Komplex Információbiztonsági Rendszer szállítójaPayment Card Industry Data Security Standard (PCI DSS)
A személyes adatok eltulajdonítása vagy kiszivárogtatása nap mint nap komoly anyagi és erkölcsi veszteségeket okoz mind az adatok tulajdonosának, mind az adatok kezelőjének. A nagyszámú fizetőkártya ellopásával vagy annak veszélyeztetésével járó kiemelt esetek arra ösztönözték az iparágat, hogy sürgős lépéseket tegyen a fizetőkártyák adatbiztonságának szigorítása érdekében.
A csalásokkal valamint a személyes adatok eltulajdonításával kapcsolatos veszélyeknek az elhárítására alakították ki közösen a piacvezető szereplők - MasterCard, Visa, JCB, AmEx - a Payment Card Industry Data Security Standard (PCI DSS) szabványt. A szabvány a fizetőkártya-vállalatokkal kötött szerződés keretében egy sor szigorú információbiztonsági követelmény teljesítését követeli meg minden olyan szervezettől, akik a fizetőkártyák adatainak kezelésével, továbbításával vagy tárolásával foglalkoznak.
A PCI DSS szabályozás az internetes és értékesítési pontokat működtető pénzintézetek, hitel- és bankkártya-feldolgozók valamint kereskedők egyik legfontosabb megfelelőségi követelményrendszere. A szabályozás több, mint 160 különböző részletesen definiált, szigorú adatbiztonsági követelménynek való megfelelését és megfelelőségi jelentések elkészítésével történő rendszeres bizonyítását írja elő az érintett szervezetek számára. A követelmény rendszer teljes körű, mert amíg támadóknak elég egy pontot találni, a védekezőknek az összest védeni kell, és mindig a leggyengébb láncszem van a legnagyobb veszélynek kitéve.
A PCI DSS szabvány a következő elemeket egyesíti magában
- MasterCard SDP (Site Data Protection) security certification
- Visa AIS (Account Information Security)
- Visa CISP (Cardholder Information Security Program)
- American Express DSOP (Data Security Operating Policy)
- Discover DISC (Information Security and Compliance)
A követelmények nagyvonalakban az alábbiak
- alakíts ki biztonságos hálózatot, és tartsd fenn a biztonsági szintet
- védd a kártyabirtokos adatait
- rendelkezz sebezhetőség-kezelő programmal
- alkalmazz erős hozzáférés-védelmi megoldást
- rendszeresen tekintsd át és teszteld hálózatodat
- tarts karban egy biztonsági eljárásrendet
A PCI DSS minden olyan szervezetre vonatkozik, amely hitel- vagy bankkártya-adatokat dolgoz fel, vagyis a kereskedőkre és a kártyaadatokat tároló, feldolgozó vagy továbbító külső szolgáltatókra is. 2007 végéig minden olyan szervezetnek meg kellett felelnie a szabványnak, amely elfogadja a kártyás fizetési tranzakciókat. A bankkártya társaságok számos PCI DSS auditot végeztek, és jelentős összegű bírságokat szabtak ki azokra a vállalatokra, amelyek nem feleltek meg a PCI DSS követelményeknek.
A szabvány a kereskedőket négy szintre osztja az éves kártyatranzakciók száma szerint, és az egyes szinteken előírja a megfelelőséghez szükséges feltételeket és intézkedéseket.
A PCI DSS követelményrendszerrel érintett vállalkozások számára alakítottuk ki a PCI DSS programunkat, amely keretében partnerünk, a PCI DSS Council által minősített és a megfelelés igazolására feljogosított Qualys Inc. (Approved Scanning Vendor, ASV) piacvezető cég "de-facto” szabvánnyá vált QualysGuard PCI - egyszerű, költség-hatékony és jól automatizált szolgáltatásait használjuk a PCI DSS programunk eszközeként.
Szolgáltatásunk elemei
- a kibocsájtó társaságokkal közvetlenül szerződött hitelintézeteket és pénzügyi vállalkozásokat felkészítjük a PCI DSS megfelelésre
- előauditot végzünk a Qualified Security Accessor - QSA - auditokat megelőzően
- a hitelintézetek megbízása alapján a kártya tranzakciókat feldolgozó láncban elhelyezkedő szolgáltatóknál (Service Provider, SP), illetve a szerződött fizetőkártya elfogadó helyeken elvégezzük a kötelezően előírt rendszerességgel a technikai sérülékenység vizsgálatot és elkészítjük a jelentési kérdőívet /Self Assesement Questionnaire/
- a kibocsájtó társaságokkal közvetlenül szerződött hitelintézetek és pénzügyi vállalkozásoknál telepítjük a megfelelés bizonyítására szolgáló automatizált rendszert, és lebonyolítjuk az előírt Site Data Protection (SDP) programjaikat.
- az érintett kereskedőket, fizetőkártya elfogadó helyeket felkészítjük a PCI DSS megfelelőségre, és szakértői tanácsadást nyújtunk.
A QualysGuard PCI megfelelő megoldást kínál minden szervezet számára, akiknek bizonyítania kell PCI megfelelőséget:
"Nem csak arra használjuk QualysGuardot, hogy elvégezze az összes sebezhetőség értékelésünket, de segít demonstrálni a pénzügyi szabályozások teljesítését, és kezelni a teljes üzleti kockázatot is."
First Bank & Trust
A Qualys Inc.
- de-facto szabvány a sérülékenység menedzsment területén
- megoldását több mint 3500 szervezet használja
- partnere a Fortune 100 cégeinek 34%-a
- 160 millió sérülékenységi scan-t végez egy év alatt
Qualys worldwide referenciák:
ABN AMRO; Adobe; BASF; BlueCross/BlueShield; Chevron; Philips; CIGNA; Cingular; Deloitte, DuPont; Ernst&Young, eBay; Fujitsu; Hershey’s; Hewlett Packard; Hitachi; ICI; KPMG, McDonald’s; NYBOT; Nissan; Oracle; Siemens; Sony; Toshiba; WebEx; Deutche Telekom.
