Chcesz mieć pewność, że Twoja firma postępuje zgodnie ze standardem PCI DSS i zmniejszyć ryzyko oszustwa?

Transkrypt

1 Chcesz mieć pewność, że Twoja firma postępuje zgodnie ze standardem PCI DSS i zmniejszyć ryzyko oszustwa? TAK NCR Security zmniejsza obciążenia związane z przestrzeganiem norm PCI i chroni integralność Twojej sieci Dokument NCR Experience a new world of interaction 2010 NCR Corporation

2 Wstęp 1 W związku ze wzrastającą na świecie liczbą oszustw i kradzieży tożsamości, Payment Card Industry (PCI) wprowadziła nową, obowiązującą na całym świecie normę - Data Security Standard (DSS), która ma chronić wrażliwe dane posiadaczy kart przed ryzykiem narażenia na takie przestępstwa. Norma PCI DSS wymaga od wszelkich instytucji finansowych, sklepów detalicznych i usługodawców, którzy przetwarzają, przechowują bądź przesyłają dane kart debetowych lub kredytowych, zdolności do wykazania akredytowanemu audytorowi PCI (Qualified Security Assessor QSA) przestrzegania normy DSS. Jej nieprzestrzeganie oznacza ryzyko utraty praw do przetwarzania płatności. Producentów terminali płatniczych i dostawców oprogramowania przetwarzania płatności obowiązują dwie inne ważne normy PCI: standard bezpieczeństwa transakcji przeprowadzanych z użyciem numeru PIN (Payment Card Industry PIN Transaction Security - PTS) oraz standard bezpiecznych procedur przetwarzania danych w aplikacjach płatniczych (Payment Card Industry Payment Application Data Security Standard - PA-DSS). Wprawdzie producenci urządzeń i dostawcy aplikacji nie muszą spełniać wymogów PTS dotyczących bezpieczeństwa ani PA-DSS, lecz stosowanie się do standardu PCI DSS staje się znacznie skuteczniejsze, jeśli organizacja postanowi współpracować z takimi partnerami, jak NCR, która ma rozwiązania zatwierdzone przez PCI. Ogólnie mówiąc wymogi PCI zawarte w normie DSS obejmują zarządzanie bezpieczeństwem, zasady i procedury, architekturę sieciową i projektowanie oprogramowania. Spełnienie ustanowionego przez PCI standardu DSS znacznie poprawia sytuację organizacji w zakresie ogólnego bezpieczeństwa informacji i to nie tylko danych dotyczących kart płatniczych. Nie jest to zatem proces, którego celem miałby być li tylko pozytywny wynik audytu. A koszt inwestycji poczynionej na rzecz spełnienia wymogów standardu i przynoszącej wymierne korzyści w zakresie zwiększonego bezpieczeństwa jest minimalny w porównaniu z kosztami niespełniania normy szczególnie gdy dojdzie do oszustwa naruszającego renomę marki firmy. Oszustwo to nie jednostkowe wydarzenie. To rak szerzący się drogą najmniejszego oporu. Firma NCR uznaje, że najlepszą drogą jego zwalczania jest kompleksowe i całościowe stosowanie najlepszych praktyk w dziedzinie bezpieczeństwa w sieci i przestrzeganie obowiązujących norm. A to oznacza norm PCI. Oznacza też stosowanie w urządzeniach samoobsługowych NCR zatwierdzonych przez PCI PTS klawiatur EPP (Encrypting PIN Pad) szyfrujących kod PIN oraz oferowanie scentralizowanego podejścia do zagadnień bezpieczeństwa i kontroli w pakiecie Solidcore Suite for APTRA. O zaangażowaniu firmy w NCR w bezpieczeństwo urządzeń samoobsługowych najlepiej świadczy fakt otrzymania przez NCR, jako pierwszej firmy w branży, certyfikatu zgodności z normą PA-DSS dla swego oprogramowania APTRA. Firma NCR nie tylko pomaga swoim klientom zmniejszać ryzyko występowania oszustw i niezgodności ze standardami, ale również ułatwia przeprowadzanie audytów i ogranicza obciążenia związane z z koniecznością spełnienia normy PCI DSS. Środowisko urządzeń, aplikacji, infrastruktury i użytowników płatności Producenci PCI PTS Urządzenia do wprowadzania kodu PIN Dostawcy oprogramowania PCI PA-DSS Dostawcy obsługi płatności Sklepy, firmy handlowe i detaliczne PCI DSS Standard bezpieczeństwa danych Zgodność z zabezpieczeniami i standardami PCI

3 Co to jest norma PCI DSS? 2 PCI DSS jest zestawem wszechstronnych wymogów dotyczących zwiększania bezpieczeństwa danych rachunków płatności, umożliwiających szerokie przyjęcie w skali światowej spójnych środków w zakresie bezpieczeństwa danych. Istnieje sześć głównych kategorii obejmujących dwanaście wymogów. Budowa i utrzymanie bezpiecznej sieci Zainstalowanie i utrzymanie zapory firewall chroniącej dane posiadaczy kart; Nie używanie przekazanych przez dostawców domyślnych haseł do systemów i innych domyślnych parametrów bezpieczeństwa. Ochrona danych posiadaczy kart ochrona przechowywanych danych posiadaczy kart; szyfrowanie transmisji danych posiadaczy kart przez otwarte sieci publiczne. Utrzymywanie programu bezpieczeństwa systemowego Wdrożenie solidnych środków kontroli dostępu ograniczenie dostępu do danych posiadaczy kart tylko do upoważnionych osób; przydzielenie unikalnego identyfikatora każdej osobie mającej dostęp do komputera; ograniczenie fizycznego dostępu do danych posiadaczy kart. Regularne monitorowanie i sprawdzanie sieci śledzenie i monitorowanie wszystkich przypadków uzyskiwania dostępu do zasobów sieciowych i danych posiadaczy kart; regularne sprawdzanie systemów i procesów zabezpieczeń. Prowadzenie polityki bezpieczeństwa informacji prowadzenie polityki bezpieczeństwa informacji. stosowanie i regularne uaktualnianie oprogramowania antywirusowego; stosowanie i utrzymywanie bezpiecznych aplikacji systemowych.

4 Co to jest norma Payment Card Industry PTS (PIN Transaction Security)? 3 Spełnienie wymagań normy PTS (wcześniej znanyejjako PCI PED) jest niezbędnym elementem spełnienia wymagań normy PCI DSS w zakresie bezpieczeństwa środowiska bankomatów lub innych nienadzorowanych urządzeń samoobsługowych. Standard ten dotyczy głównie charakterystyk sprzętu odpowiedzialnego za bezpieczeństwo kodów PIN, czyli klawiatur EPP (Encrypting PIN Pad), wprowadzanych przez posiadaczy kart realizujących transakcje finansowe. Wszystkie bankomaty i urządzenia samoobsługowe muszą być wyposażone w klawiatury EPP spełniające wymogi PCI. Aczkolwiek wymogi te dotyczą również zarządzania sprzętem do chwili pierwszego załadowania klucza szyfrującego master key, to proces ich oceny zajmuje się wyłącznie charakterystyką urządzenia. Aby zapoznać się z listą certyfikowanych przez PCI podzespołów firmy NCR należy: przejść do witryny PCI: wybrać Security Standards (standardy bezpieczeństwa), a następnie PTS; wybrać Get the PIN Transaction Security (PTS) ; kliknąć List of PCI SSC Approved PIN Transaction Security Devices ; wpisać NCR i kliknąć Search (przeszukiwanie).

5 Co to jest Payment Application Data Security Standard (PA-DSS)? 4 Ponieważ bankomaty i inne nienadzorowane urządzenia samoobsługowe przetwarzają i rozsyłają dane kart, zainstalowane w nich oprogramowanie jest uważane za należące do kategorii aplikacji płatnościowych. Najważniejszym wymogiem wobec takich aplikacji jest zakaz przechowywania danych. Pełny wykaz wymogów: nie przechowywać pełnych danych paska magnetycznego, kodów lub pól walidacji kart (CAV2, CID, CVC2, CVV2) oraz danych bloku PIN; chronić przechowywane dane posiadaczy kart; zapewnić funkcje bezpiecznego uwierzytelniania; utrzymywać dzienniki aktywności aplikacji płatniczych; opracować bezpieczne aplikacje płatności; chronić transmisje bezprzewodowe; testować aplikacje płatności pod kątem wyszukiwania i usuwania luk; umożliwiać wdrażanie bezpiecznych sieci; kategorycznie nie przechowywać danych posiadaczy kart na serwerze podłączonym do Internetu; umożliwiać bezpieczne, zdalne uaktualnianie oprogramowania; Oprogramowanie firmy NCR APTRA Advance NDC (AANDC) było pierwszą w branży aplikacją, przeznaczoną do bankomatów, która udanie przeszła kontrolę autoryzowanego audytora PCI (Qualified Security Assessor) i uzyskała certyfikat. W lipcu 2009 AANDC w wersji otrzymała potwierdzenie zgodności ze standardami PA-DSS. Natomiast w grudniu 2009 roku potwierdzenie zgodności ze normą PA-DSS otrzymało oprogramowanie NCR APTRA Activate (wersja ). Aby zapoznać się z listą certyfikowanych przez PCI aplikacji firmy NCR należy: przejść do witryny PCI: wybrać Security Standards, a następnie PA-DSS; wybrać Get the list of Validated Payment Applications ; na rozwijanej liście Filter Payment Applications by wybrać NCR Financial Solutions Group. Obecnie, po zatwierdzeniu przez audytorów PCI na zgodność ze standardami PA-DSS stosowanych na całym świecie aplikacji z rodziny NCR APTRA, aktywnie pracujemy z klientami, którzy owe aplikacje dostosowali do swoich potrzeb, aby zapewnić im bezproblemowe uzyskanie certyfikatu zgodności z wymaganiami PCI DSS. zabezpieczać zdalny dostęp do aplikacji płatności; szyfrować wrażliwe dane przesyłane przez sieci ogólnie dostępne; szyfrować wszelki dostęp administracyjny uzyskiwany spoza konsoli serwera; posiadać sporządzone na piśmie instrukcje i prowadzić programy szkoleń dla klientów, sprzedawców oraz integratorów.

6 Wdrażanie aplikacji NCR zgodnie ze standardem PA-DSS podręcznik użytkownika Bezpieczeństwo oprogramowania NCR APTRA 5 Podręcznik wdrażania aplikacji NCR zgodnie ze normą PA- DSS przekazuje pełne informacje o wdrażaniu i instalowaniu aplikacji w sposób zgodny z wymogami PCI DSS. Niektóre z zagadnień omawianych w Podręczniku to: ochrona i postępowanie z danymi wrażliwymi klientów (np. dane posiadaczy kart, bloki PIN); bezpieczne uwierzytelnianie; logowanie; bezpieczne praktyki wdrożeniowe; wykorzystywanie sieci bezprzewodowych; bezpieczne uaktualnianie aplikacji płatności; ochrona komunikacji w sieciach publicznych. Dowodem na to, że sprawy bezpieczeństwa aplikacji firma NCR traktuje z najwyższym priorytetem jest fakt, iż aplikacja płatności NCR jako pierwsza otrzymała certyfikat zgodności ze standardami PA-DSS. Jeszcze przed powstaniem standardów takich, jak PA-DSS, firma NCR zawsze usuwała dane wrażliwe ze swoich aplikacji płatności. Kluczowym zagadnieniem dla NCR w dniu dzisiejszym - w kwestii zaspokojenia zapotrzebowania na zwiększone bezpieczeństwo - jest wdrożenie powtarzalnego procesu, zapewniającego wymierną poprawę bezpieczeństwa. Celem wdrożenia takich procesów jest zminimalizowanie liczby błędów w konstrukcji, kodzie i dokumentacji aplikacji oraz wykrywanie i jak najwcześniejsze usuwanie takich błędów w cyklu rozwojowym oprogramowania. Zgodnie z modelem CMMI Level 3 procesu rozwoju oprogramowania, firma NCR nieustannie zmienia swój proces rozwoju, mając na celu uzyskanie optymalnej kontroli nad planowaniem, oceną ryzyka, projektowaniem oprogramowania, kodowaniem, analizą statyczną, przeglądem kodów i testowaniem.

7 W jaki sposób NCR może pomóc klientom spełniać standardy PCI DSS? 6 Budowa i utrzymanie bezpiecznej sieci Ochrona danych posiadaczy kart 1. Zainstalowanie i utrzymanie zapory firewall 3. Ochrona danych posiadaczy kart chroniącej dane posiadaczy kart NCR zaleca korzystanie z zapory firewall Windows XP (SP2 lub w nowszej wersji); aplikacje APTRA parametryzują zaporę firewall w trybie standalone; ponadto do ustawienia i utrzymania centralnie zapory firewall XP można użyć usługi Active Directory; oprogramowanie NCR APTRA umożliwia klientom Active Directory centralne zarządzanie ich zasadami bezpieczeństwa; pakiet NCR Solidcore Suite for APTRA zapobiega nieupoważnionym zmianom rozwiązań/ustawień zapory firewall. 2. Nie używanie przekazanych przez dostawców domyślnych haseł do systemów i innych domyślnych parametrów bezpieczeństwa Podręcznik użytkownika zawiera informacje spełnienia wymagania przez aplikację płatniczą NCR; Aplikacje z rodziny APTRA zawierają informacje o zamknięciu (kontroli dostępu) systemu operacyjnego i aplikacji urządzenia samoobsługowego oraz wskazówki w zakresie kontroli haseł dostępu. Usługa Active Directory wraz z pakietami NCR APTRA wyposażonymi w obsługę Active Directory są rozwiązaniami rekomendowanymi dla centralnej kontroli stosowania polityki bezpieczeństwa. Podobnie dla kontroli przeprowadzania nieupoważnionych zmian rekomendowane jest rozwiązanie Solidcore Suite for APTRA. Firma NCR dostarcza klawiatury / szyfratory zgodne ze standardami PCI PTS. Wymaganie dotyczące maskowania numeru konta klienta PAN (Primary Account Number) na ekranie oraz potwierdzeniu (dzienniku, etc.) musi zostać przedyskutowane między firmą NCR i instytucją posiadającą urządzenia samoobsługowe. NCR zaleca maskowanie pierwszych sześciu i ostatnich czterech cyfr numeru konta głównego. W niektórych bowiem środowiskach, w których działają aplikacje NCR, wyświetlane, czy drukowane, dane pochodzą z hosta. W takich sytuacjach odpowiedzialność za nie ponosi instytucja posiadająca. Aplikacje NCR zgodne ze standardami PA-DSS jedynie śledzą dane, zgodnie z wytycznymi zdefiniowanymi przez PCI: całość monitorowanych danych (ścieżka 1 i/lub ścieżka 2) nie jest przechowywana; kod weryfikacji karty (CAV,CVC, CVV lub CSC) nie jest przechowywany; w przypadku przechowywania numeru PAN jest on maskowany - jak powyżej - lub szyfrowany; szyfrowany blok PIN nie jest przechowywany. Jeśli w bankomacie mają być przechowywane dane wrażliwe (uwaga: nie dotyczy to chwilowego przechowywania podczas oczekiwania na uwierzytelnienie transakcji, ponieważ nie jest to wymóg standardów PCI), takie dane będą musiały być szyfrowane i przetwarzane w sposób uzgodniony z klientem co do tego, kto może przetwarzać dane, w jaki sposób można je przetwarzać oraz co do sposobu ich przechowywania oraz niszczenia. Firma NCR jest zdania, że danych nigdy nie należy przechowywać, o ile nie nakazuje tego konieczność biznesowa. Nieprzechowywanie danych wrażliwych znacznie zwiększa bezpieczeństwo informacji.

8 7 4. szyfrowanie transmisji danych posiadaczy kart przez otwarte sieci publiczne Firma NCR dostarcza klawiatury / szyfratory zgodne ze standardami PCI PTS. Firma NCR dostarcza rozwiązanie bezpiecznej zdalnej dystrybucji kluczy RKM (Remote Key Management). Dane posiadacza karty muszą być szyfrowane podczas transmisji. Acz odpowiedzialność za szyfrowane przesyłanie spoczywa na naszym kliencie to jeszcze przed wprowadzeniem standardów PCI firma NCR oferowała usługi kompleksowej integracji szyfrowanej komunikacji w środowisku TCP/IP. Firma NCR wdrożyła u wielu naszych klientów i zintegrowała z aplikacjami NCR rozwiązania szyfrowanej łączności, opartej na przykład o SSL (Secure Socket Layer), spełniających omawiane wymagania. Utrzymywanie programu bezpieczeństwa systemowego 5. Stosowanie i regularne uaktualnianie oprogramowania antywirusowego; Aczkolwiek standard wymienia explicite produkty antywirusowe, jest oczywiste, że intencją jest ochrona przed jakimkolwiek nieupoważnionym, niejednokrotnie niszczącym kodem (malware) w jakiejkolwiek postaci i formie. By spełnić omawiane wymaganie firma NCR zaleca wykorzystanie pakietu Solidcore Suite for APTRA. Nie tylko chroni on przed znanymi zagrożeniami ale i przed nieznanymi. W tym znaczeniu Solidcore Suite for APTRA jest unikalną propozycją na rynku. Zapewnia on proaktywną ochronę przed wszelakimi zagrożeniami, w tym rosnącym problemem ataków z wewnątrz instytucji. Solidcore Suite for APTRA został certyfikowany przez NSS Labs jako system chroniący przez wszelakimi robakami, trojanami, wirusami i innymi zagrożeniami (spyware, etc.) Solidcore Suite for APTRA umożliwia centralne zarządzanie procesem bezpieczeństwa dostarczając informacji o wszelkich zmianach w systemie urządzeń samoobsługowych w czasie rzeczywistym zarówno zmianach dokonywanych w sposób upoważniony jak i nieupoważnionych próbach dostępu. Ta funkcjonalność drastycznie ogranicza koszty spełnienia wymagań norm bezpieczeństwa w porównaniu ze środowiskiem zarządzanym ręcznie. Dodatkowo firma NCR zaleca by wszelkie standardowe procedury utrzymania bezpieczeństwa sieci były zachowane i by każde oprogramowanie wdrażane w urządzeniach samoobsługowych było przed instalacją sprawdzane przez system antywirusowy. 6. Stosowanie i utrzymywanie bezpiecznych aplikacji systemowych Ponieważ rekomendowane rozwiązanie Solidcore Suite for APTRA zapobiega jakiejkolwiek nieupoważnionej ingerencji, oznacza to, że nie istnieje konieczność uaktualniania aplikacji w czasie rzeczywistym. Proces uaktualniania może zostać przeprowadzony zgodnie ze standardową polityką centrum zarządzania. Uaktualnianie stanowi część niezbędnych czynności zarządzania oprogramowaniem. By mu sprostać firma NCR opracowuje informacje dotyczące wpływu jakichkolwiek uaktualnień udostępnianych przez firmę Microsoft na środowisko samoobsługowe. Wymaganie uaktualniania nakładane jest przez PCI DSS na klienta a zatem firma NCR, poprzez przeprowadzanie analizy znaczenia udostępnianych uaktualnień, stara się wyjść naprzeciw wymaganiom bezpieczeństwa stawianym przez PCI. Firma NCR wbudowała zagadnienia bezpieczeństwa w politykę opracowywania i utrzymywania tworzonych przez siebie aplikacji. Oznacza to, że na każdym etapie opracowania oprogramowania bezpieczeństwo jest krytycznie analizowane i uwzględniane. To podejście firmy NCR zostało docenione poprzez uzyskanie certyfikatu CMMI Level 3. By jeszcze bardziej zabezpieczyć proces opracowywania oprogramowania firma NCR wdrożyła specjalny program szkoleniowy dla developerów. I, jako pierwsza firma w branży, uzyskała w 2009 certyfikat PA-DSS dla swoich aplikacji z rodziny APTRA. Obecnie aktywnie pracujemy z klientami, którzy owe aplikacje dostosowali do swoich potrzeb, aby zapewnić im bezproblemowe uzyskanie certyfikatu zgodności z wymaganiami PCI DSS.

9 8 7. Ograniczenie dostępu do danych posiadaczy kart tylko do upoważnionych osób 9. Ograniczenie fizycznego dostępu do danych posiadaczy kart Rozwiązanie zastosowane przez firmę NCR w swoich aplikacjach, zostało zaakceptowane przez PCI i przyznanie certyfikatów PA-DSS. Każdy dostęp nadzorczy (supervisor) chroniony jest unikalną nazwą użytkownika (user ID) oraz bezpiecznym hasłem. Zabezpiecza to dostęp do danych zapewniając spełnienie warunków stawianych przez normę PCI DSS. W przypadku klienta wymagane jest wszelako opracowanie odpowiednich procedur i procesów dostępu do danych chronionych przez osoby z upoważnieniem administratorskim. Jednakowoż firma NCR uważa, że poprzez wdrożenie kontrolowanego procesu wdrażania uaktualnień (jako części procesu zarządzania oprogramowaniem), nie powinna istnieć potrzeba dostępu personelu z uprawnieniami administratorskimi do systemu urządzenia samoobsługowego. W ramach procesu weryfikacji PA-DSS, przeprowadzonego przez firmę NCR, udokumentowaliśmy procedury zarządzania danymi chronionymi jako część podręcznika użytkownika. Zagadnienie objęte wymaganiem stanowi część generalnych procedur obsługiwania danych poufnych. Zastosowanie certyfikowanych jako PA-DSS rozwiązań z rodziny NCR APTRA oznacza, że dane poufne w żadnym przypadku nie są w zakresie odpowiedzialności owych rozwiązań - przechowywane w formie jawnej, a jeśli istnieje konieczność ich przechowywania dane są szyfrowane. Dodatkowo wspomniane aplikacje monitorując dane i zapisując ślad aktywności w rejestrach (logach) dokonuje tego w sposób zgodny z opracowanym przez PCI wskazaniami. Regularne monitorowanie i sprawdzanie sieci 10. śledzenie i monitorowanie wszystkich przypadków uzyskiwania dostępu do zasobów sieciowych i danych posiadaczy kart 8. Przydzielenie unikalnego identyfikatora każdej osobie mającej dostęp do komputera Uzupełnieniem zastosowania aplikacji, które otrzymały certyfikat PA-DSS może być wykorzystanie usługi Active Directory. Umożliwia ona spełnienie wymagania szyfracji wszelkich haseł podczas przesyłania (transmisji) oraz w trakcie przechowywania tak haseł systemu operacyjnego OS jak i komputera PC. oprogramowanie NCR APTRA umożliwia klientom korzystającym z usługi Active Directory na centralne zarządzanie ich zasadami bezpieczeństwa. Normy dotyczące lokalnego dostępu spełnione są poprzez korzystanie z definicji użytkownika (user id) personelu o uprawnienianiach lokalnych. W przypadku konieczności uzyskania dostępu zdalnego zespół usług profesjonalnych (Professional Services) firmy NCR może pomóc we wdrożeniu specyficznego dla danego klienta dwu stopniowego systemu uwierzytelniania rozwiązania wymaganego przez normę PCI DSS. W celu ochrony dostępu administratorskiego można wykorzystać usługę Active Directory. oprogramowanie NCR APTRA umożliwia klientom korzystającym z usługi Active Directory na centralne zarządzanie ich zasadami bezpieczeństwa. Zasady bezpieczeństwa i architektura zastosowane w rozwiązaniach NCR APTRA (APTRA Security) sprawiają, że w przypadku nadzorcy (supervisor) tworzone jest konto użytkowe o najniższym funkcjonalnym poziomie uprzywilejowania. Oznacza to, że wszelkie samoobsługowe funkcje urządzenia są przypisane do tego konta. W celu ograniczenia zagrożeń systemowych efektywna kontrola informatyczna systemu może być wdrożona poprzez zastosowanie rozwiązania NCR Solidcore Suite for APTRA. Firma opracowała generalny zbiór zaleceń dla inżynierów serwisowych w zakresie obsługi danych chronionych. Podręcznik użytkowy PA-DSS także zawiera odpowiednie zalecenia i rekomendacje. Synchronizacja zegarów systemowych, o której mowa w omawianym zagadnieniu, stanowi część funkcjonalności systemu operacyjnego.

10 9 Firma NCR dostarcza podręcznik wdrażania aplikacji zgodnie z wymaganiami PA-DSS, w którym zawarte są szczegółowe instrukcje sposobu wdrożenia i parametryzacji rejestrów (logs) audytowych urządzenia samoobsługowego. Proces monitorowania i rejestracji wszelkiej aktywności użytkowników systemu jest krytycznym elementem wykrywania, zapobiegania i minimalizacji szkód wynikających z nieupoważnionych prób uzyskania dostępu do zasobów urządzenia. 11. Regularne sprawdzanie systemów i procesów zabezpieczeń Uzyskanie niezbędnego certyfikatu bezpieczeństwa PCI DSS jest znacznie ułatwione przy zastosowaniu rozwiązania Solidcore Suite for APTRA firmy NCR. W każdym przypadku nieuwierzytelnionej próby zmiany kodu, w przypadku nieautoryzowanej próby zmiany zawartości krytycznych plików, generowane są alerty systemowe. A analiza owych prób jest możliwa dzięki szczegółowym rejestrom zdarzeń prowadzonym przez rozwiązanie NCR. Usługi świadczone przez NCR jako jedyne mogą wspomagać klientów w procesie dążenia do uzyskania zgodności ze standardami PCI Firma NCR szczyci się długą historią uzyskiwania certyfikatów zgodności z normami. Przyczynia się do tego to aktywne uczestnictwo w pracach międzynarodowych ciał zajmujących się standardami w tej branży, takich jak PA-DSS, przeznaczonych dla bankomatów oraz dostarczanie produktów i usług zgodnych ze standardami. Najnowszym osiągnięciem przedłużającym tę historię było uzyskanie certyfikatu PTS dla klawiatury NCR z oprogramowaniem zgodnym z EPP oraz certyfikatów PA-DSS dla coraz większej liczby aplikacji firmy NCR. Dział usług NCR Services w sposób kontrolowany i zorganizowany pomaga naszym klientom osiągać zgodność ze standardami PCI. Pomagamy im również w wykazywaniu, że spełniany jest wymóg zachowania zgodności. Wynikająca z uzyskiwania przez NCR certyfikatów PA-DSS wiedza i najlepsze praktyki są wykorzystywane przez konsultantów NCR Services do pomagania klientom podczas niestandardowego rozwijania i wdrażania ich sieci obsługi płatności. Prowadzenie polityki bezpieczeństwa informacji 12. Prowadzenie polityki bezpieczeństwa informacji Choć odpowiedzialność za spełnienie omawianego zagadnienia leży po stronie klienta firma NCR jest przygotowana na ścisłą współpracę przy wdrażaniu procesu bezpieczeństwa zgodnego z PCI DSS, tam gdzie wymagany jest udział pracowników firmy NCR. Dotyczy to na przykład procesu serwisowania urządzeń samoobsługowych. Ponadto ogólno-światowy zespół zajmujący się zagadnieniami bezpieczeństwa firmy NCR może pomóc Państwu pro-aktywnie reagować na spodziewane zagrożenia środowiska samoobsługowego.

11 Często Zadawane Pytania 10 Czym jest Payment Card Industry Security Standards Council (PCI SSC)? PCI SSC została założona przez American Express, Discover Financial Services, MasterCard Worldwide, Visa Inc. i JCB INTERNATIONAL w celu oprocowania i zachowania światowego standardu zabezpieczeń, zwiększającego bezpieczeństwo kont płatności. Czym jest Payment Card Industry Data security Standard (PCI DSS)? Według PCI Standardy zabezpieczeń PCI to techniczne i operacyjne wymogi ustanowione przez Payment Card Industry Security Standards Council do ochrony danych posiadaczy kart. Na całym świecie te standardy są obowiązkowe dla handlowców i organizacji, które przechowują, przetwarzają lub transmitują takie dane. Standardy te zawierają nowe wymogi dotyczące projektantów oprogramowania i producentów aplikacji oraz urządzeń wykorzystywanych w takich transakcjach. Pełny zbiór standardów zabezpieczeń ma na celu zwiększenie bezpieczeństwa danych kont płatności. Standardy te zawierają wymogi dotyczące zarządzania bezpieczeństwem, architektury sieciowej, projektowania oprogramowania, zasad, procedur i innych ważnych środków zabezpieczeń, które pomagają organizacjom z wyprzedzeniem chronić dane kont klientów. Jaki jest ostateczny termin dostosowania się do standardów PCI DSS? Zgodność ze standardami nie jest nakazana przez PCI SSC, lecz przez samą branżę kart płatniczych. Każda organizacja zrzeszająca instytucje działające w dziedzinie obsługi kart jest odpowiedzialna za własny program zgodności, który zawiera wykaz tych, którzy muszą stosować takie standardy, daty realizacji, kary itd. U swojego nabywcy, w normach ISO i/lub w banku handlowym, na podstawie wielkości transakcji handlowych, zgodnie z ustaleniami organizacji obsługujących karty płatnicze, można ustalić, czy daną instytucję obowiązują jakiekolwiek ostateczne terminy. Wszystkie podmioty, które transmitują, przetwarzają lub przechowują dane kart płatności muszą przestrzegać PCI DSS. Jakie są konsekwencje nie stosowania standardów PCI DSS? PCI Security Standards Council zachęca wszystkie firmy, które przechowują dane kont płatności do przestrzegania standardów PCI DSS, ponieważ pomoże to zmniejszyć ryzyko narażenia na oszustwa i zagrożenia renomy firmy. PCI Security Standards Council nie prowadzi programów zgodności ze standardami i nie przewiduje żadnych konsekwencji za niestosowanie się do nich. Poszczególne organizacje zrzeszające instytucje obsługujące karty płatnicze mają własne programy zgodności ze standardami, które przewidują stosowanie konsekwencji finansowych lub operacyjnych wobec pewnych przedsiębiorstw niespełniających standardów. Co to są PA-DSS i PCI PTS? Czy dotyczą tylko urządzeń samoobsługowych (bankomatów, etc.)? Standard PCI DSS dotyczy każdego podmiotu przechowującego, przetwarzającego lub transmitującego dane posiadaczy kart. Payment Application Data Security Standard (PA-DSS) dotyczy każdej aplikacji płatniczej, która w ramach uwierzytelniania lub uzgadniania przechowuje, przetwarza lub transmituje dane posiadaczy kart. Pakiet standardów PCI PTS dotyczy wszystkich urządzeń przetwarzających kody PIN. Obejmuje to klawiatury z funkcją szyfrowania kodów PIN Encrypting PIN Pad (EPP) w bankomatach, terminalach gdzie wymagane jest wpisywanie kodu PIN, np. kasach Point of Sale PIN Entry Device bądź wszelkich nienadzorowanych terminalach płatniczych, np. stosowanych na stacjach paliw. Czy oprogramowanie NCR APTRA jest zgodne ze standardami PCI? Standard PCI DSS dotyczy każdego podmiotu przechowującego, przetwarzającego lub transmitującego dane posiadaczy kart. Oprogramowanie NCR nie musi być zgodne ze standardami PCI DSS - to klient decyduje, czy chce, aby jego instytucja przestrzegała standardów PCI DSS. Wszelako Payment Application Data Security Standard (PA-DSS) dotyczy każdej aplikacji płatniczej, która w ramach uwierzytelniania lub uzgadniania przechowuje, przetwarza lub transmituje dane posiadaczy kart. Stosowane na całym świecie aplikacje NCR APTRA zostały zatwierdzone przez audytorów jako zgodne ze standardami PA-DSS, aktywnie pracujemy z klientami, którzy dostosowali do swoich potrzeb odmiany tych aplikacji, aby zapewnić im bezproblemowe uzyskanie zgodności z PCI DSS.

12 Dlaczego NCR? Mając ponad 125 lat doświadczenia i wiedzy, firma NCR jest czołowym, światowym dostawcą rozwiązań dla płatności wykonywanych w punktach samoobsługowych i z obsługą kasową. Przez ponad 22 kolejnych lat firma NCR jest światowym i polskim liderem wśród producentów urządzeń samoobsługowych. Na całym świecie pomagamy naszym klientom w doskonaleniu współdziałania z ich klientami, w szybkim i wyprzedzającym wdrażaniu zmian oraz w przekształcaniu ich firm w czołowe przedsiębiorstwa. Możemy pomóc i Tobie. NCR Corporation 2651 Satellite Boulevard Duluth, Georgia USA Więcej informacji o NCR można uzyskac pod adresem: Experience a new world of interaction W miarę dostępności nowych technologii i komponentów firma NCR nieprzerwanie ulepsza swoje produkty. W związku z tym firma NCR zastrzega sobie prawo do zmiany danych technicznych bez uprzedzania. Na całym świecie wszystkie cechy, funkcje i działania opisane w niniejszym dokumencie mogą nosić inne oznaczenia niż firmy NCR. Najnowsze informacje można uzyskać u swojego przedstawiciela lub biura firmy NCR. NCR APTRA jest zastrzeżonym znakiem towarowym lub znakiem towarowym firmy NCR Corporation w Stanach Zjednoczonych i/lub w innych krajach. Wszystkie nazwy marek i produktów są znakami towarowymi, zarejestrowanymi znakami towarowymi lub znakami usługi ich odpowiednich właścicieli NCR Corporation patenty oczekujące na rejestrację EB10297PL