Payment Card Industry (PCI)
Odvetvie platobných kariet
Sme spoločnosť s tímom ľudí, ktorí majú skúsenosť s implementáciou a riadením jedného z najväčších PCI programov na svete, zahŕňajúceho PCI DSS (Data Security Standard), PCI Card Production, ako aj PCI PIN.
Čo je PCI DSS
Bezpečnostný standard PCI DSS (Payment Card Industry Data Security Standard) predstavuje medzinárodné pravidlá, definujúce požiadavky s nakladaním s údajmi držiteľov platobných kariet. Tieto medzinárodné pravidlá, ktorých plnenie je vyžadované kartovými asociáciami a spoločnosťami (ako napr. VISA , MasterCard , Diners ) sú určené pre organizácie, ktoré spracúvajú, prenášajú alebo uchovávajú dáta držiteľov platobných kariet.
Cieľom PCI DSS je obmedziť riziká únikov uvedených dát a tým aj ich možnému zneužitiu.
Ochranou dát sa musia zaoberať nielen banky, ktoré platobné karty vydávajú, ale taktiež obchodníci, ktorí ich prijímajú.
Nech už ste veľkou medzinárodnou spoločnosťou alebo majiteľom jediného obchodu, nech prevádzkujete kamennú predajňu alebo internetový obchod, pokiaľ prijímate platobné karty, je zásadné, aby vaša obchodná činnosť bola v súlade s bezpečnostnými štandardmi PCI DSS.
Súlad s medzinárodnými pravidlami PCI DSS je povinný pre všetkých obchodníkov, ktorí prijímajú platobné karty a je striktne a bez rozdielu vyžadovaný všetkými bankami po celom svete.
Ako obchodník nesiete zodpovednosť za ochranu dát držiteľov platobných kariet, najmä v mieste predaja a za ich bezpečný prenos do platobného systému. Vašou zodpovednosťou je nastaviť a zabezpečiť systémy, ktoré používate tak, aby neboli ohrozené dáta Vašich klientov a to vrátane systémov Vašich obchodných partnerov a subdodávateľov.
Citlivé údaje môžu byť odcudzené z veľa miest:
- Z platobného terminálu
- Z priestoru, kde sú ukladané papierové účtenky v prípade, že takéto údaje obsahujú
- Z počítačového systému
- Z nahrávky kamery pri overovaní údajov
- Zo záznamu káblového alebo Wi-fi pripojenia Vašej spoločnosti
V súčasnej dobe sa páchatelia zameriavajú aj na drobných obchodníkov, ktorých systémy sú veľakrát menej odolné proti napadnutiu a sú teda ľahším zdrojom kartových informácií. Aj z tohto dôvodu je dodržovanie štandardov PCI DSS povinné pre všetkých obchodníkov prijímajúcich platobné karty.
Aký je význam splňovania štandardov PCI DSS?
- Povinnosť z pohľadu medzinárodného štandardu PCI DSS
- Váš systém je bezpečný a držitelia platobných kariet Vám môžu dôverovať. Dôvera zákazníkov zvyšuje pravdepodobnosť, že sa k Vám budú vracať, že budú Vašu spoločnosť odporúčať ďalej
- Zlepšenie Vašej spolupráce so spracovateľskou bankou a ďalšími subjektmi – partnermi, ktorých potrebujete pre svoje podnikanie
- Zníženie rizika mimoriadnych finančných výdajov (napríklad v dôsledku zneužitia kartových údajov k podvodom a inej trestnej činnosti)
- Zníženie nákladov na prípadné vyšetrovanie a právne zastúpenie
- Zníženie rizika negatívneho záujmu médií o Vašu spoločnosť
Aké sú dôsledky nesplnenia požiadaviek PCI SS:
- Nekalé nakladanie s údajmi platobných kariet môže mať negatívny efekt na všetky zainteresované strany – na zákazníkov, obchodníkov, ako aj finančné inštitúcie
- Jediný incident môže znamenať zničenie Vašej povesti a problémy vo Vašom podnikaní
- Vaša spoločnosť môže byť sankcionovaná a taktiež môže byť po Vašej spoločnosti vyžadovaná úhrada nákladov spojených s vyšetrovaním zneužitia údajov a za súvisiace právne úkony
Ako Vám môžeme pomôcť
Vieme pomôcť určiť, do akej kategórie so svojim počtom transakcií patríte (na požiadanie Vám to poskytne aj Vaša spracovateľská banka) a aké sú pre Vašu úroveň stanovené kritériá overovania plnenia medzinárodných pravidiel PCI DSS. Na základe stanovených kritérií vypracujeme analýzu súčasného stavu plnenia týchto požiadaviek, ako aj návrh na vypracovanie prípadných opatrení potrebných na zabezpečenie komplexného súladu s pravidlami PCI DSS.
Všetky nevyhnutné informácie týkajúce sa bezpečnostných požiadaviek v oblasti prijímania platobných kariet, vrátane štandardu PDI CSS, kategórií subjektov a im stanovených povinností, je Vám k dispozícii na www.pcisecuritystandards.org , www.visaeurope.com a www.mastercard.us.
Validačné požiadavky pre obchodníkov
Pravidlá kartových spoločností definujú 4 úrovne, do ktorých sú obchodníci zaradení podľa typu a počtu transakcií spracovaných za rok. Pre každú úroveň sú stanovené kritéria hodnotenia podľa PCI DSS, ktoré musí obchodník (poskytovateľ služieb) k validácii splniť.
Informácie o dosiahnutí validácie dokladá obchodník svojej banke, ktorá mu zabezpečuje spracovanie kartových transakcií, jedenkrát ročne prostredníctvom správy o výsledku auditu, ktorá má podobu Správy o zhode – ROC (Report of Compliance), pokiaľ zhodu vyhodnocuje externý alebo interný audítor alebo Dotazníku vlastného hodnotenia – SAQ (Self Assessment Questionnaire), ktorého súčasťou je dokument Osvedčenie o zhode – AOC (Attestation of Compliance) – vyplňuje obchodník.
| Úroveň obchodníka | Validačné požiadavky vyžadované bankou |
|---|---|
| 1. | Vykonanie auditu prostredníctvom externého audítora (QSA) alebo certifikovaného interného audítora (ISA) s výstupnou Správou o zhode (ROC) + štvrťročný sken od ASV (Approved Scanning Vendor) |
| 2. | Vykonanie auditu prostredníctvom externého audítora (QSA) s výstupnou Správou o zhode (ROC) alebo vyplnenie SAQ dotazníku vrátane Osvedčenia o zhode (AOC) prostredníctvom certifikovaného interného audítora (ISA) + štvrťročný sken od ASV (Approved Scanning Vendor) |
| 3. | Vyplnenie SAQ dotazníku vrátane Osvedčenia o zhode (AOC) + štvrťročný sken od ASV (Approved Scanning Vendor) |
| 4. | E- commerce obchodníci: Použitie PCI DSS validovaného 3D secure poskytovateľa služieb (service providera) |
| alebo Vyplnenie SAQ dotazníku vrátane Osvedčenia o zhode (AOC) + štvrťročný sken od ASV (Approved Scanning Vendor) | |
| Non e-commerce obchodníci: Vyplnenie SAQ dotazníku vrátane Osvedčenia o zhode (AOC) + štvrťročný sken od ASV (Approved Scanning Vendor) |