HOPET Informatika

Név:
Jelszó:

2024. november 23. szombat, Kelemen

„Informatika az üzlet szolgálatában!”


Payment Card Industry Data Security Standard (PCI DSS)

A kártyabirtokosok védelmében

A személyes adatok eltulajdonítása vagy kiszivárogtatása nap mint nap komoly anyagi és erkölcsi veszteségeket okoz mind az adatok tulajdonosának, mind az adatok kezelőjének. A nagyszámú fizetőkártya ellopásával vagy annak veszélyeztetésével járó kiemelt esetek arra ösztönözték az iparágat, hogy sürgős lépéseket tegyen a fizetőkártyák adatbiztonságának szigorítása érdekében.
A csalásokkal valamint a személyes adatok eltulajdonításával kapcsolatos veszélyeknek az elhárítására alakították ki közösen a piacvezető szereplők - MasterCard, Visa, JCB, AmEx - a Payment Card Industry Data Security Standard (PCI DSS) szabványt. A szabvány a fizetőkártya-vállalatokkal kötött szerződés keretében egy sor szigorú információbiztonsági követelmény teljesítését követeli meg minden olyan szervezettől, akik a fizetőkártyák adatainak kezelésével, továbbításával vagy tárolásával foglalkoznak.

A PCI DSS szabályozás az internetes és értékesítési pontokat működtető pénzintézetek, hitel- és bankkártya-feldolgozók valamint kereskedők egyik legfontosabb megfelelőségi követelményrendszere. A szabályozás több, mint 160 különböző részletesen definiált, szigorú adatbiztonsági követelménynek való megfelelését és megfelelőségi jelentések elkészítésével történő rendszeres bizonyítását írja elő az érintett szervezetek számára. A követelmény rendszer teljes körű, mert amíg támadóknak elég egy pontot találni, a védekezőknek az összest védeni kell, és mindig a leggyengébb láncszem van a legnagyobb veszélynek kitéve.

A PCI DSS szabvány a következő elemeket egyesíti magában

  • MasterCard SDP (Site Data Protection) security certification
  • Visa AIS (Account Information Security)
  • Visa CISP (Cardholder Information Security Program)
  • American Express DSOP (Data Security Operating Policy)
  • Discover DISC (Information Security and Compliance)

A követelmények nagyvonalakban az alábbiak

  • alakíts ki biztonságos hálózatot, és tartsd fenn a biztonsági szintet
  • védd a kártyabirtokos adatait
  • rendelkezz sebezhetőség-kezelő programmal
  • alkalmazz erős hozzáférés-védelmi megoldást
  • rendszeresen tekintsd át és teszteld hálózatodat
  • tarts karban egy biztonsági eljárásrendet

A PCI DSS minden olyan szervezetre vonatkozik, amely hitel- vagy bankkártya-adatokat dolgoz fel, vagyis a kereskedőkre és a kártyaadatokat tároló, feldolgozó vagy továbbító külső szolgáltatókra is. 2007 végéig minden olyan szervezetnek meg kellett felelnie a szabványnak, amely elfogadja a kártyás fizetési tranzakciókat. A bankkártya társaságok számos PCI DSS auditot végeztek, és jelentős összegű bírságokat szabtak ki azokra a vállalatokra, amelyek nem feleltek meg a PCI DSS követelményeknek.

A szabvány a kereskedőket négy szintre osztja az éves kártyatranzakciók száma szerint, és az egyes szinteken előírja a megfelelőséghez szükséges feltételeket és intézkedéseket.

A PCI DSS követelményrendszerrel érintett vállalkozások számára alakítottuk ki a PCI DSS programunkat, amely keretében partnerünk, a PCI DSS Council által minősített és a megfelelés igazolására feljogosított Qualys Inc. (Approved Scanning Vendor, ASV) piacvezető cég "de-facto” szabvánnyá vált QualysGuard PCI - egyszerű, költség-hatékony és jól automatizált szolgáltatásait használjuk a PCI DSS programunk eszközeként.

Szolgáltatásunk elemei

  1. a kibocsájtó társaságokkal közvetlenül szerződött hitelintézeteket és pénzügyi vállalkozásokat felkészítjük a PCI DSS megfelelésre
  2. előauditot végzünk a Qualified Security Accessor - QSA - auditokat megelőzően
  3. a hitelintézetek megbízása alapján a kártya tranzakciókat feldolgozó láncban elhelyezkedő szolgáltatóknál (Service Provider, SP), illetve a szerződött fizetőkártya elfogadó helyeken elvégezzük a kötelezően előírt rendszerességgel a technikai sérülékenység vizsgálatot és elkészítjük a jelentési kérdőívet /Self Assesement Questionnaire/
  4. a kibocsájtó társaságokkal közvetlenül szerződött hitelintézetek és pénzügyi vállalkozásoknál telepítjük a megfelelés bizonyítására szolgáló automatizált rendszert, és lebonyolítjuk az előírt Site Data Protection (SDP) programjaikat.
  5. az érintett kereskedőket, fizetőkártya elfogadó helyeket felkészítjük a PCI DSS megfelelőségre, és szakértői tanácsadást nyújtunk.

A QualysGuard PCI megfelelő megoldást kínál minden szervezet számára, akiknek bizonyítania kell PCI megfelelőséget:


"Nem csak arra használjuk QualysGuardot, hogy elvégezze az összes sebezhetőség értékelésünket, de segít demonstrálni a pénzügyi szabályozások teljesítését, és kezelni a teljes üzleti kockázatot is."

First Bank & Trust

A Qualys Inc.

  • de-facto szabvány a sérülékenység menedzsment területén
  • megoldását több mint 3500 szervezet használja
  • partnere a Fortune 100 cégeinek 34%-a
  • 160 millió sérülékenységi scan-t végez egy év alatt

Qualys worldwide referenciák:

ABN AMRO; Adobe; BASF; BlueCross/BlueShield; Chevron; Philips; CIGNA; Cingular; Deloitte, DuPont; Ernst&Young, eBay; Fujitsu; Hershey’s; Hewlett Packard; Hitachi; ICI; KPMG, McDonald’s; NYBOT; Nissan; Oracle; Siemens; Sony; Toshiba; WebEx; Deutche Telekom.


xhtml logo css logo
| Last modified: 2009. 06. 10.
Privacy policy | Terms & Conditions