Payment Card Industry Data Security Standard - PCI DSS
PCI DSS Q & A - Kérdések és válaszok
A személyes adatok eltulajdonítása vagy kiszivárogtatása nap mint nap komoly anyagi és erkölcsi veszteségeket okoz mind az adatok tulajdonosának, mind az adatok kezelőjének. A nagyszámú fizetőkártya ellopásával vagy annak veszélyeztetésével járó kiemelt esetek arra ösztönözték az iparágat, hogy sürgős lépéseket tegyen a fizetőkártyák adatbiztonságának szigorítása érdekében.
A csalásokkal valamint a személyes adatok eltulajdonításával kapcsolatos veszélyeknek az elhárítására alakították ki közösen a piacvezető szereplők - MasterCard, Visa, JCB, Discover, AmEx - a Payment Card Industry Data Security Standard - PCI DSS - előírást. Az előírás a fizetőkártya-vállalatokkal kötött szerződés keretében egy sor szigorú információbiztonsági követelmény teljesítését követeli meg minden olyan szervezettől, akik a fizetőkártyák adatainak kezelésével, azaz feldolgozásával, továbbításával vagy tárolásával foglalkoznak.
A PCI DSS előírás az internetes és értékesítési pontokat működtető pénzintézetek, fizetőkártya-feldolgozó szolgáltatók, valamint kereskedők egyik legfontosabb megfelelőségi követelményrendszere. A szabályozás több, mint 250 különböző részletesen definiált, szigorú adatbiztonsági követelménynek való megfelelését és megfelelőségi jelentések elkészítésével történő rendszeres bizonyítását írja elő az érintett szervezetek számára. A követelmény rendszer teljes körű, mert amíg támadóknak elég egy pontot találni, a védekezőknek az összest védeni kell, és mindig a leggyengébb láncszem van a legnagyobb veszélynek kitéve.
A PCI DSS szabvány a következő elemeket egyesíti magában
- MasterCard SDP (Site Data Protection) security certification
- Visa AIS (Account Information Security)
- Visa CISP (Cardholder Information Security Program)
- American Express DSOP (Data Security Operating Policy)
- Discover DISC (Information Security and Compliance)
A követelmények nagyvonalakban az alábbiak
- alakíts ki biztonságos hálózatot, és tartsd fenn a biztonsági szintet
- védd a kártyabirtokos adatait
- rendelkezz sebezhetőség-kezelő programmal
- alkalmazz erős hozzáférés-védelmi megoldást
- rendszeresen tekintsd át és teszteld hálózatodat
- tarts karban egy biztonsági eljárásrendet
A PCI DSS minden olyan szervezetre vonatkozik, amelyek fizetőkártya adatokat dolgoznak fel, vagyis a kereskedőkre és a kártyaadatokat tároló, feldolgozó vagy továbbító külső szolgáltatókra is. 2007. évvégéig minden olyan szervezetnek meg kellett felelnie a szabványnak, amelyek elfogadják a kártyás fizetési tranzakciókat. A kártya társaságok - a brand-ek - számos PCI DSS auditot végeztek, és jelentős összegű bírságokat szabtak ki azokra a vállalatokra, amelyek nem feleltek meg a PCI DSS követelményeknek.
Az előírás a kereskedőket és a szolgáltatókat az éves kártyatranzakció számuk szerint szintekre osztja, és az egyes szinteken előírja a megfelelőséghez szükséges feltételeket és intézkedéseket.
A PCI DSS követelményrendszerrel érintett vállalkozások számára alakítottuk ki a PCI DSS programunkat, amely keretében partnerünk, a PCI DSS Council által minősített és a megfelelés igazolására feljogosított Qualys Inc. Approved Scanning Vendor (ASV), piacvezető cég "de-facto” szabvánnyá vált QualysGuard PCI - egyszerű, költség-hatékony és jól automatizált szolgáltatásait használjuk a PCI DSS programunk eszközeként.
Szolgáltatásunk elemei
- a kibocsájtó társaságokkal közvetlenül szerződött hitelintézeteket és pénzügyi vállalkozásokat felkészítjük a PCI DSS megfelelésre
- előauditot végzünk a Qualified Security Accessor - QSA - auditokat megelőzően
- a hitelintézetek megbízása alapján a kártya tranzakciókat feldolgozó láncban elhelyezkedő szolgáltatóknál (Service Provider, SP), illetve a szerződött fizetőkártya elfogadó helyeken elvégezzük a kötelezően előírt rendszerességgel a technikai sérülékenység vizsgálatot és elkészítjük az önértékelő kérdőívet /Self Assesement Questionnaire/
- a kibocsájtó társaságokkal közvetlenül szerződött hitelintézeteknél és pénzügyi vállalkozásoknál telepítjük a megfelelés bizonyítására szolgáló automatizált rendszert, és lebonyolítjuk az előírt PCI DSS programjaikat.
- az érintett kereskedőket, fizetőkártya elfogadó helyeket felkészítjük a PCI DSS megfelelőségre, és szakértői tanácsadást nyújtunk.
A QualysGuard PCI megfelelő megoldást kínál minden szervezet számára, akiknek bizonyítania kell PCI megfelelőséget:
"Nem csak arra használjuk QualysGuardot, hogy elvégezze az összes sebezhetőség értékelésünket, de segít demonstrálni a pénzügyi szabályozások teljesítését, és kezelni a teljes üzleti kockázatot is."
First Bank & Trust
A Qualys Inc.
- de-facto szabvány a sérülékenység menedzsment területén
- megoldását több mint 3500 szervezet használja
- partnere a Fortune 100 cégeinek 34%-a
- 160 millió sérülékenységi scan-t végez egy év alatt
Qualys worldwide referenciák:
ABN AMRO; Adobe; BASF; BlueCross/BlueShield; Chevron; Philips; CIGNA; Cingular; Deloitte; DuPont; Ernst&Young; eBay; Fujitsu; Hershey’s; Hewlett Packard; Hitachi; ICI; KPMG; McDonald’s; NYBOT; Nissan; Oracle; Siemens; Sony; Toshiba; WebEx; Deutche Telekom.