Articles

PCI FAQ

Vítejte v PCI Compliance Guide.

kliknutím na níže uvedené odkazy najdete odpovědi na Často kladené otázky.

Q1: Co je PCI?
Q2: na koho se vztahuje PCI DSS?
Q3: Kde najdu standard PCI Data Security (PCI DSS)?
Q4: jaké jsou „úrovně souladu PCI“ a jak jsou určeny?
Q5: co musí malý až střední podnik (obchodník úrovně 4) udělat, aby splnil požadavky PCI DSS?
Q6: jak funguje telefonování kreditních karet s PCI?
Q7: pokud přijímám pouze kreditní karty po telefonu, platí pro mě PCI DSS?
Q8: musí být organizace používající procesory třetích stran kompatibilní s PCI DSS?
Q9: Moje firma má více míst,je každé místo nutné k ověření souladu s PCI?
Q10: děláme pouze e-commerce. Který SAQ bychom měli použít?
Q11: moje společnost neukládá údaje o kreditní kartě, takže se na nás nevztahuje dodržování PCI, že?
Q12: jsou transakce debetními kartami v rozsahu PCI?
Q13: jsem kompatibilní s PCI, pokud mám certifikát SSL?
Q14: moje společnost chce ukládat údaje o kreditní kartě. Jaké metody můžeme použít?
Q15: jaké jsou sankce za nedodržení?
Q16: co je definováno jako „data držitelů karet“?
Q17: jaká je definice „obchodníka“?
Q18: co představuje poskytovatele služeb?
Q19: co představuje žádost o platbu?
Q20: co je platební brána?
Q21: co je PA-DSS?
Q22: lze na kopii účtenky spotřebitele vytisknout celé číslo kreditní karty?
Q23: potřebuji skenování zranitelnosti k ověření shody?
Q24: co je skenování zranitelnosti?
Q25: jak často musím mít kontrolu zranitelnosti?
Q26: co když moje firma odmítne spolupracovat?
Q27: pokud podnikám z domova, jsem vážným cílem hackerů?
Q28: co mám dělat, když jsem ohrožen?
Q29: mají státy zákony vyžadující oznámení o narušení dat postiženým stranám?

Q1: Co je PCI?

: Payment Card Industry Data Security Standard (PCI DSS) je soubor bezpečnostních norem navrženy tak, aby zajistily, že VŠECHNY společnosti, které přijímat, zpracovávat, ukládat nebo přenášet údaje o kreditní kartě udržovat bezpečné prostředí.

Payment Card Industry Security Standards Council (PCI SSC) byla zahájena dne 7. září 2006 spravovat probíhající vývoj v Odvětví Platebních Karet (PCI) bezpečnostní standardy se zaměřením na zlepšení platební účet bezpečnost během celého procesu transakce. PCI DSS je spravován a spravován PCI SSC (www.pcisecuritystandards.org), nezávislý orgán, který byl vytvořen hlavními značkami platebních karet (Visa, MasterCard, American Express, Discover a JCB.). Je důležité si uvědomit, že platební značky a nabyvatelé jsou odpovědní za vymáhání dodržování předpisů, nikoli Rada PCI. Kopie PCI DSS je k dispozici zde.

zpět na začátek

Q2: na koho se vztahuje PCI DSS?

A: PCI DSS se vztahuje na jakoukoli organizaci, bez ohledu na velikost nebo počet transakcí, která přijímá, přenáší nebo ukládá data držitelů karty.

zpět na začátek

Q3: Kde najdu standard zabezpečení dat PCI (PCI DSS)?

A: aktuální dokumenty PCI DSS naleznete na webových stránkách Rady pro bezpečnostní standardy PCI.

zpět na začátek

Q4: jaké jsou úrovně souladu PCI a jak jsou určeny?

A: všichni obchodníci spadnou do jedné ze čtyř úrovní obchodníků na základě objemu transakcí Visa během období 12 měsíců. Objem transakce je založena na celkovém počtu Visa transakcí (včetně kreditních, debetních a předplacených) od obchodníka Podnikání Jako (‚DB‘). V případech, kdy má obchodní společnost více než jednu DBA, musí nabyvatelé víz zvážit souhrnný objem transakcí uložených, zpracovaných nebo přenášených právnickou osobou, aby určili úroveň ověření. Pokud nejsou údaje souhrnné, tak, že právnická osoba není ukládání, zpracování nebo přenosu dat držitelů karet za více Dba, nabyvatelé bude i nadále, aby zvážila DBA individuální objem transakcí k určení úrovně validace.

úrovně obchodníků podle definice Visa:

Obchodní Úrovni Popis
1 Každý obchodník, bez ohledu na přijetí kanálu — zpracování nad 6M Visa transakcí za rok. Každý obchodník, který Visa, podle vlastního uvážení, určí, by měl splňovat úroveň 1 požadavky obchodníka, aby se minimalizovalo riziko pro vízový systém.
2 jakýkoli obchodník-bez ohledu na akceptační kanál-zpracování 1M až 6M vízových transakcí ročně.
3 každý obchodník zpracovává 20 000 až 1M transakcí Visa e-commerce ročně.
4 Žádné obchodníka zpracování méně než 20 000 Víz e-commerce transakcí za rok, a všechny ostatní obchodníci — bez ohledu na přijetí kanálu — zpracování až 1M Visa transakcí za rok.

* Jakýkoli obchodník, který utrpěl porušení, která vyústila v úvahu údaje kompromis může být zvýšena na vyšší úrovni validace.

zpět na začátek

Q5: co musí malý až střední podnik (obchodník úrovně 4) udělat, aby splnil požadavky PCI DSS?

A: pro splnění požadavků PCI musí obchodník provést následující kroky:

  • určete, který dotazník pro sebehodnocení (SAQ) by vaše firma měla použít k ověření shody. Podívejte se na níže uvedený graf, který vám pomůže vybrat. (Klikněte na graf pro zvětšení.)
    PCI 3.0 SAQ Chart
  • vyplňte dotazník pro sebehodnocení podle pokynů, které obsahuje.
  • dokončete a získejte důkazy o procházejícím skenování zranitelnosti pomocí PCI SSC Approved Scanning Vendor (ASV). Poznámka Skenování se nevztahuje na všechny obchodníky. Je vyžadován pro SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant a SAQ D-Service Provider.
  • vyplňte příslušné potvrzení o shodě v celém rozsahu (umístěné v nástroji SAQ).
  • předložte SAQ, doklad o absolvování testu (je-li k dispozici) a potvrzení o shodě spolu s jakoukoli další požadovanou dokumentací vašemu nabyvateli.

Přečtěte si náš blogový příspěvek „základy PCI / Rychlý průvodce-co musí malí obchodníci udělat, aby dosáhli souladu s PCI?“

zpět na začátek

Q6: jak funguje telefonování kreditních karet s PCI?

A: následující příspěvek: „Jak funguje telefonování kreditních karet s PCI?“vysvětluje vaše povinnosti v souladu s PCI při přijímání informací o kreditní kartě po telefonu (např. v call centru). Všimněte si, že zatímco tento příspěvek byl publikován v 2014, je stále relevantní s aktuální verzí PCI DSS.

zpět na začátek

Q7: Pokud přijímám pouze kreditní karty po telefonu, platí pro mě PCI DSS?

A: ano. Všechny podniky, které ukládají, zpracovávají nebo přenášejí data držitelů platebních karet, musí být kompatibilní s PCI.

zpět na začátek

Q8: musí být organizace používající procesory třetích stran kompatibilní s PCI DSS?

A: ano. Pouhé použití společnosti třetí strany nevylučuje společnost z souladu s PCI DSS. Může snížit jejich rizikovou expozici a následně snížit úsilí o ověření shody. Nicméně, to neznamená, že mohou ignorovat PCI DSS.

zpět na začátek

Q9: Moje firma má více míst,je každé místo nutné k ověření souladu s PCI?

A: pokud se vaše obchodní místa zpracovávají pod stejným daňovým ID, pak obvykle musíte ověřit pouze jednou ročně pro všechna místa. A, předložit čtvrtletní procházející síťové kontroly PCI SSC schválené skenování dodavatele (ASV) pro každé místo, pokud je to možné.

zpět na začátek

Q10: děláme pouze elektronický obchod. Který SAQ bychom měli použít?

A: záleží na Nastavení nákupního košíku. Viz PCI SAQ 3.1: možnosti elektronického obchodování vysvětleny.

zpět na začátek

Q11: Moje společnost neukládá údaje o kreditní kartě, takže se na nás nevztahuje dodržování PCI, že?

A: pokud přijímáte kreditní nebo debetní karty jako způsob platby, pak se na vás vztahuje dodržování PCI. Ukládání dat z karty je riskantní, takže pokud neukládáte data z karty, může být snazší být bezpečné a kompatibilní.

zpět na začátek

Q12: jsou transakce debetními kartami v rozsahu PCI?

A: V-rozsah karty jsou debetní, kreditní a předplacené karty, cd s jedním z pěti card association/loga značky, která se účastní PCI SSC – American Express, Discover, JCB, MasterCard a Visa International.

zpět na začátek

Q13: jsem kompatibilní s PCI, pokud mám certifikát SSL?

A: ne. Certifikáty SSL nezabezpečují webový server před škodlivými útoky nebo vniknutím. Certifikáty SSL s vysokým zabezpečením poskytují první úroveň zabezpečení a ujištění zákazníků, jako je níže, ale existují i další kroky k dosažení souladu s PCI. Viz otázka “ co musí malý až střední podnik (obchodník na úrovni 4) udělat, aby splnil požadavky PCI?“

  • bezpečné připojení mezi zákazníkem prohlížeč a webový server
  • Ověření, že webové stránky provozovatele jsou oprávněné, právně zodpovědná organizace

Viz související blog post, „PCI DSS v3.1 a SSL: Co byste měli udělat TEĎ.“
Zpět na začátek

Q14: moje společnost chce ukládat data o kreditní kartě. Jaké metody můžeme použít?

A: většina obchodníků, kteří potřebují ukládat údaje o kreditní kartě, to dělá pro opakované fakturace. Nejlepší způsob, jak ukládat údaje o kreditní kartě pro opakující se fakturaci, je využití trezoru kreditní karty třetí strany a poskytovatele tokenizace. Využitím trezoru jsou data karty odstraněna z vašeho vlastnictví a dostanete zpět „token“, který lze použít pro účely opakované fakturace. Pomocí třetí strany přesunete riziko ukládání dat karty na někoho, kdo se na to specializuje a má všechny bezpečnostní kontroly, aby data karty byla v bezpečí.

Pokud potřebujete uložit údaje o kartě sebe, svůj bar pro sebehodnocení je velmi vysoká a budete muset mít QSA (Qualified Security Assessor) přijde na místě a provést audit tak, aby zajistily, že máte všechny kontroly na místě nezbytné pro splnění PCI DSS specifikace.

viz související blogový příspěvek, “ můžeme bezpečně ukládat data z karty pro opakované fakturace?“

zpět na začátek

Q15: jaké jsou sankce za nedodržení?

A: platební značky mohou podle svého uvážení udělit nabývající bance pokutu 5 000 až 100 000 USD měsíčně za porušení souladu s PCI. Banky tuto pokutu s největší pravděpodobností projdou, dokud nakonec obchodníka nenarazí. Dále, banka také s největší pravděpodobností buď ukončí váš vztah, nebo zvýší transakční poplatky. Sankce nejsou otevřeně diskutovány ani široce propagovány, ale mohou být pro malé podniky katastrofální. Je důležité se seznámit se smlouvou o obchodním účtu, která by měla nastínit vaši expozici.

Přečtěte si více o sankcích za nedodržení předpisů v našem blogu “ Jak může vaše úsilí o dodržování PCI nakonec ušetřit vaše obchodní peníze?“

zpět na začátek

Q16: Co je definováno jako „údaje držitelů karet“?

: PCI Bezpečnostní Standardy Rady (SSC) definuje držitele karty data jako plnou Primární Číslo Účtu (PAN) nebo plnou PÁNEV spolu s některou z následujících prvků:

  • jméno držitele Karty
  • datum Vypršení platnosti
  • kód Služby

Citlivé Autentizační Údaje, které musí být také chráněny, zahrnuje plnou magnetickým proužkem, data, CAV2, CVC2, CVV2, CID, Kolíky, KOLÍK, bloky a další.

zpět na začátek

Q17: jaká je definice „obchodníka“?

A: Pro účely PCI DSS je obchodník definován jako subjekt, který akceptuje platební karty s logem některého z pěti členů PCI SSC (American Express, Discover, JCB, MasterCard nebo Visa) jako platba za zboží a/nebo služeb. Všimněte si, že obchodník, který přijímá platební karty jako platební prostředek za zboží a/nebo služeb, může být také poskytovatelem služeb, pokud prodané služby následek ukládání, zpracování nebo přenosu dat držitelů karet jménem jiných obchodníků nebo poskytovatelů služeb. Například ISP je obchodník, který přijímá platební karty pro měsíční fakturaci, ale je také poskytovatelem služeb, pokud hostuje obchodníky jako zákazníky. Zdroj: PCI SSC

zpět na začátek

Q18: co představuje poskytovatele služeb?

: PCI SSC definuje Poskytovatel Služby tímto způsobem:
„Podnikatelský subjekt, který není platebním značky, přímo se podílí na zpracování, ukládání nebo přenosu dat držitelů karet. Patří sem také společnosti, které poskytují služby, které kontrolují nebo by mohly ovlivnit bezpečnost dat držitelů karet.“(Zdroj: www.pcisecuritystandardy.org)

„obchodník jako poskytovatel služeb“ role je dále uvedeno do PCI SSC jako „obchodník, který přijímá platební karty jako platební prostředek za zboží a/nebo služeb…pokud prodané služby následek ukládání, zpracování nebo přenosu dat držitelů karet jménem jiných obchodníků nebo poskytovatelů služeb.“Zjistěte více o tom, jak dosáhnout souladu Jako poskytovatel služeb. Podívejte se na náš blogový příspěvek, “ dodržování PCI a poskytovatel služeb.“

zpět na začátek

Q19: co představuje žádost o platbu?

A: co představuje žádost o platbu, protože se týká souladu s PCI? Termín platební aplikace má v PCI velmi široký význam. Platební aplikace je vše, co ukládá, zpracovává nebo přenáší data karty elektronicky. To znamená, že cokoli ze systému prodeje (např. terminály VeriFone swipe, terminály ALOHA atd. CreLoaded, osCommerce atd.) jsou klasifikovány jako platební aplikace. Proto jakýkoli software, který byl navržen tak, aby se dotýkal údajů o kreditní kartě, je považován za platební aplikaci.

zpět na začátek

Q20: co je platební brána?

A: Platební brány spojují obchodníka s bankou nebo zpracovatelem, který funguje jako front-end připojení ke značkám karet. Nazývají brány, protože se mnoho vstupů z různých aplikací a trasu ty vstupy do příslušné banky nebo procesor. Brány komunikují s bankou nebo zpracovatelem pomocí telefonických připojení, webových připojení nebo soukromých pronajatých linek.

zpět na začátek

Q21: co je PA-DSS?

A: PA-DSS odkazuje na standard zabezpečení dat platebních aplikací udržovaný radou pro bezpečnostní standardy PCI (SSC) k řešení kritické otázky zabezpečení platebních aplikací. Požadavky v rámci PA-DSS jsou navrženy tak, aby bylo zajištěno, že dodavatelé poskytují produkty, které podporují obchodníků úsilí k udržení PCI DSS compliance a eliminovat ukládání citlivých dat držitelů karet.

PCI SSC spravuje program k ověření souladu platebních aplikací s PA-DSS a zveřejňuje a udržuje seznam aplikací ověřených PA-DSS. Viz bezpečnostní standardy PCI pro více informací. Podívejte se také na náš blogový příspěvek o kritickém rozdílu mezi PCI DSS a PA-DSS zde.

zpět na začátek

Q22: lze na kopii účtenky spotřebitele vytisknout celé číslo kreditní karty?

a: požadavek PCI DSS 3.3 uvádí “ maska PAN při zobrazení (prvních šest a poslední čtyři číslice jsou maximální počet číslic, které mají být zobrazeny).“Zatímco požadavek nezakazuje tisk celé číslo karty nebo datum vypršení platnosti na příjmy (buď obchodníka kopírovat nebo spotřebitele, kopírování), vezměte prosím na vědomí, že PCI DSS není přepsat nějaké jiné zákony, které zákony, co může být vytištěno na účtenkách (jako jsou USA, Spravedlivé a Přesné Úvěrových Transakcí Act (OPRAVDU) nebo jinými příslušnými zákony).

viz kurzívou pod PCI DSS požadavek 3.3 “ Poznámka: Tento požadavek nenahrazuje přísnější požadavky na místo pro zobrazení dat držitelů karet—například právní nebo platební karta značky požadavky na point-of-sale (POS) příjmy. Veškeré papírové účtenky uložené obchodníky musí dodržovat PCI DSS, zejména požadavek 9 týkající se fyzické bezpečnosti“. Zdroj: PCI SSC

zpět na začátek

Q23: potřebuji skenování zranitelnosti k ověření shody?

A: Pokud máte nárok na určité sebehodnocení Dotazníky (SAQs) nebo elektronicky obchod držitele karty data po autorizaci, pak čtvrtletní skenování PCI SSC Schváleným Skenování Dodavatele (ASV), je nutné zachovat soulad. Pokud máte nárok na některý z následujících SAQ ve verzi 3.x PCI DSS, pak jste povinni mít kolem ASV skenování:

  • SAQ A-EP
  • SAQ B-IP
  • SAQ C
  • SAQ D-Obchodník
  • SAQ D-Poskytovatele Služeb

Zpět na začátek

Q24: Co je vulnerability scan?

A: Kontrola zranitelnosti zahrnuje automatizovaný nástroj, který kontroluje zranitelnost systémů obchodníka nebo poskytovatele služeb. Nástroj provede neintruzivní kontrolu, aby vzdáleně zkontroloval sítě a webové aplikace na základě adres IP (IP) poskytnutých obchodníkem nebo poskytovatelem služeb. Skenování identifikuje zranitelnosti v operačních systémech, službách a zařízeních, které by hackeři mohli použít k zacílení na soukromou síť společnosti. Podle Schváleného Skenování Dodavatelů (ASV) jako ControlScan, skenování nevyžaduje obchodníka nebo poskytovatele služeb, aby instalovat žádný software na svých systémů, a ne denial-of-service útoky budou prováděny. Další informace o prověřování zranitelnosti naleznete zde.

zpět na začátek

Q25: jak často musím mít kontrolu zranitelnosti?

A: každých 90 dní / jednou za čtvrtletí jsou ti, kteří splňují výše uvedená kritéria, povinni předložit procházející skenování. Obchodníci a poskytovatelé služeb by měli předložit dokumentaci o dodržování předpisů (úspěšné zprávy o skenování) podle časového harmonogramu stanoveného jejich nabyvatelem. Skenování musí být prováděno dodavatelem skenování schváleným PCI SSC (ASV), jako je ControlScan.

viz související blogový příspěvek “ interní vs. externí skenování zranitelnosti: proč potřebujete obojí.“

zpět na začátek

Q26: co když moje firma odmítne spolupracovat?

A: PCI není samo o sobě zákonem. Standard byl vytvořen hlavními značkami karet Visa, MasterCard, Discover, AMEX a JCB. Podle uvážení jejich nabyvatelů/poskytovatelů služeb mohou obchodníci, kteří nedodržují PCI DSS, podléhat pokutám, nákladům na výměnu karty, nákladným forenzním auditům, poškození značky atd., pokud dojde k porušení.

Pro malé počáteční úsilí a nákladů k dosažení souladu s PCI DSS, můžete výrazně pomoci snížit riziko čelí tyto velmi nepříjemné a nákladné důsledky. Zjistěte, jak ControlScan pomáhá zjednodušit PCI DSS.

zpět na začátek

Q27: pokud provozuji firmu z domova, jsem vážným cílem hackerů?

A: ano. Domácí uživatelé jsou pravděpodobně nejzranitelnější jednoduše proto, že obvykle nejsou dobře chráněni. Přijetí cestu nejmenšího odporu‘ model, vetřelci, často nula—in na domácí uživatele—často zneužívají vždy-na širokopásmové připojení a typické domácí použití programy jako je chat, Internetové hry a P2P aplikací pro sdílení souborů. Skenovací služba ControlScan umožňuje domácím uživatelům i správcům sítě identifikovat a opravit chyby zabezpečení na svých stolních nebo přenosných počítačích.

viz související blogový příspěvek, “ 5 osvědčených postupů pro zajištění vašeho malého podnikání.“

zpět na začátek

Q28: co mám dělat, když jsem ohrožen?

A: i když mnoho porušení dat platebních karet lze snadno zabránit, mohou a stále se stávají podnikům všech velikostí.

Pokud váš malý nebo středně velký podnik zjistil, že byl porušen, existuje mnoho dobrých zdrojů, které vám pomohou s dalšími kroky. Doporučujeme následující:

  • Ministerstvo Spravedlnosti, Nejlepší Praktiky pro Oběti Reakce a Hlášení Kybernetických Incidentů
  • PCI Rady, Reaguje na Narušení Dat – Jak-na Průvodce pro Incident Management
  • Elektronické Transakce Association (ETA), Porušení Dat Odpověď: Devět-Krokem Průvodce pro Menší Obchodníky

Zpět na začátek

Q29: Udělat státy mají zákony, které vyžadují ohlašování narušení bezpečnosti osobních údajů dotčeným stranám?

A: absolutně. Kalifornie je katalyzátorem pro hlášení narušení dat postiženým stranám. Stát implementoval svůj zákon o oznámení porušení v roce 2003 a nyní má téměř každý stát podobný zákon.

od 12. dubna 2017, NCSL.org zprávy: Čtyřicet osm států, District of Columbia, Guam, Portoriko a Panenské Ostrovy přijaly právní předpisy vyžadují soukromé, vládní nebo vzdělávací subjekty informovat jednotlivce o narušení bezpečnosti informací zahrnující osobně identifikovatelné informace.

zpět na začátek