Jak bezpiecznie i odpowiedzialnie obsługiwać dane właścicieli kart płatniczych? Informator PCI DSS

Transkrypt

1 Jak bezpiecznie i odpowiedzialnie obsługiwać dane właścicieli kart płatniczych? Informator PCI DSS

2 Spis treści Wstęp Zdobyć zaufanie Definicja Czym jest PCI DSS? Cztery kategorie Akceptanta Jak należy dostosować się do standardu PCI DSS? Rodzaje SAQ Różne rodzaje SAQ Pozostałe informacje

3 Wstęp Zdobyć zaufanie Zdecydowaliście się Państwo zaoferować swoim klientom możliwość dokonywania płatności kartami kredytowymi i debetowymi, co pomoże Państwu zwiększyć sprzedaż. Klienci są skłonni do wydawania większych sum na zakupy, gdy mogą to zrobić w prosty i bezpieczny sposób. Warto zaznaczyć, że bierzecie Państwo na siebie większą odpowiedzialność, ponieważ klienci ufają, że dane ich kart płatniczych są w Państwa rękach bezpieczne. Akceptując płatności posiadaczy kart jesteście Państwo odpowiedzialni za bezpieczeństwo danych kart płatniczych. Dla ułatwienia Państwa pracy, pięć największych organizacji płatniczych opracowało standard bezpieczeństwa, zwany Payment Card Industry Data Security Standard (PCI DSS). W związku z tym, firma może przyjmować płatności kartą jedynie wtedy, gdy spełnia wymagania stawiane przez PCI DSS. Wymagania te powinni spełniać także dostawcy usług (jak na przykład Payment Service Providers (PSPs) oraz dostawcy terminali płatniczych). Dla zachowania bezpieczeństwa podczas akceptacji transakcji płatniczych konieczna jest współpraca wszystkich uczestników obrotu płatniczego. PCI DSS nakłada na Państwa pewne obowiązki. Korzyścią jest to, że klienci ufają Państwa firmie i kupują w niej bez wahania. Dodatkowo jest to zabezpieczenie dla klientów przed opłatami i karami pieniężnymi, które mogłyby wyniknąć w przypadku kradzieży lub niewłaściwego wykorzystania informacji o kartach. W broszurze informacyjnej PaySquare znajdują się ważne informacje o PCI DSS. Dowiecie się Państwo, jak zwiększyć zaufanie klientów do Państwa firmy oraz co należy zrobić, aby spełnić wymagania standardu PCI. Dodatkowo otrzymacie Państwo informacje określające zakres odpowiedzialności w ramach PCI DSS. 3

4 Definicja Czym jest PCI DSS? W celu wprowadzenia przejrzystych ram ochrony danych kart płatniczych, główne organizacje kart opracowały standard bezpieczeństwa dla wszystkich firm biorących udział w transakcjach przy użyciu kart płatniczych. Wytyczne standardu zostały zawarte w tzw. Payment Card Industry Data Security Standard (PCI DSS). Obowiązują one wszystkich, którzy przechowują, przetwarzają lub przesyłają dane kart płatniczych. Wytyczne te dotyczą każdego akceptanta, który na podstawie umowy z dostawcą usług akceptuje karty kredytowe. PCI DSS składa się z dwunastu wymogów: Instalacja i utrzymanie bezpiecznej sieci i systemów Ochrona danych właścicieli kart Implementacja programu zarządzania siecią Implementacja aktywnych programów kontrolnych Ciągła kontrola i testowanie sieci Utrzymanie polityki bezpieczeństwa informacji Instalacja i utrzymanie zapory sieciowej w celu ochrony danych właścicieli kart kredytowych. Natychmiastowa zmiana standardowych haseł i ustawień zabezpieczających przekazywanych przez dostawców usług. Ochrona zapisanych danych właścicieli kart. Kodowane przesyłanie danych właścicieli kart kredytowych w sieciach publicznych. Zastosowanie i regularna aktualizacja oprogramowania antywirusowego. Opracowywanie i zastosowanie bezpiecznych systemów i aplikacji. Ograniczenie dostępu do danych kart kredytowych na zasadzie: Informować tylko wtedy, gdy to konieczne. Przydzielenie indywidualnego numeru ID użytkownika każdej osobie z dostępem do systemu komputerowego. Ograniczenie fizycznego dostępu do danych kart. Raportowanie i nadzorowanie wszystkich dostępów do zasobów sieci i danych właścicieli kart. Regularne testowanie i monitorowanie systemów i procesów bezpieczeństwa. Tworzenie wytycznych dla przedsiębiorstwa wraz z ustawieniami domyślnymi do zabezpieczania poufnych danych. Odpowiedzialność Nie chroniąc informacji o kartach płatniczych we właściwy sposób wspiera się oszustów w kradzieżach, nadużyciach czy wyrządzaniu szkód. Dodatkowo ponosicie Państwo odpowiedzialność za wszystkie bezpośrednie straty wynikające z wykorzystania sfałszowanych kart i/lub skradzionych informacji o kartach, wszelkie koszty prawne, koszty wydania nowych kart płatniczych oraz koszty związane ze śledztwem. Ponadto bank wydający kartę może nałożyć na Państwa karę pieniężną i wykluczyć z akceptacji kart płatniczych. Ze względu na odpowiedzialność cywilną wskazane jest postępowanie zgodne z wytycznymi PCI DSS. 4

5 Cztery kategorie akceptanta Jak należy dostosować się do standardu PCI DSS? Podczas dostosowywania standardu PCI DSS do przepisów związanych z przechowywaniem danych, uwzględniono również różnice między firmami. Opracowano tym samym cztery kategorie firm. Kategoria, do której można przyporządkować Państwa firmę zależy od liczby oraz metody akceptacji płatności kartami: POS (= Point of Sales) płatność dokonana w miejscu sprzedaży; najczęściej poprzez terminal płatniczy. MOTO (=Mail Order/Telephone Order) zamówienia za pomocą listu/faksu/telefonu; klient nie jest obecny podczas płatności, dane karty podaje przez telefon/faks. E-Commerce zamówienie dokonywane jest przez Internet (online-shop); klient wprowadza dane karty najczęściej za pomocą formularza online. Kategoria Charakterystyka Konieczne środki PCI-DSS Poziom 1 Wszystkie kanały sprzedaży (POS, E-Commerce, MOTO) Wszystkie firmy, które akceptują karty płatnicze - i Coroczny audyt zgodności poprzez Qualified zarejestrowały ponad 6 milionów transakcji Visa Security Assessor (QSA dopuszczony przez PCI SSC). W przypadku Visa audyt może zostać lub przeprowadzony przez uprawnionego pracownika firmy ( Internal Security Assessor, ISA). wszystkie firmy, które akceptują karty płatnicze, a które zostały dotknięte przez szkody lub naruszenia ochrony danych (Account Data Compromise, ADC) Kwartalne skany networkingowe ze strony Approved Scanning Vendor (ASV), jeśli systemy akceptanta dostępne są przez Internet Poziom 2 Wszystkie kanały sprzedaży (POS, E-Commerce, MOTO) Wszystkie firmy, które akceptują karty płatnicze i zarejestrowały łącznie od 1 miliona do 6 milionów transakcji Visa/MasterCard i Maestro przez wszystkie kanały sprzedaży Visa: Coroczne wypełnienie formularza samooceny (Self Assessment Questionnaire, SAQ) Mastercard: Coroczne wypełnienie formularza SAQ poprzez wyspecjalizowanego pracownika (ISA) lub roczny audyt poprzez Qualified Security Assessor (QSA) Kwartalne skany sieci Approved Scanning Vendor (ASV), jeśli systemy Akceptanta dostępne są przez Internet Poziom 3 Tylko e-commerce Wszystkie firmy, które akceptują karty płatnicze w kanale e-commerce i zarejestrowały ponad do 1 miliona transakcji rocznie/marka (Visa/MasterCard) Coroczne wypełnianie formularza samooceny (Annual Self Assessment Questionnaire, SAQ) Kwartalne skany sieci Approved Scanning Vendor (ASV), jeśli systemy akceptanta dostępne są przez Internet Poziom 4 Wszystkie inne firmy akceptujące karty płatnicze do transakcji e-commerce rocznie/marka lub do 1 miliona transakcji MOTO/POS-transakcji rocznie/marka Coroczne wypełnienie formularza samooceny (Self Assessment Questionnaire, SAQ) Kwartalne skany sieci Approved Scanning Vendor (ASV), jeśli systemy akceptanta dostępne są przez Internet 5

6 Poziom 1 odzwierciedla bardzo wysokie ryzyko nadużycia kart płatniczych, poziom 4 najniższe ryzyko nadużycia kart płatniczych. Wymagania PCI, jakie należy spełnić określane są w zależności od poziomu: Poprzez formularz samooceny (Self Assessment Questionnaire, SAQ) lub Poprzez audyt certyfikowanego audytora (Qualified Security Assessor, QSA) lub wewnętrzny audyt (Internal Security Auditor, ISA). Ilekroć jeden lub więcej systemów przechowujących, przetwarzających lub przesyłających dane kart kredytowych jest/są połączone z Internetem (lub możliwy jest dostęp zdalny), konieczne jest przeprowadzenie udokumentowanych kwartalnych skanów sieci. Skany sieci, tzw. Approved Scanning Vendor (ASV) przeprowadzane są przez certyfikowanego dostawcę PCI DSS w celu wykrycia ewentualnych, słabych punktów w systemach. 6

7 Rodzaje SAQ Różne rodzaje formularzy SAQ Formularz SAQ (Self Assessment Questionnaires) to formularz samooceny, za pomocą którego akceptanci potwierdzają spełnienie wymagań PCI DSS. Formularze SAQs różnią się od siebie zawartością danych. Najprostszy formularz (SAQ A ) składa się z 14 wymagań PCI DSS; najbardziej rozbudowany formularz (SAQ D ) składa się z 300 wymagań PCI DSS. Różne rodzaje SAQ koncentrują się na określonych (technicznych) implementacjach przebiegu transakcji płatniczej. Akceptant jest zakwalifikowany do wypelnienia określonego formularza na podstawie jego otoczenia płatniczego, odpowiadającego danemu SAQ. Wymagania Formularz E-Commerce Płatności są przetwarzane przez tzw. bramki płatnicze Payment Page PCI DSS dostarczane przez certyfikowanego dostawcę bramki. Dane kart nie są zapisywane w sposób elektroniczny. SAQ A 14 Wymagań Bramki płatnicze PCI DSS dostarczane przez certyfikowanego dostawcę zawierają elementy połączone z systemem akceptanta lub stroną płatniczą akceptanta oferuje formularze płatnicze online, które przekazują dane do systemów certyfikowanego dostawcy bramki płatniczej. Dane kart nie są zapisywane w sposób elektroniczny. SAQ A-EP 143 Wymagań POS / Terminal Do płatności kartą używane są imprintery lub terminale płatnicze (z połączeniem ISDN, analogowym, GSM, UMTS). Dane kart nie są zapisywane w sposób elektroniczny. SAQ B 41 Wymagań Używanie certyfikowanego terminala płatniczego PCI z połączeniem IP do agenta rozliczeniowego oraz z połączeniem do Internetu. Dane kart nie są zapisywane w sposób elektroniczny. SAQ B-IP 87 Wymagań Do płatności kartą używane jest wyłącznie certyfikowane rozwiązanie P2PE. SAQ P2PE-HW 35 Wymagań Payment Application System Akceptant używa systemów płatniczych, które połączone są z Internetem w sposób niezależny. Dane kart nie są zapisywane w sposób elektroniczny. SAQ C 144 Wymagań Terminal wirtualny Płatność kartą odbywa się wyłącznie za pomocą terminala wirtualnego połączonego z Internetem. Dane kart nie są zapisywane w sposób elektroniczny. SAQ C-VT 78 Wymagań Pozostałe Wszyscy pozostali akceptanci, którzy zapisują dane kart płatniczych w sposób elektroniczny. SAQ D 332 Wymagań 7

8 Obok wymagań organizacyjnych (jak np. odpowiedź na pytanie Czy pracownicy są regularnie informowani o środkach bezpieczeństwa ) głównym aspektem dot. wymagań PCI jest informacja, w jaki sposób przetwarzane są dane kart płatniczych oraz w jaki sposób przekazywane są dane do/i poza środowisko przedsiębiorstwa (aspekty techniczne). Jeden z najprostszych formularzy SAQ, formularz SAQ A (14 wymagań) przeznaczony jest dla kanału e-commerce. Aby akceptant mógł dokonać certyfikacji za pomocą tego formularza, elektroniczne opracowywanie danych kart płatniczych musi być wykonywane w całości przez zewnętrznego, certyfikowanego dostawcę usług płatniczych. W kanale e-commerce dotyczy to najcześciej przypadków, w których akceptant korzysta z tzw. bramek płatniczych, w których posiadacz karty przekazuje dane dotyczące zakupu i karty płatniczej. W przypadku, gdy dane kart zostają zapisywane lub akceptant ma elektroniczny dostęp do pełnego numeru karty płatniczej, wymóg PCI DSS może być spełniony tylko i wyłącznie za pomocą rozbudowanych formularzy SAQ D. Możliwości zredukowania zakresu kontroli (Scope). Zakres kontroli sieci może być zredukowany przez tzw. segmentację sieci. Bez zastosowania segmentacji sieci, cała sieć danego przedsiębiorstwa podlega kontroli PCI DSS (tzw. Scope). Segmentacja sieci jest przeprowadzana przy użyciu wielu fizycznych i logicznych zabezpieczeń, jak np. skonfigurowane zapory sieci, router z możliwością dogłębnej wewnętrznej kontroli lub inne technologie, które pozwalają zabezpieczyć i ograniczyć dostępy do poszczególnych segmentów infrastruktury sieciowej danego przedsiębiorstwa. Scope można jeszcze bardziej zredukować poprzez pełne odseparowanie środowiska danych posiadacza karty od pozostałych komponentów infrastruktury sieciowej przedsiębiorstwa. Wszystkie proste formularze SAQ wymagają segmentacji CDE (Common Desktop Environment) od pozostałych elementów sieci Akceptanta. W przypadku braku segmentacji sieci, zgodność z PCI DSS musi być udokumentowana za pomocą formluarza SAQ D. Uproszczony formularz samooceny dla Hoteli. Hotele, w których akceptuje się karty VISA oraz karty na miejscu (za pomocą terminala płatniczego), mogą wypełnić tzw. uproszczony formularz samooceny dla hoteli. Uproszczony formularz samooceny wymaga oświadczenia dotyczącego bezpiecznego postępowania z danymi kart płatniczych, który może być wypełniony i przekazany online bezpośrednio przez platformę PaySquare PCI DSS. 8

9 Pozostałe informacje Pozostałe informacje znajdują się na lub na poniższych stronach internetowych: Chcesz dowiedzieć się więcej? Skontaktuj się z nami! Chętnie odpowiemy na każde pytanie. Tel: info@pl.paysquare.eu Treść tej broszury ma charakter informacyjny. Za ewentualne błędy lub braki nie ponosimy odpowiedzialności. Zawarte w broszurze informacje pochodzą z ogólnodostępnych źródeł. Za pomocą naszych ulotek i broszur dotyczących obsługi płatności kartami chcemy niezależnie i obiektywnie informować o obsłudze transakcji płatniczych. W broszurach i ulotkach przedstawiamy rozwiązania wielu problemów wynikających ze specyficznych wymagań rynku. Wszystkie nasze broszury informacyjne i inne materiały dostępne są na stronie internetowej: w zakładce Obsługa klienta. 9

10 PL PaySquare SE Oddział w Polsce Ul. Puławska Warszawa Telefon: Fax: info@pl.paysquare.eu