Kontakt Vstop za stranke
SLO
Search
SLO
Nazaj

Blog

Skladnosti s PCI-DSS: Zahteve in postopki

PCI-DSS (Payment Card Industry Data Security Standard) je varnostni standard mednarodnih plačilnih sistemov (American Express, Discover Financial Services, JCB International, MasterCard in Visa). Ponuja okvir za ustrezno zaščito podatkov uporabnika kartičnega poslovanja. Vse organizacije, ki obdelujejo, prenašajo ali hranijo kartične podatke, morajo zadostiti zahtevam PCI-DSS, kar dokazujejo z letnimi revizijami QSA, samoocenjevanjem SAQ ali četrtletnimi pregledi ranljivosti ASV. Zahtevani načini preverjanja so odvisni od letnega števila transakcij kartičnega poslovanja in so obvezni tako za trgovce, finančne ustanove (issuer, acquirer) kot procesne centre.

SIQ Ljubljana vam lahko pomaga v celotnem procesu vzpostavitve in vzdrževanja skladnosti s PCI-DSS.

PCI DSS opredeljuje 6 ciljev za zaščito podatkov o kreditnih karticah, ki jih pokriva 12 tehničnih zahtev, prikazanih spodaj.

Vzpostavite in vzdržujte varno omrežje in sisteme

1
2

 Za zaščito podatkov imetnika kartice, namestite in vzdržujte konfiguracijo požarnega zidu.
Za sistemska gesla in druge varnostne parametre ne uporabljajte privzetih vrednosti, ki jih predlaga dobavitelj.
Zaščitite podatke imetnika kartice 3
4		 Zaščitite shranjene podatke imetnika kartice.
Šifrirajte prenose podatkov imetnikov kartic po odprtih, javnih omrežjih.
Vvzdržujte program obvladovanja ranljivosti 5
6		 Zaščitite vse sisteme pred zlonamerno programsko opremo in redno posodabljajte protivirusno programsko opremo ali programe.
Razvijte in vzdržujte varne sisteme in aplikacije.
Implementirajte stroge ukrepe za nadzor dostopa 7
8
9		 Omejiti dostop do podatkov o imetnikih kartic.
Prepoznajte in autenticirajte dostop do sistemskih komponent.
Omejite fizični dostop do podatkov imetnika kartice.
Redno spremljajte in testirajte omrežja 10
11		 Sledite in spremljajte ves dostop do omrežnih virov in podatkov o imetnikih kartic.
Redno preizkušajte varnostne sisteme in procese.
Politika vzdrževanja in varstva informacij 12 Ohranite politiko, ki obravnava varnost informacij za vse osebje.

 

Za doseganje skladnosti, PCI DSS zahteva vsaj četrtletno pregledovanje zunanje in notranje preglede ranljivosti ter letne zunanje in notranje penetracijske teste. Glede na vrsto rešitve (tj. brez notranje infrastrukture CDE) nekateri testi morda ne bodo potrebni).

Glede na število transakcij s plačilnimi karticami je potrebno izvajati tudi letne revizije QSA na lokaciji (več kot 1 milijon transakcij na leto) ali izpolnjevati vprašalnike za samoocenjevanje (SAQ). Podrobnosti so navedene spodaj.

Kategorija Kriterij Zahteva
Level 1
  • Vsak trgovec, ki ima več kot šest milijonov transakcij letno
  • Vsak trgovec, ki je utrpel napad, zaradi katerega je prišlo do ogroženosti podatkov o računu
  • Letna presoja na lokaciji, ki jo opravi QSA
  • Četrtletno skeniranje zunanjega omrežja, ki ga izvaja ASV
Level 2
  • Vsak trgovec, ki ima več kot milijonom transakcij in manj kot šest milijonov transakcij letno
  • Letno samoocenjevanje (SAQ), ki ga izvaja akreditirani notranji revizor ISA ali
  • Letna presoja na lokaciji, ki jo opravi QSA
  • Četrtletno skeniranje zunanjega omrežja, ki ga izvaja ASV
Level 3
  • Vsak trgovec, ki ima več kot dvajset tisoč transakcijami in manj kot milijon transakcij letno.
  • Letno samoocenjevanje (SAQ)
  • Četrtletno skeniranje zunanjega omrežja, ki ga izvaja ASV
Level 4
  • Vsi ostali trgovci
  • Letno samoocenjevanje (SAQ)
  • Četrtletno skeniranje zunanjega omrežja, ki ga izvaja ASV

Obseg

Sistemi, ki shranjujejo, obdelujejo ali prenašajo podatke o imetnikih kartic, so del CDE ali podatkovnega okolja imetnikov kartic in so zato v obsegu. Vendar obseg PCI DSS ni omejeno le na CDE. V obseg morajo biti vključeni tudi sistemi, ki so povezani s CDE, da se zagotovi ustrezen varnostni nadzor, ki preprečuje napadalcu uporabo povezanega sistema za dostop do CDE in s tem do podatkov o imetnikih kartic.
V obseg je treba vključiti tudi druge vrste sistemov, kot so: sistemi za zagotavljanje varnostnih storitev CDE, sistemi, ki zagotavljajo segmentacijo omrežja in na splošno vsi drugi sistemi, ki lahko neposredno vplivajo na varnost CDE ali podatkov o imetnikih kartic.

Pregled ranljivosti

Pregled ranljivosti identificira znane ranljivosti in težave v varnostni konfiguraciji na ravni sistema in storitve. Pregled zunanjih ranljivosti mora opraviti akreditirana organizacija ASV (Approved Scanning Vendor).
Rezultati pregleda so predstavljeni v skladu z zahtevami ASV Program Guide. Za kategorizacijo ranljivosti in določanje stanja skladnosti se uporabljajo naslednje PCI stopnje groženj:

 

CVSS  Stopnja grožnje Rezultat Vodilo
7.0 do 10.0 Visoka Fail Da bi dosegli pozitiven rezultat, je potrebno ranljivosti odpraviti in prizadete sisteme po popravkih ponovno pregledati (s poročilom, ki prikazuje prehodno skeniranje). Organizacije bi morale za odpravo tovrstnih ranljivosti uporabiti pristop na podlagi tveganja, kar pomeni, da začnejo z odpravo najbolj kritičnih ranljivosti.
4.0 do 6.9 Srednja Fail
0.0 do 3.9 Nizka Pass Čeprav je mogoče pri pregledu z ocenami od 0,0 do 3,9 doseči pozitiven rezultat, se organizacije spodbuja, da kljub temu odpravijo ranljivosti.

Penetracijski testi

Penetracijski testi so obsežnejši od pregledov ranljivosti, saj vključujejo aktivno preverjanje in poskuse zlorabe ranljivosti. Namen testa je s simulacijo resničnega napada ugotoviti, kako daleč bi lahko napadalec prodrl v okolje.
V skladu z zahtevami PCI DSS se izvajajo naslednje dejavnosti:

  • Testiranje mrežne infrastrukture
  • Testiranje ustreznosti segmentacije in drugih mehanizmov zmanjšanja obsega
  • Testi vključujejo aktivno mrežno opremo in operacijske sisteme
  • Posebna pozornost na znane napade v zadnjih 12 mesecih

Pri ocenjevanju se lahko uporabi načelo vzorčenja, če so v obseg vključeni vsi reprezentativni segmenti omrežja in oprema infrastrukture CDE.

Analiza razkoraka / Revizija QSA

Z analizo razkoraka ugotovimo odstopanja trenutnega stanja od zahtev standarda PCI DSS. Naši izkušeni in akreditirani revizorji prepoznajo vsa področja s pomanjkljivostmi in podajo priporočila za doseganje skladnosti. Rezultat analize je tudi določitev obsega infrastrukture glede na PCI DSS zahteve.

Revizijo QSA izvajajo naši akreditirani strokovnjaki QSA (Qualified Security Assessors). Vključuje temeljit pregled informacijskega okolja, ki je del kartičnega poslovanja, in se zaključi s poročilom o skladnosti RoC ( Report of Compliance).

Imate vprašanje?

Pošljite nam sporočilo in z veseljem vam bomo odgovorili.

Pišite nam

Nazaj