PCI DSS

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 31. maaliskuuta 2020 tarkistetusta versiosta . tarkastukset vaativat 16 muokkausta .

Payment Card Industry Data Security Standard (PCI DSS) ( englannin sanasta "maksukorttialan tietoturvastandardi") on kansainvälisten Visa , MasterCard , American Express , JCB ja Discover maksukorttien tietoturvastandardi . [1] PCI-tietoturvastandardit on suunniteltu suojaamaan maksutietoja maksun koko elinkaaren ajan ja tarjoamaan teknisiä ratkaisuja, jotka alentavat dataa ja siten estävät rikollisia varastamasta niitä. [2]

Tietoja maksukorttialan tietoturvastandardista

PCI DSS -vaatimusten noudattaminen edellyttää kokonaisvaltaista lähestymistapaa maksukorttitietojen tietoturvan varmistamiseen. [3] Maksujärjestelmän ylläpitäjät määrittävät PCI DSS -yhteensopivuuden tarpeen osana omia turvaohjelmiaan.

Esimerkiksi:

• MasterCardilla on  sivustotietojen suojaus ( SDP );
• Yhdysvalloissa Visalla on Cardholder  Information Security ( CISP );
• Euroopassa Visalla on tilitietoturva  ( AIS ).

Kaikkien organisaatioiden, jotka tallentavat, siirtävät tai käsittelevät näiden maksujärjestelmien korttitietoja, on noudatettava PCI DSS -vaatimuksia. Myös maksujärjestelmät määrittävät säännöt PCI DSS:n noudattamisen vahvistamiseksi. [3]

Kansalliset (paikalliset) maksujärjestelmät voivat myös määrittää turvaohjelmissaan PCI DSS -yhteensopivuuden vaatimuksen ja asettaa vaatimuksia vaatimustenmukaisuuden vahvistusjärjestelmälle. Esimerkiksi maksujärjestelmässä " Mir " PCI DSS:n noudattamisen tarve on määritelty PS "Mir" -standardissa "Turvaohjelma". [4] Ohjelmassa määritellään myös organisaatiotasot ja raportointivaatimukset.

Syyskuusta 2006 lähtien Visa kansainvälinen maksujärjestelmä on ottanut standardin käyttöön CEMEA - alueella ( Keski- ja Itä-Eurooppa , Lähi-itä ja Afrikka ) vastaavasti, sen vaikutus koskee myös Venäjää . Siksi suoraan VisaNetin kanssa työskentelevien palveluntarjoajien ( käsittelykeskukset , maksuyhdyskäytävät , Internet-palveluntarjoajat ) on suoritettava auditointimenettely standardin vaatimusten noudattamiseksi.

Vuodesta 2012 lähtien sertifiointi on tullut pakolliseksi kaikille pankkikorttien kanssa työskenteleville organisaatioille. [5]

PCI DSS Compliance Statement

Eri kansainvälisillä maksujärjestelmillä on erilaiset vaatimukset PCI DSS -vaatimusten noudattamisen varmistusprosessille.

Yleensä vahvistusjärjestelmät vaihtelevat organisaatioittain käsiteltävien korttitapahtumien määrän mukaan. Jokaiselle organisaatiolle on määritetty tietty taso ja vastaavat vaatimukset, jotka sen on täytettävä. Osana maksujärjestelmien vaatimuksia tarjotaan organisaatioiden vuosittaiset auditoinnit PCI DSS:n noudattamiseksi tai itsearviointi.

Seuraavat menetelmät ovat käytettävissä PCI DSS -vaatimusten noudattamisen varmistamiseksi:

• ulkoinen QSA-auditointi ( eng. ), jonka suorittaa PCI QSA-yritys auditoidun organisaation tiloissa;
• itsearviointi, jonka organisaatio itse suorittaa täyttämällä itsearviointilomakkeen ( SAQ ).

Vaatimustenmukaisuuden tarkistusmenetelmä tai menetelmien yhdistelmä valitaan kauppiaan tai palveluntarjoajan tason mukaan.

Kaupan ja palveluyritysten tasot

Kauppa- ja palveluyritys (TSE) on organisaatio, joka hyväksyy maksukortit maksuna myydyistä tavaroista tai palveluista. Esimerkkejä kaupan ja palvelualan yrityksistä ovat kaupat, ravintolat, hotellit ja verkkokaupat.

Visa-luokituksen mukaan:

Taso 1:

• Kauppiaat, jotka käsittelevät yli 6 miljoonaa tapahtumaa vuodessa.

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• vuosittainen tarkastus, jonka QSA-auditori suorittaa organisaation tiloissa;
• neljännesvuosittain ASV-skannaus.

Taso 2:

• Kauppiaat käsittelevät 1–6 miljoonaa tapahtumaa vuodessa.

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• vuotuinen itsearviointi kyselylomakkeen (SAQ) täyttämisellä;
• neljännesvuosittain ASV-skannaus.

Taso 3:

• Kauppiaat, jotka käsittelevät 20 000–1 miljoonaa tapahtumaa vuodessa käyttämällä sähköisen kaupankäynnin työkaluja .

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• vuotuinen itsearviointi kyselylomakkeen (SAQ) täyttämisellä;
• neljännesvuosittain ASV-skannaus.

Taso 4:

• Kauppiaat, jotka käsittelevät jopa 20 000 tapahtumaa vuodessa käyttämällä sähköisen kaupankäynnin työkaluja, sekä muut kauppiaat, jotka käsittelevät jopa miljoona tapahtumaa vuodessa.

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• On suositeltavaa tehdä vuosittainen itsearviointi kyselylomakkeen täyttämisestä;
• neljännesvuosittainen ASV-skannaus suositellaan;
• vaatimukset määrää vastaanottava pankki.

MasterCard-luokituksen mukaan:

Taso 1:

• Kauppiaat, jotka käsittelevät yli 6 miljoonaa tapahtumaa vuodessa.
• kauppiaat, joiden järjestelmien kautta kortinhaltijan tiedot vaarantuivat;
• Kansainvälisen Visa-maksujärjestelmän tasolle 1 luokitellut kauppiaat;
• Kansainvälisen MasterCard-maksujärjestelmän suoraan luokittelemat kauppiaat tasolle 1.

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• vuosittainen tarkastus, jonka QSA-auditori suorittaa organisaation tiloissa;
• neljännesvuosittain ASV-skannaus.

Taso 2:

• Kauppiaat käsittelevät 1–6 miljoonaa tapahtumaa vuodessa;
• Kansainvälisen Visan maksujärjestelmän 2. tasolle luokitellut kauppiaat.

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• vuosittainen tarkastus, jonka QSA-auditori suorittaa organisaation tiloissa;
• neljännesvuosittain ASV-skannaus.

Taso 3:

• Kauppiaat, jotka käsittelevät 20 000–1 miljoonaa tapahtumaa vuodessa käyttämällä sähköisen kaupankäynnin työkaluja.
• Kansainvälisen Visan maksujärjestelmän 3. tasolle luokittelemat kauppiaat.

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• vuotuinen itsearviointi kyselylomakkeen (SAQ) täyttämisellä;
• neljännesvuosittain ASV-skannaus.

Taso 4:

• Kaikki muut TSP:t

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• On suositeltavaa tehdä vuosittainen itsearviointi kyselylomakkeen täyttämisestä;
• neljännesvuosittainen ASV-skannaus suositellaan;
• vaatimukset määrää vastaanottava pankki.

Palveluntarjoajatasot

Palveluntarjoajat ovat organisaatioita, jotka tarjoavat erilaisia ​​palveluita pääasiassa tietotekniikan alalla kauppiaille, vastaanottaville pankeille ja liikkeeseenlaskijoille sekä suoraan kansainvälisille maksujärjestelmille. Samalla organisaatio - palveluntarjoaja - saa pääsyn kortinhaltijoiden tietoihin. Esimerkkejä palveluntarjoajista ovat käsittelykeskukset , maksuyhdyskäytävät, datakeskukset, tokenointi- ja point-to-point-salauksen ( P2PE ) palveluntarjoajat.

Visa-luokituksen mukaan:

Taso 1:

• Kaikki VisaNetiin yhdistetyt käsittelykeskukset;
• Palveluntarjoajat, jotka käsittelevät, tallentavat tai välittävät yli 300 000 tapahtumaa vuodessa.

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• vuosittainen tarkastus, jonka QSA-auditori suorittaa organisaation tiloissa;
• neljännesvuosittain ASV-skannaus.

Taso 2:

• Palveluntarjoajat, jotka käsittelevät, tallentavat tai välittävät alle 300 000 tapahtumaa vuodessa.

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• vuotuinen itsearviointi kyselylomakkeen (SAQ) täyttämisellä;
• neljännesvuosittain ASV-skannaus.

MasterCard-luokituksen mukaan:

Taso 1:

• Kaikki käsittelykeskukset
• Palveluntarjoajat, jotka käsittelevät, tallentavat tai välittävät yli 300 000 tapahtumaa vuodessa.
• Kaikki käsittelykeskukset ja palveluntarjoajat, joiden järjestelmien kautta kortinhaltijan tiedot vaarantuivat.

Sertifiointivaatimukset:

• vuosittainen tarkastus, jonka QSA-auditori suorittaa organisaation tiloissa;
• neljännesvuosittain ASV-skannaus.

Taso 2:

• Palveluntarjoajat, jotka käsittelevät, tallentavat tai välittävät alle 300 000 tapahtumaa vuodessa.

Vaatimukset vaatimustenmukaisuuden arvioinnille:

• vuotuinen itsearviointi kyselylomakkeen (SAQ) täyttämisellä;
• neljännesvuosittain ASV-skannaus.

Tilintarkastusyritykset PCI QSA

Kuten luokituksesta käy ilmi, korkeimman tason sertifioinnista vastaa tilintarkastusyhtiö, jolla on Qualified Security Assessor (PCI QSA) -status. Muilla tasoilla QSA:n osallistuminen ei ole pakollinen vaatimus. QSA voi kuitenkin tarjota konsultointipalveluita minkä tahansa vaatimustenmukaisuuden arvioinnin tasosta. .

Tilintarkastusyritykset PCI PA-QSA

Maksusovelluksille on olemassa PCI DSS -turvastandardi - Payment Card Industry Payment Application - Data Security Standard (PCI PA-DSS). Maksutapahtumien käsittelyyn osallistuvien ohjelmistojen valmistajien on sertifioitava sovellukset PA-DSS-standardin mukaisesti. Kansainvälisten Visa- ja MasterCard-maksujärjestelmien vaatimusten mukaisesti kaikkien kauppiaiden ja palveluntarjoajien tulee 1.7.2012  alkaen käyttää vain PA-DSS-standardin mukaan sertifioituja maksusovelluksia. Tämän vaatimuksen täyttymisen valvonta on annettu vastaanottaville pankeille. PA-DSS-standardin mukaisen maksuhakemuksen sertifioinnin voivat suorittaa yritykset, joilla on PCI PA-QSA -status .

PCI DSS -vaatimukset

PCI DSS määrittelee seuraavat kuusi ohjausaluetta ja 12 perusturvavaatimusta.

Suojatun verkon rakentaminen ja ylläpito

• Vaatimus 1: Asenna ja ylläpidä palomuurit kortinhaltijoiden tietojen suojaamiseksi.
• Vaatimus 2: Valmistajan oletusarvoisten järjestelmäsalasanojen ja muiden suojausasetusten käyttämättä jättäminen.

Kortinhaltijan tietojen suojaaminen

• Vaatimus 3: Varmistetaan, että kortinhaltijan tiedot on suojattu tallennuksen aikana.
• Vaatimus 4: Julkisten verkkojen kautta siirrettävien kortinhaltijatietojen salaus .

Haavoittuvuuden hallintaohjelman tuki

• Vaatimus 5: Käytä ja päivitä säännöllisesti virustorjuntaohjelmistoa .
• Vaatimus 6: Kehittää ja ylläpitää turvallisia järjestelmiä ja sovelluksia.

Tiukkojen kulunvalvontatoimenpiteiden toteuttaminen

• Vaatimus 7: Rajoita pääsyä kortinhaltijatietojen tietoihin tarpeen mukaan.
• Vaatimus 8: Määritä yksilöllinen tunniste jokaiselle henkilölle, jolla on pääsy tietoinfrastruktuuriin.
• Vaatimus 9: Rajoita fyysistä pääsyä kortinhaltijan tietoihin.

Säännöllinen verkon valvonta ja testaus

• Vaatimus 10: Hallitse ja seuraa kaikkea pääsyä verkkoresursseihin ja kortinhaltijatietoihin.
• Vaatimus 11: Säännöllinen turvajärjestelmien ja prosessien testaus .

Tietoturvapolitiikan tuki

• Vaatimus 12: Kehitä, ylläpidä ja valvo tietoturvapolitiikkaa.

PCI DSS -standardin versiot

PCI SSC -neuvosto noudattaa kolmen vuoden vakiopäivitysjaksoa. Ensimmäinen vuosi on standardin käyttöönotto teollisuudessa, toinen vuosi on palautteen kerääminen kommenttien ja toiveiden muodossa maksukorttialan osallistujilta, kolmas vuosi on standardin uuden version valmistelu. . Vaiheiden välillä järjestetään PCI SSC Community Meeting -konferensseja, jotka koostuvat amerikkalaisista ja eurooppalaisista istunnoista. Konferenssien aikana osallistuvat organisaatiot, kansainväliset maksujärjestelmät, konsultit ja QSA:t sekä kauppiaat ja palveluntarjoajat keskustelevat standardin ja siihen liittyvien asiakirjojen tulevaisuudesta.

Vakiomuutosten historia:

• 1.0 on standardin alkuperäinen versio.
• 1.1 -- hyväksytty syyskuussa 2006 .
• 1.2 -- hyväksytty lokakuussa 2008 .
• 1.2.1, pieni painos - hyväksytty heinäkuussa 2009 ; sisältää pieniä teknisiä muutoksia.
• 2.0 - hyväksytty lokakuussa 2010 .
• 3.0 - hyväksytty marraskuussa 2013 .
• 3.1 - hyväksytty huhtikuussa 2015 .
• 3.2 - hyväksytty huhtikuussa 2016. Kumottu 31.12.2018.
• 3.2.1 - hyväksytty vuonna 2018.
• 4.0 - hyväksytty maaliskuussa 2022. [6] PCI DSS:n nykyinen versio v3.2.1 on voimassa 31. maaliskuuta 2024 asti.

Muistiinpanot

1. ↑ Mikä on PCI DSS (Payment Card Industry Data Security Standard)? - Määritelmä sivustolta WhatIs.com  (englanniksi) . HakuTurvallisuus . Käyttöönottopäivä: 16.9.2022.
2. ↑ Standardit  _  _ . PCI Security Standards Council . Käyttöönottopäivä: 16.9.2022.  (määrätön)
3. ↑ 1 2 Usein kysytty   kysymys ? . PCI Security Standards Council . Käyttöönottopäivä: 16.9.2022.  (määrätön)
4. ↑ Suojausohjelma . (Venäjän kieli)
5. ↑ PCI DSS -standardi: mikä se on, vaatimukset, varmenteen hankkiminen . itglobal.com . Käyttöönottopäivä: 16.9.2022. (Venäjän kieli)
6. ↑ Maksujen tulevaisuuden turvaaminen: PCI SSC julkaisee PCI Data Security Standard   v4.0 :n ? . PCI Security Standards Council . Käyttöönottopäivä: 16.9.2022.  (määrätön)

Linkit

•  PCI Security Standards Council .
• PCI DSS Professional Community .
• PCI DSS Training Quarterly .