PCI DSS


A tudásbázist folyamatosan frissítjük, így
mindenképp érdemes rendszeresen visszalátogatni!


PCI DSS alapinformációk

PCI SSC

A kártyatársaságok (VISA, MasterCard, AMEX, JCB, Discovery) közös biztonsági érdekük és erőfeszítéseik összehangolásaként 2006-ban létrehozták a PCI SSC-t (Payment Card Industry Security Standards Council), amely azóta képviseli őket a bankkártya piaci szereplők felé ezen a területen.

A Council feladatkörébe tartozik többek között a kártyatársaságok biztonsági követelményeinek harmonizációja, karbantartása, felülvizsgálata és publikációja. Az SSC foglalkozik a biztonsági követelmények ellenőrzésének kidolgozásával, az ellenőrzés hivatalosan akkreditált auditorainak képzésével és minőségbiztosításával is. Emellett a szabvánnyal kapcsolatban felmerült jogi procedúrák, eljárások is érintik a Council működését.

PCI DSS

A PCI DSS (Payment Card Industry Data Security Standard) a fenti öt kártyatársaság által közösen létrehozott adatbiztonsági szabvány, amely a bankkártya adatok biztonságos kezelésének szabályait tartalmazza. A PCI DSS egy olyan széleskörű szabályozás, amely az üzleti folyamatoktól egészen a mély technikai részletekig kiterjed. A szabályozás 6 területre osztva, 12 főcsoportban, 228 követelményt tartalmaz, melyhez 394 tiszta vizsgálandó tesztesetet definiál. A tesztesetekből azonban egy adott környezetben általában ennél sokkal több kombinációt kell kivizsgálni. A PCI DSS minden olyan piaci szereplőre vonatkozik (pl. elfogadó, kibocsátó, szolgáltató, kereskedő), amely kártyaadatokat tárol, feldolgoz vagy továbbít. A megfelelés ezen szereplők számára kötelező, de a számonkérés módja és szigorúsága eltérhet.

QSA, ASV

PCI DSS tekintetében a PCI SSC szabályozó szerepkörét az általa hivatalosan akkreditált szerveken keresztül biztosítja:

Qualified Security Assessors (QSA): A PCI SSC által elismert és nyilvántartott hivatalos auditorok. A kártyatársaságok csak akkreditált, hivatalos QSA cég által elvégzett auditot és kiállított tanúsítványt fogadnak el az auditra kötelezett piaci résztvevőktől

Approved Scanning Vendor (ASV): A QSA-k csak hivatalos, PCI SSC által elismert és nyilvántartott Approved Scanning Vendor cég által hitelesen aláírt scanning riportok alapján dolgoznak, így az auditra kötelezett piaci résztvevőknek erről gondoskodniuk kell.

Beszámolás

A tranzakciók számától valamint az érintett szervezet kockázati besorolásától függ a beszámolási kötelezettség szintje. Van, akiknél ez a kötelező éves auditálást (QSA assessment), van, akiknél csak önértékelést (SAQ) jelent a DSS egészét tekintve. Bizonyos technikai vizsgálatok azonban mindenki számára kötelezően előírtak (ASV vizsgálatok).

A beszámolás hivatalos nyelve minden esetben angol. A vizsgálatok nyelve ettől eltérhet, de az eltérő nyelvi támogatás megvalósításáért az akkreditált cég a felelős.


Kötelező éves PCI DSS audit

A QSA auditorok által lefolytatott kötelező éves audit során meghatározásra kerülnek a PCI DSS hatókörébe tartozó rendszerek, üzleti és informatikai folyamatok, biztonsági előírások, alkalmazások és intézkedések. Az audit során értékelésre és áttekintésre kerülnek az üzleti év folyamán elvégzett egyéb kötelező, rendszerszintű tesztek eredményei.

Az audit végén minden esetben kibocsátásra kerül az AOC (Attestation of Compliance), amelyben a vizsgálati eredmények és a megfelelés státusza kerülnek rögzítésre. A kibocsátott AOC érvényességi ideje a kibocsátás napjától számított egy év.

Az audit eredmények – kereskedők esetén az elfogadó bank, szolgáltatók esetén pedig a kártyatársaságok számára – közvetlenül elküldésre kerülnek, ezzel zárul le az éves felülvizsgálati ciklus. A hivatalos riportokat, jelentéseket csak hivatalos QSA küldheti el a kártyatársaságoknak, illetve az elfogadó banknak.


PCI DSS Önértékelés – Self Assessment Questionnaire (SAQ)

Nem minden piaci szereplő kötelezett arra, hogy éves szintű és teljes körű PCI DSS auditot hajtson végre. Ezen szereplőknek nyilatkozniuk kell arról, hogy ismerik és betartják a PCI DSS szabvány előírásait. Ezeknek a piaci résztvevőknek önmagukat kell értékelniük a PCI DSS szabványainak megfelelően. Az „önértékelők” számára egyetlen kötelező elv az, hogy az önértékelésükben leírtaknak megfelelően kell működniük, amiért pénzügyi felelősséget is vállalnak.


A PCI DSS megfelelés előnyei

A PCI DSS megfelelésre fordított erőforrások kombinálhatóak egy ISO27001 vagy más biztonsági auditra való felkészüléssel. A QSA-k és az ASV-k által kibocsátott dokumentumokat ugyanis a felsorolt szabványok elfogadják (ISO27001, Sarbanes-Oxley Act, EU Directive on Privacy, FFIEC, UK DPA, stb.). Hasznos segítség az IT governance bevezetésekben, mivel a PCI DSS a folyamatok tekintetében általában a governance modellek (CobIT, ITIL, COSO) felépítésének megfelelő működést vár el.

A belső kontrollok megléte csökkentheti az információvesztés bekövetkezéséből adódó közvetlen pénzügyi veszteséget. Ezen felül hozzájárul a következő célok megvalósulásához: ügyfél bizalom erősítése, piaci elismerés, új üzleti lehetőségek, vállalati biztonsági stratégia / biztonság tudatosság erősítése. Nem utolsó szempont, hogy a PCI DSS megfeleléssel a legmagasabb szintű biztonsági szint érhető el, amely napjainkban igen komoly fegyvertény.


A hiányosságok következményei
  • A kompromittált elfogadó bank, szolgáltató vagy kereskedő kizárható a kártyatársaság hálózatából
  • A kártyatársaságok által kirótt büntetés elérheti az $500,000 összeget kártyatípusonként és esetenként, ha az elfogadó bank, szolgáltató vagy kereskedő nem felel meg a szabványnak, amely komoly pénzügyi kockázatot, esetlegesen veszteséget jelent
  • A kártyatársaságok által felszámított magasabb tranzakciós díjak
  • Pereskedések, biztonsági igények kielégítése
  • Új kártyák kibocsátásának, ügyfél reklamációk költsége
  • Üzleti hírnév elvesztése
  • Ügyfél reputáció elvesztése, ügyfélvesztés lehetősége


Kiemelt tudásbázisaink


Ismerje meg a Qualys integrált biztonsági megoldásait!

Tovább »
_________________________________
Tudjon meg többet a PCI DSS megfelelésről!

Tovább »
Minősítéseink
Kiemelt partnereink



© AperSky Tanácsadó Kft.