytkownika
każdej osobie z dostępem do systemu komputerowego.
9. Ograniczenie fizycznego dostępu do danych kart.
Odpowiedzialność
Nie chroniąc informacji o kartach płatniczych we właściwy sposób wspiera się oszustów w kradzieżach, nadużyciach czy wyrządzaniu szkód. Dodatkowo ponosicie Państwo odpowiedzialność za wszystkie bezpośrednie straty
wynikające z wykorzystania sfałszowanych kart i/lub skradzionych informacji o kartach, wszelkie koszty prawne,
koszty wydania nowych kart płatniczych oraz koszty związane ze śledztwem. Ponadto bank wydający kartę może
nałożyć na Państwa karę pieniężną i wykluczyć z akceptacji kart płatniczych. Ze względu na odpowiedzialność
cywilną wskazane jest postępowanie zgodne z wytycznymi PCI DSS.
4
Cztery
kategorie
akceptanta
Jak należy dostosować się
do standardu PCI DSS?
Podczas dostosowywania standardu PCI DSS do przepisów związanych z przechowywaniem danych, uwzględniono również różnice między firmami. Opracowano tym samym cztery kategorie firm. Kategoria, do której
można przyporządkować Państwa firmę zależy od liczby oraz metody akceptacji płatności kartami:
•
POS (= Point of Sales) – płatność dokonana w miejscu sprzedaży; najczęściej poprzez terminal płatniczy.
•
MOTO (=Mail Order/Telephone Order) – zamówienia za pomocą listu/faksu/telefonu; klient nie jest
obecny podczas płatności, dane karty podaje przez telefon/faks.
•
E-Commerce – zamówienie dokonywane jest przez Internet (online-shop); klient wprowadza dane
karty najczęściej za pomocą formularza online.
Kategoria
Charakterystyka
Konieczne środki PCI-DSS
Poziom 1
Wszystkie kanały
sprzedaży
(POS,
E-Commerce,
MOTO)
Wszystkie firmy, które akceptują karty płatnicze- i
zarejestrowały ponad 6 milionów transakcji Visa
Coroczny audyt zgodności poprzez Qualified
Security Assessor (QSA dopuszczony przez
PCI SSC). W przypadku Visa audyt może zostać
przeprowadzony przez uprawnionego
pracownika firmy („Internal Security Assessor”,
ISA).
Poziom 2
Wszystkie kanały
sprzedaży
(POS,
E-Commerce,
MOTO)
Wszystkie firmy, które akceptują karty płatnicze i
zarejestrowały łącznie od 1 miliona do 6 milionów
transakcji Visa/MasterCard i Maestro przez
wszystkie kanały sprzedaży
lub
wszystkie firmy, które akceptują karty płatnicze,
a które zostały dotknięte przez szkody lub naruszenia
ochrony danych (Account Data Compromise, ADC)
Kwartalne skany networkingowe ze strony
Approved Scanning Vendor (ASV), jeśli systemy
akceptanta dostępne są przez Internet
Visa:
Coroczne wypełnienie formularza samooceny
(Self Assessment Questionnaire, SAQ)
Mastercard:
Coroczne wypełnienie formularza SAQ poprzez
wyspecjalizowanego pracownika (ISA) lub roczny
audyt poprzez Qualified Security Assessor (QSA)
Kwartalne skany sieci
Approved Scanning Vendor (ASV), jeśli systemy
Akceptanta dostępne są przez Internet
Poziom 3
Tylko
e-commerce
Poziom 4
Wszystkie firmy, które akceptują karty płatnicze
w kanale e-commerce i zarejestrowały ponad
20 000 do 1 miliona transakcji rocznie/marka
(Visa/MasterCard)
Coroczne wypełnianie formularza samooceny
(Annual Self Assessment Questionnaire, SAQ)
Wszystkie inne firmy akceptujące karty płatnicze
do 20.000 transakcji e-commerce rocznie/marka
Coroczne wypełnienie formularza samooceny
(Self Assessment Questionnaire, SAQ)
lub
Kwartalne skany sieci
Approved Scanning Vendor (ASV), jeśli
systemy akceptanta dostępne są przez Internet
do 1 miliona transakcji MOTO/POS-transakcji
rocznie/marka
Kwartalne skany sieci
Approved Scanning Vendor (ASV), jeśli
systemy akceptanta dostępne są przez Internet
5
Poziom 1 odzwierciedla bardzo wysokie ryzyko nadużycia kart płatniczych, poziom 4 najniższe ryzyko nadużycia
kart płatniczych. Wymagania PCI, jakie należy spełnić określane są w zależności od poziomu:
•
Poprzez formularz samooceny (Self Assessment Questionnaire, SAQ) lub
•
Poprzez audyt certyfikowanego audytora (Qualified Security Assessor, QSA) lub wewnętrzny audyt (Internal Security Auditor, ISA).
Ilekroć jeden lub więcej systemów przechowujących, przetwarzających lub przesyłających dane kart kredytowych
jest/są połączone z Internetem (lub możliwy jest dostęp zdalny), konieczne jest przeprowadzenie udokumentowanych kwartalnych skanów sieci. Skany sieci, tzw. Approved Scanning Vendor (ASV) przeprowadzane są przez
certyfikowanego dostawcę PCI DSS w celu wykrycia ewentualnych, słabych punktów w systemach.
6
Rodzaje
SAQ
Różne rodzaje
formularzy SAQ
Formularz SAQ (Self Assessment Questionnaires) to formularz samooceny, za pomocą którego akceptanci potwierdzają spełnienie wymagań PCI DSS. Formularze SAQs różnią się od siebie zawartością danych. Najprostszy
formularz (SAQ „A“) składa się z 14 wymagań PCI DSS; najbardziej rozbudowany formularz (SAQ „D“) składa się z
300 wymagań PCI DSS. Różne rodzaje SAQ koncentrują się na określonych (technicznych) implementacjach przebiegu transakcji płatniczej. Akceptant jest zakwalifikowany do wypelnienia określonego formularza na podstawie
jego otoczenia płatniczego, odpowiadającego danemu SAQ.
Wymagania
Formularz
E-Commerce
Płatności są przetwarzane przez tzw. bramki płatnicze „Payment Page“ PCI DSS dostarczane
przez certyfikowanego dostawcę bramki. Dane kart nie są zapisywane w sposób elektroniczny.
SAQ A
14 Wymagań
Bramki płatnicze PCI DSS dostarczane przez certyfikowanego dostawcę zawierają elementy
połączone z systemem akceptanta lub stroną płatniczą akceptanta oferuje formularze płatnicze
online, które przekazują dane do systemów certyfikowanego dostawcy bramki płatniczej.
Dane kart nie są zapisywane w sposób elektroniczny.
SAQ A-EP
143 Wymagań
POS / Terminal
Do płatności kartą używane są imprintery lub terminale płatnicze (z połączeniem ISDN,
analogowym, GSM, UMTS). Dane kart nie są zapisywane w sposób elektroniczny.
SAQ B
41 Wymagań
Używanie certyfikowanego terminala płatniczego PCI z połączeniem IP do agenta
rozliczeniowego oraz z połączeniem do Internetu. Dane kart nie są zapisywane w sposób
elektroniczny.
SAQ B-IP
87 Wymagań
Do płatności kartą używane jest wyłącznie certyfikowane rozwiązanie P2PE.
SAQ P2PE-HW
35 Wymagań
Payment Application System
Akceptant używa systemów płatniczych, które połączone są z Internetem w sposób
niezależny. Dane kart nie są zapisywane w sposób elektroniczny.
SAQ C
144 Wymagań
Terminal wirtualny
Płatność kartą odbywa się wyłącznie za pomocą terminala wirtualnego połączonego
z Internetem. Dane kart nie są zapisywane w sposób elektroniczny.
SAQ C-VT
78 Wymagań
Pozostałe
Wszyscy pozostali akceptanci, którzy zapisują dane kart płatniczych w sposób elektroniczny.
SAQ D
332 Wymagań
7
Obok wymagań organizacyjnych ( jak np. odpowiedź na pytanie „Czy pracownicy są regularnie informowani o
środkach bezpieczeństwa”) głównym aspektem dot. wymagań PCI jest informacja, w jaki sposób przetwarzane są
dane kart płatniczych oraz w jaki sposób przekazywane są dane do/i poza środowisko przedsiębiorstwa (aspekty
techniczne).
Jeden z najprostszych formularzy SAQ, formularz SAQ A (14 wymagań) przeznaczony jest dla kanału e-commerce.
Aby akceptant mógł dokonać certyfikacji za pomocą tego formularza, elektroniczne opracowywanie danych kart
płatniczych musi być wykonywane w całości przez zewnętrznego, certyfikowanego dostawcę usług płatniczych.
W kanale e-commerce dotyczy to najcześciej przypadków, w których akceptant korzysta z tzw. bramek płatniczych, w których posiadacz karty przekazuje dane dotyczące zakupu i karty płatniczej.
W przypadku, gdy dane kart zostają zapisywane lub akceptant ma elektroniczny dostęp do pełnego numeru karty
płatniczej, wymóg PCI DSS może być spełniony tylko i wyłącznie za pomocą rozbudowanych formularzy SAQ D.
Możliwości zredukowania zakresu kontroli (Scope).
Zakres kontroli sieci może być zredukowany przez tzw. segmentację sieci. Bez zastosowania segmentacji sieci,
cała sieć danego przedsiębiorstwa podlega kontroli PCI DSS (tzw. Scope). Segmentacja sieci jest przeprowadzana
przy użyciu wielu fizycznych i logicznych zabezpieczeń, jak np. skonfigurowane zapory sieci, router z możliwością
dogłębnej wewnętrznej kontroli lub inne technologie, które pozwalają zabezpieczyć i ograniczyć dostępy do poszczególnych segmentów infrastruktury sieciowej danego przedsiębiorstwa.
Scope można jeszcze bardziej zredukować poprzez pełne odseparowanie środowiska danych posiadacza karty od
pozostałych komponentów infrastruktury sieciowej przedsiębiorstwa.
Wszystkie proste formularze SAQ wymagają segmentacji CDE (Common Desktop Environment) od pozostałych
elementów sieci Akceptanta. W przypadku braku segmentacji sieci, zgodność z PCI DSS musi być udokumentowana za pomocą formluarza SAQ D.
Uproszczony formularz samooceny dla Hoteli.
Hotele, w których akceptuje się karty VISA oraz karty na miejscu (za pomocą terminala płatniczego), mogą wypełnić tzw. uproszczony formularz samooceny dla hoteli. Uproszczony formularz samooceny wymaga oświadczenia
dotyczącego bezpiecznego postępowania z danymi kart płatniczych, który może być wypełniony i przekazany
online bezpośrednio przez platformę PaySquare PCI DSS.
8
Pozostałe
informacje
Pozostałe informacje znajdują się na www.paysquare.pl lub na poniższych stronach internetowych:
www.paysquare.eu
www.visa.com
www.mastercard.com
www.pcisecuritystandards.org
Chcesz dowiedzieć się więcej? Skontaktuj się z nami! Chętnie odpowiemy na każde pytanie.
Tel: +48 22 646 11 99
E-Mail: [email protected]
Treść tej broszury ma charakter informacyjny. Za ewentualne błędy lub braki nie ponosimy odpowiedzialności.
Zawarte w broszurze informacje pochodzą z ogólnodostępnych źródeł.
Za pomocą naszych ulotek i broszur dotyczących obsługi płatności kartami chcemy niezależnie i obiektywnie informować o obsłudze transakcji płatniczych. W broszurach i ulotkach przedstawiamy rozwiązania wielu problemów
wynikających ze specyficznych wymagań rynku. Wszystkie nasze broszury informacyjne i inne materiały dostępne są na stronie internetowej: www.paysquare.pl w zakładce Obsługa klienta.
9
PL 06.16
PaySquare SE
Oddział w Polsce
Ul. Puławska 182
02-670 Warszawa
Telefon: +48 22 646 11 99
Fax: +48 22 646 11 98
E-mail: [email protected]
www.paysquare.pl