HOPET Informatika

Név:
Jelszó:

2019. november 20. szerda, Jolán

„Informatika az üzlet szolgálatában!”


Payment Card Industry Data Security Standard - PCI DSS

A kártyabirtokosok védelmében

PCI DSS Q & A - Kérdések és válaszok

PCI DSS Tanfolyam

A személyes adatok eltulajdonítása vagy kiszivárogtatása nap mint nap komoly anyagi és erkölcsi veszteségeket okoz mind az adatok tulajdonosának, mind az adatok kezelőjének. A nagyszámú fizetőkártya ellopásával vagy annak veszélyeztetésével járó kiemelt esetek arra ösztönözték az iparágat, hogy sürgős lépéseket tegyen a fizetőkártyák adatbiztonságának szigorítása érdekében.
A csalásokkal valamint a személyes adatok eltulajdonításával kapcsolatos veszélyeknek az elhárítására alakították ki közösen a piacvezető szereplők - MasterCard, Visa, JCB, Discover, AmEx - a Payment Card Industry Data Security Standard - PCI DSS - előírást. Az előírás a fizetőkártya-vállalatokkal kötött szerződés keretében egy sor szigorú információbiztonsági követelmény teljesítését követeli meg minden olyan szervezettől, akik a fizetőkártyák adatainak kezelésével, azaz feldolgozásával, továbbításával vagy tárolásával foglalkoznak.

A PCI DSS előírás az internetes és értékesítési pontokat működtető pénzintézetek, fizetőkártya-feldolgozó szolgáltatók, valamint kereskedők egyik legfontosabb megfelelőségi követelményrendszere. A szabályozás több, mint 250 különböző részletesen definiált, szigorú adatbiztonsági követelménynek való megfelelését és megfelelőségi jelentések elkészítésével történő rendszeres bizonyítását írja elő az érintett szervezetek számára. A követelmény rendszer teljes körű, mert amíg támadóknak elég egy pontot találni, a védekezőknek az összest védeni kell, és mindig a leggyengébb láncszem van a legnagyobb veszélynek kitéve.

A PCI DSS szabvány a következő elemeket egyesíti magában

  • MasterCard SDP (Site Data Protection) security certification
  • Visa AIS (Account Information Security)
  • Visa CISP (Cardholder Information Security Program)
  • American Express DSOP (Data Security Operating Policy)
  • Discover DISC (Information Security and Compliance)

A követelmények nagyvonalakban az alábbiak

  • alakíts ki biztonságos hálózatot, és tartsd fenn a biztonsági szintet
  • védd a kártyabirtokos adatait
  • rendelkezz sebezhetőség-kezelő programmal
  • alkalmazz erős hozzáférés-védelmi megoldást
  • rendszeresen tekintsd át és teszteld hálózatodat
  • tarts karban egy biztonsági eljárásrendet

A PCI DSS minden olyan szervezetre vonatkozik, amelyek fizetőkártya adatokat dolgoznak fel, vagyis a kereskedőkre és a kártyaadatokat tároló, feldolgozó vagy továbbító külső szolgáltatókra is. 2007. évvégéig minden olyan szervezetnek meg kellett felelnie a szabványnak, amelyek elfogadják a kártyás fizetési tranzakciókat. A kártya társaságok - a brand-ek - számos PCI DSS auditot végeztek, és jelentős összegű bírságokat szabtak ki azokra a vállalatokra, amelyek nem feleltek meg a PCI DSS követelményeknek.

Az előírás a kereskedőket és a szolgáltatókat az éves kártyatranzakció számuk szerint szintekre osztja, és az egyes szinteken előírja a megfelelőséghez szükséges feltételeket és intézkedéseket.

A PCI DSS követelményrendszerrel érintett vállalkozások számára alakítottuk ki a PCI DSS programunkat, amely keretében partnerünk, a PCI DSS Council által minősített és a megfelelés igazolására feljogosított Qualys Inc. Approved Scanning Vendor (ASV), piacvezető cég "de-facto” szabvánnyá vált QualysGuard PCI - egyszerű, költség-hatékony és jól automatizált szolgáltatásait használjuk a PCI DSS programunk eszközeként.

Szolgáltatásunk elemei

  1. a kibocsájtó társaságokkal közvetlenül szerződött hitelintézeteket és pénzügyi vállalkozásokat felkészítjük a PCI DSS megfelelésre
  2. előauditot végzünk a Qualified Security Accessor - QSA - auditokat megelőzően
  3. a hitelintézetek megbízása alapján a kártya tranzakciókat feldolgozó láncban elhelyezkedő szolgáltatóknál (Service Provider, SP), illetve a szerződött fizetőkártya elfogadó helyeken elvégezzük a kötelezően előírt rendszerességgel a technikai sérülékenység vizsgálatot és elkészítjük az önértékelő kérdőívet /Self Assesement Questionnaire/
  4. a kibocsájtó társaságokkal közvetlenül szerződött hitelintézeteknél és pénzügyi vállalkozásoknál telepítjük a megfelelés bizonyítására szolgáló automatizált rendszert, és lebonyolítjuk az előírt PCI DSS programjaikat.
  5. az érintett kereskedőket, fizetőkártya elfogadó helyeket felkészítjük a PCI DSS megfelelőségre, és szakértői tanácsadást nyújtunk.

A QualysGuard PCI megfelelő megoldást kínál minden szervezet számára, akiknek bizonyítania kell PCI megfelelőséget:


"Nem csak arra használjuk QualysGuardot, hogy elvégezze az összes sebezhetőség értékelésünket, de segít demonstrálni a pénzügyi szabályozások teljesítését, és kezelni a teljes üzleti kockázatot is."

First Bank & Trust

A Qualys Inc.

  • de-facto szabvány a sérülékenység menedzsment területén
  • megoldását több mint 3500 szervezet használja
  • partnere a Fortune 100 cégeinek 34%-a
  • 160 millió sérülékenységi scan-t végez egy év alatt

Qualys worldwide referenciák:

ABN AMRO; Adobe; BASF; BlueCross/BlueShield; Chevron; Philips; CIGNA; Cingular; Deloitte; DuPont; Ernst&Young; eBay; Fujitsu; Hershey’s; Hewlett Packard; Hitachi; ICI; KPMG; McDonald’s; NYBOT; Nissan; Oracle; Siemens; Sony; Toshiba; WebEx; Deutche Telekom.


Qualys PCI Reseller xhtml logo css logo
| Last modified: 2010. 09. 10.
Adatvédelem | Használati feltételek