PCI FAQs
Witamy w PCI Compliance Guide.
kliknij na poniższe linki, aby znaleźć odpowiedzi na najczęściej zadawane pytania.
Q1: | co to jest PCI? |
Q2: | do kogo stosuje się PCI DSS? |
Q3: | Gdzie mogę znaleźć Standard bezpieczeństwa danych PCI (PCI DSS)? |
Q4: | jakie są „poziomy” zgodności PCI i jak są one określane? |
Q5: | co musi zrobić mała i średnia firma (handlowiec poziomu 4), aby spełnić wymagania PCI DSS? |
Q6: | jak działa przyjmowanie kart kredytowych przez telefon z PCI? |
Q7: | jeśli akceptuję tylko Karty kredytowe przez telefon, czy PCI DSS nadal dotyczy mnie? |
Q8: | czy organizacje korzystające z procesorów innych firm muszą być zgodne z PCI DSS? |
P9: | Moja Firma ma wiele lokalizacji, czy każda lokalizacja jest wymagana do sprawdzenia zgodności z PCI? |
Q10: | zajmujemy się tylko e-commerce. Którego SAQ powinniśmy użyć? |
Q11: | Moja Firma nie przechowuje danych karty kredytowej, więc zgodność z PCI Nie dotyczy nas, prawda? |
Q12: | czy transakcje kartą debetową są objęte zakresem PCI? |
Q13: | czy posiadam certyfikat SSL zgodny z PCI? |
moja firma chce przechowywać dane karty kredytowej. Jakich metod możemy użyć? | |
Q15: | jakie są kary za nieprzestrzeganie przepisów? |
Q16: | co to jest „dane posiadacza karty”? |
Q17: | Jaka jest definicja’sprzedawcy’? |
Q18: | co stanowi Usługodawcę? |
Q19: | co stanowi wniosek o płatność? |
Q20: | co to jest bramka płatności? |
Q21: | co to jest PA-DSS? |
Q22: | czy na kopii rachunku konsumenta można wydrukować pełny numer karty kredytowej? |
Q23: | Czy potrzebuję skanowania luk w zabezpieczeniach, aby zweryfikować zgodność? |
Q24: | co to jest skanowanie luk w zabezpieczeniach? |
Q25: | jak często muszę mieć skanowanie luk w zabezpieczeniach? |
co jeśli moja firma odmówi współpracy? | |
jeśli prowadzę firmę z domu, czy jestem poważnym celem dla hakerów? | |
Q28: | co powinienem zrobić, jeśli jestem zagrożony? |
Q29: | czy państwa mają przepisy wymagające powiadomień o naruszeniu danych do zainteresowanych stron? |
Q1: Co to jest PCI?
A: Payment Card Industry Data Security Standard (PCI DSS) to zestaw standardów bezpieczeństwa zaprojektowany w celu zapewnienia, że wszystkie firmy, które akceptują, przetwarzają, przechowują lub przesyłają informacje o kartach kredytowych, utrzymują bezpieczne środowisko.
Rada standardów bezpieczeństwa branży kart płatniczych (PCI SSC) została uruchomiona 7 września 2006 r.w celu zarządzania ciągłą ewolucją standardów bezpieczeństwa branży kart płatniczych (PCI), koncentrując się na poprawie bezpieczeństwa kont płatniczych w całym procesie transakcji. PCI DSS jest administrowany i zarządzany przez PCI SSC (www.pcisecuritystandards.org), niezależny organ, który został stworzony przez główne marki kart płatniczych (Visa, MasterCard, American Express, Discover i JCB.). Ważne jest, aby pamiętać, że marki płatnicze i autoryzowani są odpowiedzialni za egzekwowanie zgodności, a nie Rada PCI. Kopia PCI DSS jest dostępna tutaj.
powrót do góry
Q2: do kogo odnosi się PCI DSS?
A: PCI DSS ma zastosowanie do każdej organizacji, niezależnie od wielkości lub liczby transakcji, która akceptuje, przesyła lub przechowuje dane posiadacza karty.
powrót na górę
Q3: Gdzie mogę znaleźć Standard bezpieczeństwa danych PCI (PCI DSS)?
A: aktualne dokumenty PCI DSS można znaleźć na stronie PCI Security Standards Council.
powrót do góry
P4: jakie są „poziomy” zgodności PCI i jak są one określane?
A: wszyscy handlowcy będą mieli jeden z czterech poziomów handlowców w oparciu o wolumen transakcji wizowych w okresie 12 miesięcy. Wolumen transakcji opiera się na łącznej liczbie transakcji Visa (w tym kredytowych, debetowych i przedpłaconych) od sprzedawcy prowadzącego działalność gospodarczą jako („DBA”). W przypadku gdy korporacja handlowa ma więcej niż jeden DBA, nabywcy wizy muszą wziąć pod uwagę łączny wolumen transakcji przechowywanych, przetwarzanych lub przesyłanych przez podmiot korporacyjny w celu określenia poziomu walidacji. Jeśli dane nie zostaną zagregowane w taki sposób, że jednostka korporacyjna nie przechowuje, nie przetwarza ani nie przekazuje danych posiadacza karty w imieniu wielu baz danych, autoryzujący będą nadal rozważać indywidualny wolumen transakcji DBA w celu określenia poziomu walidacji.
poziomy handlowców określone przez Visa:
poziom sprzedawcy | opis |
1 | każdy handlowiec — niezależnie od kanału akceptacji — przetwarza ponad 6 mln transakcji wizowych rocznie. Każdy handlowiec, którego Visa, według własnego uznania, określi, powinien spełniać wymagania handlowca poziomu 1, aby zminimalizować ryzyko dla systemu wizowego. |
2 | każdy sprzedawca — niezależnie od kanału akceptacji — przetwarza 1m do 6m transakcji wizowych rocznie. |
3 | każdy handlowiec przetwarza 20 000 do 1 mln transakcji e-commerce Visa rocznie. |
4 | każdy handlowiec przetwarza mniej niż 20 000 transakcji e-commerce Visa rocznie, a wszyscy inni handlowcy — niezależnie od kanału akceptacji — przetwarzają do 1 mln transakcji Visa rocznie. |
* każdy sprzedawca, który doznał naruszenia, które doprowadziło do naruszenia danych konta, może zostać eskalowany do wyższego poziomu walidacji.
powrót do góry
P5: co musi zrobić mała i średnia firma (handlowiec poziomu 4), aby spełnić wymagania PCI DSS?
A: aby spełnić wymagania PCI, sprzedawca musi wykonać następujące kroki:
- ustal, którego kwestionariusza samooceny (SAQ) Twoja firma powinna użyć do potwierdzenia zgodności. Aby ułatwić wybór, zapoznaj się z poniższą tabelą. (Kliknij wykres, aby powiększyć.)
- wypełnij kwestionariusz samooceny zgodnie z instrukcją, którą zawiera.
- Ukończ i uzyskaj dowód przechodzącego skanowania luk w zabezpieczeniach za pomocą zatwierdzonego dostawcy skanowania PCI SSC (ASV). Skanowanie notatek nie dotyczy wszystkich sprzedawców. Jest to wymagane dla SAQ a-EP, SAQ B-IP, SAQ C, SAQ D-Merchant i SAQ D-Service Provider.
- wypełnij odpowiednie zaświadczenie zgodności w całości (znajdujące się w narzędziu SAQ).
- Prześlij SAQ, dowód zdalnego skanowania (jeśli dotyczy) oraz poświadczenie zgodności, wraz z wszelkimi innymi wymaganymi dokumentami, do swojego nabywcy.
przeczytaj nasz wpis na blogu „podstawy PCI / Szybki przewodnik – co Mali sprzedawcy muszą zrobić, aby osiągnąć zgodność z PCI?”
powrót do góry
P6: jak działa przyjmowanie kart kredytowych przez telefon z PCI?
a: poniższy post „Jak działa przyjmowanie kart kredytowych przez telefon z PCI?”wyjaśnia Twoje obowiązki w zakresie zgodności z PCI podczas odbierania informacji o karcie kredytowej przez telefon (np. w call center). Zauważ, że chociaż ten post został opublikowany w 2014 roku, nadal ma on znaczenie dla bieżącej wersji PCI DSS.
powrót na górę
Q7: Jeśli akceptuję tylko Karty kredytowe przez telefon, czy PCI DSS nadal dotyczy mnie?
a: tak. Wszystkie firmy, które przechowują, przetwarzają lub przesyłają dane posiadacza karty płatniczej, muszą być zgodne z PCI.
powrót na górę
P8: czy organizacje korzystające z procesorów innych firm muszą być zgodne z PCI DSS?
a: tak. Samo korzystanie z firmy zewnętrznej nie wyklucza zgodności firmy z PCI DSS. Może ograniczyć narażenie na ryzyko, a w konsekwencji ograniczyć wysiłki w celu potwierdzenia zgodności. Nie oznacza to jednak, że mogą ignorować PCI DSS.
powrót na górę
Q9: Moja firma ma wiele lokalizacji, czy każda lokalizacja jest wymagana do sprawdzenia zgodności z PCI?
A: jeśli Twoje lokalizacje działają pod tym samym identyfikatorem podatkowym, zwykle musisz potwierdzić tylko raz w roku dla wszystkich lokalizacji. I przesyłać kwartalne skanowanie sieciowe przez zatwierdzonego przez PCI SSC producenta skanowania (ASV) dla każdej lokalizacji, jeśli ma to zastosowanie.
powrót na górę
Q10: zajmujemy się wyłącznie handlem elektronicznym. Którego SAQ powinniśmy użyć?
A: to zależy od tego, jak skonfigurowany jest Twój koszyk. Patrz PCI SAQ 3.1: Objaśnienie opcji E-Commerce.
powrót na górę
Q11: Moja Firma nie przechowuje danych karty kredytowej, więc zgodność z PCI Nie dotyczy nas, prawda?
A: jeśli akceptujesz Karty kredytowe lub debetowe jako formę płatności, obowiązuje Cię zgodność z PCI. Przechowywanie danych karty jest ryzykowne, więc jeśli nie przechowujesz danych karty, łatwiej będzie uzyskać Bezpieczeństwo i zgodność z przepisami.
powrót do góry
Q12: czy transakcje kartą debetową są dostępne dla PCI?
A: Karty objęte zakresem obejmują wszelkie karty debetowe, kredytowe i przedpłacone oznaczone jednym z pięciu logo Stowarzyszenia kart/marki uczestniczących w PCI SSC-American Express, Discover, JCB, MasterCard i Visa International.
powrót do góry
Q13: czy posiadam certyfikat SSL zgodny ze standardem PCI?
a: nie Certyfikaty SSL nie zabezpieczają serwera www przed złośliwymi atakami lub włamaniami. Certyfikaty SSL High assurance zapewniają pierwszy poziom bezpieczeństwa klienta i pewności, takich jak poniżej, ale istnieją inne kroki, aby osiągnąć zgodność z PCI. Zobacz pytanie ” co musi zrobić mała i średnia firma (handlowiec poziomu 4), aby spełnić wymagania PCI?”
- bezpieczne połączenie między przeglądarką klienta a serwerem internetowym
- weryfikacja, że operatorzy stron internetowych są legalną, odpowiedzialną prawnie organizacją
Zobacz pokrewny wpis na blogu ” PCI DSS v3.1 i SSL: co powinieneś teraz zrobić.”
Powrót na górę
Q14: moja firma chce przechowywać dane karty kredytowej. Jakich metod możemy użyć?
A: większość sprzedawców, którzy muszą przechowywać dane karty kredytowej, robi to w celu rozliczenia cyklicznego. Najlepszym sposobem przechowywania danych kart kredytowych do cyklicznych rozliczeń jest korzystanie z zewnętrznego magazynu kart kredytowych i tokenizacji dostawcy. Korzystając ze skarbca, dane karty są usuwane z twojego posiadania i otrzymujesz z powrotem „token”, który można wykorzystać do celów cyklicznych rozliczeń. Korzystając z usług strony trzeciej, ryzyko przechowywania danych karty przenosi się na osobę, która specjalizuje się w tym i posiada wszystkie zabezpieczenia zapewniające bezpieczeństwo danych karty.
Jeśli musisz przechowywać dane karty samodzielnie, pasek do samooceny jest bardzo wysoki i być może będziesz musiał poprosić QSA (Qualified Security Assessor) na miejscu i przeprowadzić audyt, aby upewnić się, że masz wszystkie kontrole niezbędne do spełnienia specyfikacji PCI DSS.
Zobacz pokrewny wpis na blogu „czy możemy bezpiecznie przechowywać dane karty do Fakturowania cyklicznego?”
powrót na górę
Q15: jakie są kary za nieprzestrzeganie przepisów?
A: marki płatnicze mogą, według własnego uznania, ukarać Bank nabywający $5,000 do $100,000 miesięcznie za naruszenia zgodności PCI. Banki najprawdopodobniej przekażą tę grzywnę, aż w końcu trafi do kupca. Co więcej, Bank najprawdopodobniej zakończy twój związek lub zwiększy opłaty transakcyjne. Kary nie są otwarcie omawiane ani szeroko rozpowszechniane, ale mogą być katastrofalne dla małej firmy. Ważne jest, aby zapoznać się z umową konta sprzedawcy, która powinna określać ekspozycję.
Przeczytaj więcej o karach za nieprzestrzeganie przepisów w naszym poście na blogu: „w jaki sposób twoje wysiłki w zakresie zgodności z PCI mogą ostatecznie zaoszczędzić pieniądze Twojej firmy?”
powrót na górę
Q16: Co definiuje się jako „dane posiadacza karty”?
a: Rada standardów bezpieczeństwa PCI (SSC) definiuje „dane posiadacza karty” jako pełny główny numer konta (PAN) lub pełny PAN wraz z którymkolwiek z następujących elementów:
- nazwa posiadacza karty
- data ważności
- Kod usługi
wrażliwe dane uwierzytelniające, które również muszą być chronione, obejmują pełne dane paska magnetycznego, CAV2, CVC2, CVV2, CID, piny, bloki PIN i więcej.
powrót do góry
Q17: Jaka jest definicja „sprzedawcy”?
A: Na potrzeby PCI DSS Akceptantem jest każdy podmiot, który akceptuje karty płatnicze z logo dowolnego z pięciu członków PCI SSC (American Express, Discover, JCB, MasterCard lub Visa) jako płatność za towary i/lub usługi. Należy pamiętać, że sprzedawca, który akceptuje karty płatnicze jako płatność za towary i/lub usługi, może być również dostawcą usług, jeśli sprzedane usługi skutkują przechowywaniem, przetwarzaniem lub przekazywaniem danych posiadacza karty w imieniu innych sprzedawców lub dostawców usług. Na przykład dostawca usług internetowych to sprzedawca, który akceptuje karty płatnicze do miesięcznych rozliczeń, ale jest również dostawcą usług, jeśli hostuje sprzedawców jako klientów. Źródło: PCI SSC
powrót na górę
Q18: co stanowi dostawcę usług?
A: PCI SSC definiuje dostawcę usług w ten sposób:
„podmiot gospodarczy, który nie jest marką płatniczą, bezpośrednio zaangażowany w przetwarzanie, przechowywanie lub przesyłanie danych posiadacza karty. Obejmuje to również firmy świadczące usługi, które kontrolują lub mogą mieć wpływ na bezpieczeństwo danych posiadacza karty.”(Źródło: www.normy pcisecuritystandards.org)
rola „sprzedawca jako dostawca usług” jest dalej określana przez PCI SSC jako „sprzedawca, który akceptuje karty płatnicze jako płatność za towary i/lub usługi…jeśli sprzedane usługi skutkują przechowywaniem, przetwarzaniem lub przekazywaniem danych posiadacza karty w imieniu innych sprzedawców lub dostawców usług.”Dowiedz się więcej o tym, jak osiągnąć zgodność jako dostawca usług. Zobacz nasz wpis na blogu ” Zgodność PCI I Dostawca usług.”
powrót do góry
Q19: co stanowi wniosek o płatność?
A: co stanowi wniosek o płatność w odniesieniu do zgodności z PCI? Termin aplikacja płatnicza ma bardzo szerokie znaczenie w PCI. Aplikacja płatnicza to wszystko, co przechowuje, przetwarza lub przesyła dane karty elektronicznie. Oznacza to, że wszystko z systemu punktu sprzedaży (np. Terminale Verifone swipe, terminale ALOHA itp.) w restauracji na stronie internetowej e-commerce koszyk (na przykład, Creladed, osCommerce, itp) są klasyfikowane jako aplikacje płatnicze. Dlatego każde oprogramowanie, które zostało zaprojektowane do dotykania danych karty kredytowej, jest uważane za aplikację płatniczą.
powrót na górę
Q20: co to jest bramka płatności?
A: Bramki płatnicze łączą sprzedawcę z bankiem lub procesorem, który działa jako połączenie front-end z markami kart. Nazywane są bramkami, ponieważ pobierają wiele danych wejściowych z różnych aplikacji i kierują je do odpowiedniego banku lub procesora. Bramki komunikują się z bankiem lub procesorem za pomocą połączeń dial-up, połączeń internetowych lub prywatnych linii dzierżawionych.
powrót na górę
Q21: co to jest PA-DSS?
A: PA-DSS odnosi się do standardu bezpieczeństwa danych aplikacji płatniczych utrzymywanego przez Radę standardów bezpieczeństwa PCI (SSC) w celu rozwiązania krytycznego problemu bezpieczeństwa aplikacji płatniczych. Wymagania w ramach PA-DSS mają na celu zapewnienie, że dostawcy dostarczają produkty, które wspierają wysiłki sprzedawców w celu utrzymania zgodności z PCI DSS i wyeliminowania przechowywania wrażliwych danych posiadacza karty.
PCI SSC administruje programem do sprawdzania zgodności aplikacji płatniczych z PA-DSS oraz publikuje i utrzymuje listę zatwierdzonych aplikacji PA-DSS. Zobacz standardy bezpieczeństwa PCI, aby uzyskać więcej informacji. Zobacz również nasz wpis na blogu na temat krytycznej różnicy między PCI DSS i PA-DSS tutaj.
powrót do góry
Q22: czy na kopii rachunku konsumenta można wydrukować pełny numer karty kredytowej?
a: Wymaganie PCI DSS 3.3 określa „przesunięcie maski podczas wyświetlania (pierwsze sześć i ostatnie cztery cyfry to maksymalna liczba cyfr, które mają być wyświetlone).”Chociaż wymóg nie zabrania drukowania pełnego numeru karty lub daty ważności na paragonach (Kopia sprzedawcy lub Kopia konsumenta), należy pamiętać, że PCI DSS nie zastępuje żadnych innych przepisów, które regulują to, co można drukować na paragonach (takich jak amerykańska Ustawa o uczciwych i dokładnych transakcjach kredytowych (FACTA) lub inne obowiązujące przepisy).
Zobacz notatkę kursywą pod wymaganiem PCI DSS 3.3 ” Notatka: Wymóg ten nie zastępuje bardziej rygorystycznych wymogów dotyczących wyświetlania danych posiadacza karty—na przykład wymogów prawnych lub wymogów dotyczących marki karty płatniczej dla paragonów w punkcie sprzedaży (POS). Wszelkie papierowe paragony przechowywane przez sprzedawców muszą być zgodne z PCI DSS, w szczególności z wymogiem 9 dotyczącym bezpieczeństwa fizycznego”. Źródło: PCI SSC
powrót na górę
Q23: Czy potrzebuję skanowania luk w zabezpieczeniach, aby zweryfikować zgodność?
A: Jeśli kwalifikujesz się do niektórych kwestionariuszy samooceny (SAQs) lub elektronicznie przechowujesz dane posiadacza karty po autoryzacji, w celu zachowania zgodności wymagane jest kwartalne skanowanie przez zatwierdzonego przez PCI SSC producenta skanującego (ASV). Jeśli kwalifikujesz się do któregokolwiek z poniższych SAQ w wersji 3.x PCI DSS, następnie wymagane jest przejście skanowania ASV:
- SAQ a-EP
- SAQ B-IP
- SAQ C
- SAQ D-Merchant
- SAQ D-Service Provider
powrót do góry
Q24: co to jest skanowanie luk?
A: Skanowanie luk polega na zautomatyzowanym narzędziu, które sprawdza systemy sprzedawcy lub dostawcy usług pod kątem luk w zabezpieczeniach. Narzędzie przeprowadzi nieinwazyjne skanowanie w celu zdalnego przeglądania sieci i aplikacji internetowych w oparciu o adresy IP (external-facing Internet protocol) dostarczone przez Sprzedawcę lub dostawcę usług. Skanowanie identyfikuje luki w systemach operacyjnych, usługach i urządzeniach, które mogą być używane przez hakerów do atakowania prywatnej sieci firmy. Jak zapewnia zatwierdzony dostawca skanowania (ASV), taki jak ControlScan, skanowanie nie wymaga od sprzedawcy ani dostawcy usług instalowania żadnego oprogramowania w ich systemach i nie będą wykonywane ataki typu „odmowa usługi”. Dowiedz się więcej o skanowaniu luk tutaj.
powrót na górę
Q25: jak często muszę mieć skanowanie luk w zabezpieczeniach?
a: co 90 dni/raz na kwartał osoby, które spełniają powyższe kryteria, są zobowiązane do przesłania skanu. Sprzedawcy i dostawcy usług powinni składać dokumentację zgodności (udane raporty skanowania) zgodnie z harmonogramem ustalonym przez ich nabywcę. Skanowanie musi być prowadzone przez zatwierdzonego przez PCI SSC producenta skanowania (ASV), takiego jak ControlScan.
Zobacz pokrewny post na blogu, „wewnętrzne vs.zewnętrzne skanowanie luk: dlaczego potrzebujesz obu.”
powrót do góry
Q26: co jeśli moja firma odmówi współpracy?
a: PCI sama w sobie nie jest prawem. Standard został stworzony przez główne marki kart Visa, MasterCard, Discover, AMEX i JCB. Sprzedawcy, którzy nie przestrzegają PCI DSS, mogą, według własnego uznania, podlegać grzywnom, kosztom wymiany karty, kosztownym audytom sądowym, uszkodzeniom marki itp., w przypadku wystąpienia naruszenia.
za mały wysiłek z góry i koszty związane z przestrzeganiem PCI DSS, znacznie zmniejszasz ryzyko związane z tymi niezwykle nieprzyjemnymi i kosztownymi konsekwencjami. Dowiedz się, jak ControlScan pomaga uprościć procesor PCI DSS.
powrót na górę
Q27: jeśli prowadzę firmę z domu, czy jestem poważnym celem dla hakerów?
a: tak. Użytkownicy domowi są prawdopodobnie najbardziej narażeni po prostu dlatego, że zwykle nie są dobrze chronieni. Przyjmując model „ścieżki najmniejszego oporu”, intruzi często zerują się na użytkowników domowych—często wykorzystują swoje stałe połączenia szerokopasmowe i typowe programy do użytku domowego, takie jak czat, gry internetowe i aplikacje do udostępniania plików P2P. Usługa skanowania ControlScan pozwala użytkownikom domowym i administratorom sieci identyfikować i naprawiać wszelkie luki w zabezpieczeniach na komputerach stacjonarnych lub laptopach.
Zobacz pokrewny wpis na blogu, ” 5 Najlepsze praktyki dla zabezpieczenia Twojego małego biznesu.”
powrót do góry
Q28: co powinienem zrobić, jeśli jestem zagrożony?
A: chociaż wielu naruszeniom danych kart płatniczych można łatwo zapobiec, mogą one I nadal zdarzają się firmom każdej wielkości.
Jeśli twoja mała lub średnia firma odkryła, że została naruszona, istnieje wiele dobrych zasobów, które pomogą Ci w kolejnych krokach. Polecamy następujące:
- Department of Justice, Best Practices for Victim Response and Reporting of Cyber Incidents
- PCI Council, response to a Data Breach – A How-to Guide for Incident Management
- Electronic Transactions Association (ETA), data Breach Response: a Nine-Step Guide for Smaller Merchants
powrót do góry
Q29: czy państwa mają przepisy wymagające powiadomień o naruszeniu danych do zainteresowanych stron?
a: absolutnie. Kalifornia jest katalizatorem zgłaszania naruszeń danych zainteresowanym stronom. W 2003 r. Państwo wdrożyło prawo do zgłaszania naruszeń, a obecnie prawie każde państwo ma podobne prawo.
stan na 12 kwietnia 2017, NCSL.org raporty: czterdzieści osiem stanów, Dystrykt Kolumbii, Guam, Portoryko I Wyspy Dziewicze przyjęło przepisy zobowiązujące podmioty prywatne, rządowe lub edukacyjne do powiadamiania osób o naruszeniach bezpieczeństwa informacji zawierających dane osobowe.
powrót na górę
Leave a Reply