PCI DSS


A tudásbázist folyamatosan frissítjük, így
mindenképp érdemes rendszeresen visszalátogatni!


PCI DSS alapinformációk

PCI SSC

A kártyatársaságok (VISA, MasterCard, AMEX, JCB, Discovery) közös biztonsági érdekük és erőfeszítéseik összehangolásaként 2006-ban létrehozták a PCI SSC-t (Payment Card Industry Security Standards Council), amely azóta képviseli őket a bankkártya piaci szereplők felé ezen a területen.

A Council feladatkörébe tartozik többek között a kártyatársaságok biztonsági követelményeinek harmonizációja, karbantartása, felülvizsgálata és publikációja. Az SSC foglalkozik a biztonsági követelmények ellenőrzésének kidolgozásával, az ellenőrzés hivatalosan akkreditált auditorainak képzésével és minőségbiztosításával is. Emellett a szabvánnyal kapcsolatban felmerült jogi procedúrák, eljárások is érintik a Council működését.

PCI DSS

A PCI DSS (Payment Card Industry Data Security Standard) a fenti öt kártyatársaság által közösen létrehozott adatbiztonsági szabvány, amely a bankkártya adatok biztonságos kezelésének szabályait tartalmazza. A PCI DSS egy olyan széleskörű szabályozás, amely az üzleti folyamatoktól egészen a mély technikai részletekig kiterjed. A szabályozás 6 területre osztva, 12 főcsoportban, 228 követelményt tartalmaz, melyhez 394 tiszta vizsgálandó tesztesetet definiál. A tesztesetekből azonban egy adott környezetben általában ennél sokkal több kombinációt kell kivizsgálni. A PCI DSS minden olyan piaci szereplőre vonatkozik (pl. elfogadó, kibocsátó, szolgáltató, kereskedő), amely kártyaadatokat tárol, feldolgoz vagy továbbít. A megfelelés ezen szereplők számára kötelező, de a számonkérés módja és szigorúsága eltérhet.

QSA, ASV

PCI DSS tekintetében a PCI SSC szabályozó szerepkörét az általa hivatalosan akkreditált szerveken keresztül biztosítja:

Qualified Security Assessors (QSA): A PCI SSC által elismert és nyilvántartott hivatalos auditorok. A kártyatársaságok csak akkreditált, hivatalos QSA cég által elvégzett auditot és kiállított tanúsítványt fogadnak el az auditra kötelezett piaci résztvevőktől

Approved Scanning Vendor (ASV): A QSA-k csak hivatalos, PCI SSC által elismert és nyilvántartott Approved Scanning Vendor cég által hitelesen aláírt scanning riportok alapján dolgoznak, így az auditra kötelezett piaci résztvevőknek erről gondoskodniuk kell.

Beszámolás

A tranzakciók számától valamint az érintett szervezet kockázati besorolásától függ a beszámolási kötelezettség szintje. Van, akiknél ez a kötelező éves auditálást (QSA assessment), van, akiknél csak önértékelést (SAQ) jelent a DSS egészét tekintve. Bizonyos technikai vizsgálatok azonban mindenki számára kötelezően előírtak (ASV vizsgálatok).

A beszámolás hivatalos nyelve minden esetben angol. A vizsgálatok nyelve ettől eltérhet, de az eltérő nyelvi támogatás megvalósításáért az akkreditált cég a felelős.


Kötelező éves PCI DSS audit

A QSA auditorok által lefolytatott kötelező éves audit során meghatározásra kerülnek a PCI DSS hatókörébe tartozó rendszerek, üzleti és informatikai folyamatok, biztonsági előírások, alkalmazások és intézkedések. Az audit során értékelésre és áttekintésre kerülnek az üzleti év folyamán elvégzett egyéb kötelező, rendszerszintű tesztek eredményei.

Az audit végén minden esetben kibocsátásra kerül az AOC (Attestation of Compliance), amelyben a vizsgálati eredmények és a megfelelés státusza kerülnek rögzítésre. A kibocsátott AOC érvényességi ideje a kibocsátás napjától számított egy év.

Az audit eredmények – kereskedők esetén az elfogadó bank, szolgáltatók esetén pedig a kártyatársaságok számára – közvetlenül elküldésre kerülnek, ezzel zárul le az éves felülvizsgálati ciklus. A hivatalos riportokat, jelentéseket csak hivatalos QSA küldheti el a kártyatársaságoknak, illetve az elfogadó banknak.


PCI DSS Önértékelés – Self Assessment Questionnaire (SAQ)

Nem minden piaci szereplő kötelezett arra, hogy éves szintű és teljes körű PCI DSS auditot hajtson végre. Ezen szereplőknek nyilatkozniuk kell arról, hogy ismerik és betartják a PCI DSS szabvány előírásait. Ezeknek a piaci résztvevőknek önmagukat kell értékelniük a PCI DSS szabványainak megfelelően. Az „önértékelők” számára egyetlen kötelező elv az, hogy az önértékelésükben leírtaknak megfelelően kell működniük, amiért pénzügyi felelősséget is vállalnak.


A PCI DSS megfelelés előnyei

A PCI DSS megfelelésre fordított erőforrások kombinálhatóak egy ISO27001 vagy más biztonsági auditra való felkészüléssel. A QSA-k és az ASV-k által kibocsátott dokumentumokat ugyanis a felsorolt szabványok elfogadják (ISO27001, Sarbanes-Oxley Act, EU Directive on Privacy, FFIEC, UK DPA, stb.). Hasznos segítség az IT governance bevezetésekben, mivel a PCI DSS a folyamatok tekintetében általában a governance modellek (CobIT, ITIL, COSO) felépítésének megfelelő működést vár el.

A belső kontrollok megléte csökkentheti az információvesztés bekövetkezéséből adódó közvetlen pénzügyi veszteséget. Ezen felül hozzájárul a következő célok megvalósulásához: ügyfél bizalom erősítése, piaci elismerés, új üzleti lehetőségek, vállalati biztonsági stratégia / biztonság tudatosság erősítése. Nem utolsó szempont, hogy a PCI DSS megfeleléssel a legmagasabb szintű biztonsági szint érhető el, amely napjainkban igen komoly fegyvertény.


A hiányosságok következményei
  • A kompromittált elfogadó bank, szolgáltató vagy kereskedő kizárható a kártyatársaság hálózatából
  • A kártyatársaságok által kirótt büntetés elérheti az $500,000 összeget kártyatípusonként és esetenként, ha az elfogadó bank, szolgáltató vagy kereskedő nem felel meg a szabványnak, amely komoly pénzügyi kockázatot, esetlegesen veszteséget jelent
  • A kártyatársaságok által felszámított magasabb tranzakciós díjak
  • Pereskedések, biztonsági igények kielégítése
  • Új kártyák kibocsátásának, ügyfél reklamációk költsége
  • Üzleti hírnév elvesztése
  • Ügyfél reputáció elvesztése, ügyfélvesztés lehetősége

Új! PCI ajánlás a mobilfizetésre vonatkozóan – áttekintés

A PCI Council folyamatosan figyelemmel kíséri az aktuális technológiák fejlődését és ennek megfelelően ajánlásokat bocsát ki a piaci résztvevők és az auditorok számára. Ennek a folyamatnak a keretében jelent meg a PCI SSC mobil fizetési eszközök fejlesztésével kapcsolatos új ajánlása.

A szakmai anyag alapján a Council javasolja az okostelefonról vagy tábla-PC-ről indítható mobil fizetési megoldások fejlesztése során a PA-DSS és az ajánlás együttes használatát, egyelőre nem kötelezően tehát, de ez később alapja lehet egy szabványnak. Mivel az ajánlást a Council adta ki, ettől az egyes konkrét kártyatársasági követelmények bizonyos esetekben eltérhetnek.

A dokumentum szerint a mobil eszközt is a kártyakörnyezet részének kell tekinteni, amelyre vonatkoznak a PCI DSS előírásai, amennyiben a kártyaadatok bevitele közvetlenül a telefonról és nem egy P2PE szabvány szerint minősített eszközön keresztül történik, mivel az utóbbi esetben a telefonon már csak titkosított adatok haladnak át.

Az ajánlás két fő témakörre, és ezen belül az alábbi feladatokra fókuszál:
  • A fizetési tranzakció biztonsága (kártyaadatok telefonon történő bevitele, tárolás, továbbítása)
    • Meg kell akadályozni a kártyaadatok mobil eszköz bevitel során történő lehallgatását.
    • A kártyaadatot meg kell óvni a kompromittálódástól a mobil eszközön történő feldolgozás és tárolás során.
    • Meg kell akadályozni a kártyaadatnak a mobil eszköz elhagyása során történő lehallgatását.
  • A támogató környezet kockázatai és kontrolljai
    • Meg kell akadályozni a nem engedélyezett logikai hozzáférést a mobil eszközhöz.
    • Szerver oldalon hozzáférési kontrollokat kell létrehozni és riportolni az illetéktelen hozzáférési kísérleteket.
    • Meg kell akadályozni a jogosultságok illetéktelen kiterjesztését a mobil eszközön.
    • Képesnek kell lenni távolról letiltani a fizetési alkalmazást.
    • Képesnek kell lenni észlelni a mobil eszköz ellopását vagy elvesztését.
    • A támogató rendszereket harden-elni kell (pl. mobil eszköz menedzsment).
    • Online tranzakciók előnyben részesítése (ld. ne legyen „offline” vagy „store and forward” tranzakció a mobil eszközön).
    • A mobil fizetés elfogadó alkalmazásoknak meg kell felelni a biztonságos kódolási/fejlesztési/tesztelési eljárásoknak.
    • A mobil alkalmazást védeni kell az ismert sérülékenységek ellen.
    • A mobil eszközt védeni kell a nem engedélyezett alkalmazások használatától.
    • A mobil eszközt védeni kell a vírusoktól.
    • A mobil eszközt védeni kell a nem engedélyezett csatlakozásoktól.
    • Oktatási anyagot kell létrehozni a mobil eszköz biztonságos használatához.
    • Biztonságos kereskedői nyugtát kell használni (ld. PAN maszkolása).
    • Az alkalmazás használat „biztonságos állapotát” jelezni kell a felhasználó felé.
Az ajánlás tartalmaz egy mátrixot is, amely az egyes piaci szereplők vonatkozásában pontosítja a gyártók, megoldás szállítók és szolgáltatók implementációs felelősségi körét.

Az ajánlás teljes terjedelmében megtalálható letölthető anyagaink között!

Kiemelt tudásbázisaink


Ismerje meg a Qualys integrált biztonsági megoldásait!

Tovább »
_________________________________
Tudjon meg többet a PCI DSS megfelelésről!

Tovább »
Minősítéseink
Kiemelt partnereink





© AperSky Tanácsadó Kft. - 2012.