PCI‑DSS – co musisz wiedzieć o tej normie bezpieczeństwa?

Czy twoja firma jest gotowa na certyfikację PCI‑DSS? W poniższym artykule piszemy o tym, jak powinny przebiegać przygotowania do certyfikacji tej normy bezpieczeństwa. Pomagamy zrozumieć, czym jest PCI‑DSS i kto powinien jej przestrzegać. Prezentujemy sam proces certyfikacji oraz wymieniamy korzyści płynące z posiadania certyfikatu. Przedstawiamy również strategie utrzymania zgodności po jego uzyskaniu.

Co to jest PCI‑DSS?

PCI‑DSS (Payment Card Industry Data Security Standard) to zbiór standardów bezpieczeństwa stworzonych w celu ochrony danych kart płatniczych. Głównym celem PCI‑DSS jest zapewnienie bezpieczeństwa transakcji kartą płatniczą oraz ochrona prywatności użytkowników.

Kto powinien przestrzegać PCI‑DSS?

PCI‑DSS obowiązuje wszystkie podmioty, które przechowują, przetwarzają lub przekazują dane kart płatniczych, zarówno handlowców, jak i dostawców usług, niezależnie od ich wielkości lub liczby transakcji:

1. Sprzedawcy detaliczni: w tej grupie znajdują się sklepy fizyczne i e‑commerce, które przyjmują płatności kartą. Do przestrzegania standardów PCI‑DSS zobowiązane są zarówno duże sieci handlowe, jak i małe, lokalne sklepy.
2. Dostawcy usług płatniczych: firmy, które oferują usługi przetwarzania płatności dla innych firm, takie jak bramki płatności czy firmy oferujące systemy POS (Point Of Sale).
3. Banki i instytucje finansowe: instytucje przetwarzające i przechowujące duże ilości danych o kartach płatniczych (banki i inne instytucje finansowe są również zobowiązane do przestrzegania PCI‑DSS).
4. Organizacje non‑profit i charytatywne: organizacje te często przyjmują donacje za pomocą kart kredytowych i debetowych, dlatego muszą przestrzegać standardów PCI‑DSS.

Należy pamiętać, że wszelkie firmy i organizacje przetwarzające, przechowujące lub transmitujące dane kart płatniczych, niezależnie od wielkości lub typu transakcji, są zobowiązane do przestrzegania standardów PCI‑DSS.

Kluczowe wymagania PCI‑DSS

Pierwszym krokiem w PCI DSS jest dokładne określenie zakresu środowiska. Proces ten obejmuje identyfikację wszystkich komponentów systemu znajdujących się wewnątrz środowiska danych karty płatniczej (CDE) lub do niego podłączonych. CDE składa się z ludzi, procesów i technologii, które obsługują dane karty płatniczej lub wrażliwe dane uwierzytelniające.

Komponenty systemowe obejmują urządzenia sieciowe (zarówno przewodowe, jak i bezprzewodowe), serwery, urządzenia komputerowe i aplikacje. Komponenty wirtualizacji, takie jak maszyny wirtualne, przełączniki/routery wirtualne, urządzenia wirtualne, aplikacje/pulpity wirtualne i hypervisory, również są uznawane za komponenty systemowe w PCI DSS.

Standard PCI‑DSS składa się z 12 głównych wymagań, które są podzielone na sześć obszarów kontrolnych. Poniżej przedstawiamy opis każdego z nich:

1. Budowanie i utrzymanie bezpiecznej sieci

• Wymaganie 1: instalowanie i utrzymanie zapory sieciowej, która chroni dane karty płatniczej.
• Wymaganie 2: niekorzystanie z domyślnych ustawień systemu dla haseł i innych parametrów bezpieczeństwa dostawców.

2. Ochrona danych posiadacza karty

• Wymaganie 3: ochrona przechowywanych danych karty płatniczej.
• Wymaganie 4: szyfrowanie transmisji danych karty płatniczej przez publiczne sieci.

3. Zarządzanie podatnością na ataki

• Wymaganie 5: utrzymanie systemów antywirusowych i regularne aktualizacje.
• Wymaganie 6: bezpieczne rozwijanie i utrzymanie systemów i aplikacji.

4. Implementacja silnych środków kontroli dostępu

• Wymaganie 7: ograniczanie dostępu do danych karty płatniczej tylko do osób, które potrzebują tych informacji.
• Wymaganie 8: każda osoba z dostępem do systemu musi otrzymać unikalny identyfikator.
• Wymaganie 9: ograniczanie fizycznego dostępu do danych karty płatniczej.

5. Monitorowanie i testowanie regularne sieci

• Wymaganie 10: śledzenie i monitorowanie wszystkich dostępów do zasobów sieciowych i danych posiadacza karty.
• Wymaganie 11: regularne testowanie systemów bezpieczeństwa i procesów.

6. Utrzymywanie polityki bezpieczeństwa informacji

• Wymaganie 12: utrzymywanie polityki, która obejmuje bezpieczeństwo informacji dla pracowników i kontrahentów.

Te wymagania zostały stworzone po to, by zapewnić holistyczne podejście do bezpieczeństwa danych kart płatniczych, które obejmuje nie tylko technologię, ale także procesy i procedury organizacyjne.

Wykorzystanie dostawców usług zewnętrznych / outsourcingu

Dostawca usług lub sprzedawca może korzystać z usług zewnętrznych do przechowywania, przetwarzania lub transmisji danych karty płatniczej w ich imieniu lub do zarządzania komponentami Środowiska Przetwarzania Danych Karty (CDE). Strony powinny jasno określić usługi i składniki systemu, które są włączone w zakres rocznej oceny na miejscu PCI DSS przez dostawcę usług, konkretne wymagania PCI DSS spełniane przez dostawcę usług, oraz wszelkie wymagania, które są odpowiedzialnością klientów dostawcy usług do uwzględnienia w ich własnych przeglądach PCI DSS.

Jak PCI‑DSS chroni dane karty płatniczej

Oto kilka głównych sposobów, w jaki PCI‑DSS chroni dane karty płatniczej:

1. Szyfrowanie danych

PCI‑DSS wymaga od organizacji szyfrowania danych karty płatniczej, gdy są one transmitowane przez publiczne sieci. Szyfrowanie jest procesem zamiany czytelnych danych na ciąg znaków, który nie może być zrozumiany bez klucza deszyfrującego. Efekt: nawet jeśli dane zostaną przechwycone podczas transmisji, to nie będą one zrozumiałe dla nieuprawnionej osoby.

2. Ograniczenie dostępu do danych

PCI‑DSS nakłada na organizacje obowiązek ograniczania dostępu do danych karty płatniczej tylko do osób, które faktycznie potrzebują tych informacji do wykonywania swoich obowiązków. Ma to na celu minimalizację ryzyka niewłaściwego użycia danych.

3. Ochrona fizyczna danych

Standardy PCI‑DSS obejmują również ochronę fizyczną danych karty płatniczej. Oznacza to, że wszelkie dane przechowywane na fizycznych nośnikach muszą być odpowiednio chronione, na przykład poprzez zabezpieczenie pomieszczeń, w których przechowywane są serwery czy urządzenia przechowujące dane.

4. Monitorowanie i testowanie sieci

Standardy PCI‑DSS wymagają regularnego monitorowania i testowania sieci i systemów w celu wykrycia potencjalnych luk w bezpieczeństwie. Działania te mogą obejmować skanowanie sieci w poszukiwaniu podatności, monitorowanie logów systemowych czy przeprowadzanie audytów bezpieczeństwa.

5. Polityka bezpieczeństwa

Standardy PCI‑DSS wymagają, aby organizacje utrzymywały politykę bezpieczeństwa informacji. Ta polityka powinna być regularnie aktualizowana, a pracownicy powinni być szkoleni w zakresie jej przestrzegania.

Podsumowując, PCI‑DSS chroni dane karty płatniczej poprzez połączenie wielu metod i praktyk związanych z bezpieczeństwem, które razem tworzą kompleksowy system ochrony. Bez względu na to, czy dane są przetwarzane, przechowywane czy transmitowane, PCI‑DSS oferuje ramy, które pomagają chronić te informacje.

Dlaczego warto posiadać certyfikat PCI‑DSS?

Posiadanie certyfikatu PCI‑DSS ma wiele zalet, a jedną z najważniejszych jest zwiększenie zaufania klientów. W obecnych czasach, gdy kwestie związane z bezpieczeństwem danych są na ustach wszystkich, konsumenci są coraz bardziej świadomi ryzyka związanego z niebezpiecznymi transakcjami online. Klienci szukają więc gwarancji tego, że ich dane są bezpieczne.

Oto 3 najważniejsze zalety płynące z posiadania certyfikatu PCI‑DSS:

1. Budowanie zaufania

Certyfikat PCI‑DSS jest uznawany na całym świecie jako symbol zaufania w dziedzinie bezpieczeństwa płatności. Klienci, widząc, że firma jest zgodna z PCI‑DSS, mają pewność, że traktuje ona poważnie ich prywatność i bezpieczeństwo.

2. Zwiększenie lojalności klientów

Wraz ze zwiększeniem zaufania, certyfikat PCI‑DSS może również przyczynić się do zwiększenia lojalności klientów. Klienci są bardziej skłonni do powrotu do firmy, której ufają. Ponadto, jeśli klient ma pozytywne doświadczenia z bezpiecznymi transakcjami, będzie bardziej skłonny polecić tę firmę innym.

3. Zapobieganie kosztownym naruszeniom danych

Warto również zauważyć, że certyfikacja PCI‑DSS może pomóc firmom uniknąć kosztów finansowych (kary i grzywny) i pozafinansowych (utrata zaufania) związanych z naruszeniem bezpieczeństwa danych.

Minimalizowanie ryzyka naruszeń bezpieczeństwa

PCI‑DSS pomaga zredukować ryzyko naruszeń bezpieczeństwa poprzez wymaganie regularnego monitorowania i testowania sieci oraz implementowanie takich rozwiązań jak:

1. Szyfrowanie danych

Wymagając, aby firmy szyfrowały dane karty płatniczej podczas transmisji przez publiczne sieci, PCI‑DSS pomaga zapobiegać przechwyceniu i wykorzystaniu tych danych przez osoby nieuprawnione.

2. Zabezpieczenia fizyczne

PCI‑DSS wymaga, aby firmy chroniły fizyczne miejsca, w których przechowywane są dane. Może to obejmować zabezpieczenie serwerowni lub innych miejsc, w których przechowywane są dane na twardych dyskach.

3. Kontrola dostępu

PCI‑DSS wymaga, aby dostęp do danych był ściśle kontrolowany. Każda osoba z dostępem do danych powinna mieć unikalne ID, a dostęp do danych powinien być ograniczony tylko do tych, którzy naprawdę go potrzebują.

4. Regularne testy bezpieczeństwa

PCI‑DSS wymaga od firm regularnego przeprowadzania testów bezpieczeństwa (na przykład skanowania sieci czy monitorowania logów systemowych w celu wykrycia nieautoryzowanego dostępu).

5. Polityka bezpieczeństwa

PCI‑DSS zobowiązuje firmy do utrzymania polityki bezpieczeństwa informacji. Pracownicy powinni być regularnie szkoleni z zasad bezpieczeństwa i powinni znać swoją rolę w ochronie danych karty płatniczej.

Wszystkie te działania, kiedy są stosowane razem, tworzą skuteczną obronę przed naruszeniem bezpieczeństwa danych. Chociaż żadna metoda nie jest doskonała i nie można całkowicie wyeliminować ryzyka, to jednak PCI‑DSS, tworząc wiele warstw ochrony, pomaga to ryzyko znacznie zredukować.

Zgodność z przepisami prawnymi

Zgodność z PCI‑DSS jest nie tylko ważna dla bezpieczeństwa danych klientów, ale także pomaga firmom spełniać różne wymogi prawne. Na całym świecie różne kraje i regiony posiadają własne przepisy dotyczące bezpieczeństwa danych, które firmy muszą przestrzegać.

Na przykład w Unii Europejskiej Rozporządzenie o Ochronie Danych Osobowych (RODO) wymaga od firm zastosowania odpowiednich środków technicznych i organizacyjnych do ochrony danych osobowych. Wiele z tych wymogów pokrywa się z wymaganiami PCI‑DSS, co oznacza, że przestrzeganie standardu PCI‑DSS może pomóc firmom spełnić wymogi RODO.

W Stanach Zjednoczonych różne stany mają swoje własne przepisy dotyczące bezpieczeństwa danych, a niektóre z nich odwołują się bezpośrednio do PCI‑DSS. Na przykład ustawa o ochronie informacji identyfikacyjnych konsumentów stanu Nevada wymaga, aby firmy przestrzegały PCI‑DSS podczas przetwarzania danych karty płatniczej.

W wielu innych jurysdykcjach, w tym w Polsce, istnieją również prawa dotyczące ochrony danych osobowych i bezpieczeństwa informacji, które mogą wymagać zastosowania standardów takich jak PCI‑DSS.

Zgodność z PCI‑DSS może więc pomóc firmom w spełnieniu tych różnorodnych wymogów prawnych, co jest nie tylko korzystne dla klientów, ale także pomaga firmom uniknąć potencjalnych kar za naruszenie przepisów o ochronie danych. Warto jednak pamiętać, że każda firma powinna skonsultować się z prawnikiem lub doradcą ds. zgodności, aby upewnić się, że spełnia wszystkie wymogi prawne.

Jak się przygotować do certyfikacji PCI‑DSS

Proces certyfikacji PCI‑DSS obejmuje kilka kluczowych etapów: samoocenę, skanowanie sieci, audyt na miejscu i utrzymanie zgodności po certyfikacji. Każdy z tych etapów wymaga szczegółowego planowania i przygotowania.

Przewodnik po procesie certyfikacji PCI‑DSS

Proces certyfikacji PCI‑DSS zaczyna się od samooceny, w której firma ocenia swoje obecne praktyki bezpieczeństwa w odniesieniu do wymagań PCI‑DSS. Następnie przeprowadza się skanowanie sieci, aby zidentyfikować wszelkie potencjalne luki w zabezpieczeniach. W dalszej kolejności przeprowadzany jest audyt na miejscu przez Kwalifikowanego Eksperta Bezpieczeństwa (QSA). Po otrzymaniu certyfikacji firma musi utrzymać zgodność z PCI‑DSS poprzez regularne przeglądy i audyty.

Kim jest Kwalifikowany Ekspert Bezpieczeństwa (QSA)?

QSA to osoba lub firma, która została certyfikowana przez PCI Security Standards Council do przeprowadzania audytów PCI‑DSS. QSA przeprowadza audyt na miejscu, oceniając zgodność firmy z wymaganiami PCI‑DSS i dostarczając raport o zgodności.

Przygotowanie systemów i procesów technologicznych do certyfikacji

Przygotowanie systemów i procesów technologicznych do certyfikacji PCI‑DSS to kluczowy etap w procesie zabezpieczania danych kart płatniczych. Oto kilka kroków, które firmy powinny podjąć:

1. Zrozumienie środowiska danych karty płatniczej (CDE)

Pierwszym krokiem jest zrozumienie, gdzie w organizacji przechowywane są dane karty płatniczej. Chodzi tutaj nie tylko o systemy informatyczne, ale także fizyczne lokalizacje, takie jak serwery lub systemy POS (punkty sprzedaży).

2. Ocena obecnego stanu bezpieczeństwa

Przed przystąpieniem do certyfikacji PCI‑DSS firmy powinny przeprowadzić wstępną ocenę bezpieczeństwa. To pozwoli zidentyfikować potencjalne luki i obszary, które wymagają poprawy.

3. Implementacja środków bezpieczeństwa

Na podstawie oceny bezpieczeństwa, firmy powinny następnie wdrożyć wymagane środki bezpieczeństwa. Może to obejmować wprowadzenie mechanizmów szyfrowania, zabezpieczenia fizyczne, procesy kontrolowania dostępu, i wiele innych.

4. Szczegółowe monitorowanie i logowanie

PCI‑DSS wymaga, aby firmy prowadziły szczegółowe logi aktywności związanych z danymi kart płatniczych. Firma musi mieć zainstalowane systemy umożliwiające monitorowanie i logowanie tych działań.

5. Regularne testy bezpieczeństwa

Ostatnim krokiem jest wdrożenie regularnych testów bezpieczeństwa (skanowania sieci i audytów bezpieczeństwa), aby upewnić się, że środki bezpieczeństwa są nadal skuteczne.

To przygotowanie jest kluczowe dla pomyślnego uzyskania certyfikacji PCI‑DSS, ale jest to również niezbędne dla utrzymania trwałego bezpieczeństwa danych kart płatniczych. Firmy muszą regularnie przeglądać i aktualizować swoje środki bezpieczeństwa, aby sprostać zmieniającym się zagrożeniom i zapewnić ochronę swoim klientom.

Kluczowe etapy procesu certyfikacji PCI‑DSS

1. Samoocena PCI‑DSS (SAQ)

Samoocena PCI‑DSS (Self‑Assessment Questionnaire, SAQ) jest narzędziem, które pomaga firmom ocenić ich zgodność z wymaganiami PCI‑DSS. To kwestionariusz, który firma musi wypełnić, aby ocenić swój aktualny poziom zgodności z PCI‑DSS. Istnieje kilka różnych typów SAQ – w zależności od tego, jak firma przetwarza dane karty płatniczej. SAQ pomaga firmie zrozumieć, gdzie mogą występować luki w zgodności i co trzeba zrobić, aby je naprawić.

2. Omówienie różnych rodzajów SAQ i ich zastosowania

Różne typy SAQ są przeznaczone dla różnych typów organizacji, w zależności od tego, jak przetwarzają one dane karty płatniczej. Na przykład, SAQ A jest przeznaczony dla firm, które dokonują outsourcingu wszystkich operacji przetwarzania kart płatniczych, podczas gdy SAQ D jest dla firm, które przetwarzają, przechowują lub przesyłają dane karty płatniczej.

3. Skanowanie sieci

Skanowanie sieci to proces, w którym sieć firmy jest skanowana w poszukiwaniu elementów, które mogłyby być potencjalnie wykorzystane do naruszenia danych karty płatniczej. Jest to wymóg dla wszystkich firm, które przetwarzają, przechowują lub przesyłają dane karty płatniczej przez sieć.

4. Audyt na miejscu

Audyt na miejscu to proces, w którym Kwalifikowany Ekspert Bezpieczeństwa (QSA) odwiedza firmę, aby ocenić jej zgodność z PCI‑DSS. Podczas audytu na miejscu QSA dokładnie przegląda wszystkie systemy i procesy firmy, aby upewnić się, że są zgodne z wymaganiami PCI‑DSS.

Te cztery kroki stanowią kluczowe etapy procesu certyfikacji PCI‑DSS. Przy prawidłowym wykonaniu tych etapów firma jest w stanie skutecznie ocenić i poprawić swoje bezpieczeństwo danych karty płatniczej, a tym samym spełnić wymagania certyfikacji PCI‑DSS.

Utrzymanie zgodności z PCI‑DSS po certyfikacji

Utrzymanie zgodności z PCI‑DSS po certyfikacji wymaga ciągłego monitoringu i regularnych przeglądów oraz audytów, ponieważ jest to proces, który wymaga stałego zaangażowania ze strony organizacji. W praktyce oznacza to:

1. Monitorowanie systemów i sieci

Organizacje powinny stale monitorować swoje systemy i sieci, aby móc wykrywać wszelkie nieautoryzowane działania. Czynności te mogą obejmować monitorowanie logów systemowych, kontrolę dostępu do danych karty płatniczej i śledzenie wszelkich zmian w konfiguracji systemu.

2. Regularne przeglądy bezpieczeństwa

Oprócz ciągłego monitoringu, organizacje powinny również przeprowadzać regularne przeglądy bezpieczeństwa. To może obejmować przegląd procedur bezpieczeństwa, testowanie systemów i sieci na obecność podatności, a także przegląd zgodności z PCI‑DSS.

3. Audyty zewnętrzne

PCI‑DSS wymaga również przeprowadzania regularnych audytów zewnętrznych. W zależności od wielkości i rodzaju organizacji, audyty te mogą być wymagane raz do roku lub co kwartał. Audyty są przeprowadzane przez Kwalifikowanego Eksperta Bezpieczeństwa (QSA), który ocenia zgodność organizacji z PCI‑DSS.

4. Utrzymanie i aktualizacja środków bezpieczeństwa

Bezpieczeństwo technologiczne jest dynamiczne, dlatego organizacje muszą regularnie aktualizować swoje środki bezpieczeństwa, aby sprostać nowym zagrożeniom. Oznacza to, że środki bezpieczeństwa, które były skuteczne w momencie certyfikacji, mogą wymagać aktualizacji lub ulepszenia, aby nadal pozostawać niezawodne.

5. Reagowanie na naruszenia

Jeśli dojdzie do naruszenia danych karty płatniczej, organizacja musi być przygotowana na szybkie i skuteczne reagowanie. Działania te obejmują identyfikację i zawężenie źródła naruszenia, informowanie odpowiednich stron (takich jak klienci i banki) oraz podjęcie kroków w celu zapobiegania przyszłym naruszeniom. Reagowanie na potencjalne naruszenia wymaga szybkiego identyfikowania i naprawiania luk w zabezpieczeniach. To może wymagać wprowadzenia zmian w praktykach bezpieczeństwa, systemach i procesach.

Przydatne linki:

Lista zatwierdzonych przez PCI Security Standards Council (PCI SSC) produktów, rozwiązań i dostawców, która zapewnia bezpieczeństwo danych kart płatniczych.

Urządzenia do transakcji PIN (PTS) Strona zawiera listę zatwierdzonych przez PCI SSC urządzeń do transakcji PIN (PTS). Urządzenia te zostały przetestowane i spełniają wymagania PCI dotyczące bezpiecznego przetwarzania danych PIN.

Aplikacje płatnicze Tutaj znajdziesz listę zatwierdzonych przez PCI SSC aplikacji płatniczych, które spełniają określone standardy bezpieczeństwa danych kart płatniczych.

Rozwiązania P2PE (Point‑to‑Point Encryption) To źródło zawiera listę zatwierdzonych przez PCI SSC rozwiązań P2PE, które zapewniają bezpieczne szyfrowanie danych od punktu wprowadzenia do punktu odbioru.

Zatwierdzeni QSA (Qualified Security Assessors) Lista zatwierdzonych przez PCI SSC kwalifikowanych oceniających bezpieczeństwo (QSA), którzy są uprawnieni do przeprowadzania ocen zgodności z PCI DSS.

Zatwierdzeni ASV (Approved Scanning Vendors) Tutaj znajduje się lista zatwierdzonych dostawców skanowania (ASV), którzy dostarczają usługi skanowania zewnętrznego wymagane przez PCI DSS.

Kwalifikowani integratorzy i sprzedawcy (Qualified Integrators and Resellers) Strona prezentuje listę zatwierdzonych przez PCI SSC kwalifikowanych integratorów i sprzedawców, którzy mają doświadczenie i wiedzę w zakresie implementacji i obsługi bezpiecznych rozwiązań płatniczych.

Podsumowanie

Certyfikacja PCI‑DSS to kluczowy element zarządzania bezpieczeństwem danych kart płatniczych. Proces certyfikacji wymaga dokładnej oceny i przygotowania, ale korzyści dla firmy są znaczne. Dzięki zrozumieniu i przestrzeganiu standardów PCI‑DSS, firmy mogą zwiększyć zaufanie klientów, zredukować ryzyko naruszeń bezpieczeństwa i zapewnić zgodność z przepisami prawnymi.