Stripe logo

od roku 2005 bylo ohroženo více než 11 miliard spotřebitelských záznamů z více než 8500 narušení dat. Toto jsou nejnovější čísla z Clearinghouse práv na ochranu osobních údajů, která podává zprávy o narušení dat a narušení bezpečnosti dopadajících na spotřebitele z roku 2005.

pro zvýšení bezpečnosti spotřebitelských dat a důvěry v platební ekosystém byl vytvořen minimální standard pro zabezpečení dat. Visa, Mastercard, American Express, Discover a JCB tvořil Payment Card Industry Security Standards Council (PCI SSC) v roce 2006 spravovat a spravovat bezpečnostní normy pro společnosti, které zpracovávají údaje o kreditní kartě. Před založením PCI SSC, všech těchto pět společností vydávajících kreditní karty mělo své vlastní programy bezpečnostních standardů-každý se zhruba podobnými požadavky a cíli. Spojili přes PCI SSC sladit na jeden standardní politiky, PCI Data Security Standard (známý jako PCI DSS) zajistit základní úroveň ochrany pro spotřebitele a banky v éře Internetu.

Pochopení PCI DSS mohou být složité a náročné

Pokud je váš obchodní model vyžaduje, abyste zvládnout data karty, můžete být požádáni, aby vyhovovaly každé z 300+ bezpečnostní kontroly v PCI DSS. Existuje více než 1,800 stránky oficiální dokumentace, publikované radou PCI, o PCI DSS, a více než 300 stránky jen pochopit, které formuláře použít při ověřování shody. To by trvalo 72 hodiny jen číst.

pro zmírnění této zátěže je následující krok krok za krokem k ověření a udržení souladu s PCI.

Přehled PCI Data Security Standard (PCI DSS)

PCI DSS je globální standard zabezpečení pro všechny subjekty, které uchovávají, zpracovávají nebo přenášejí data držitele karty a/nebo citlivá autentizační data. PCI DSS stanoví základní úroveň ochrany spotřebitelů a pomáhá omezit podvody a narušení dat v celém platebním ekosystému. Platí pro všechny organizace, které přijímají nebo zpracovávají platební karty.

PCI DSS compliance zahrnuje 3 hlavní věci:

  1. Manipulace vniknutí kreditní karty, údaje od zákazníků, a to, že citlivé údaje o kartě jsou shromažďovány a přenášeny bezpečně
  2. Ukládání dat bezpečně, což je uvedeno v 12 bezpečnostní domény PCI standard, jako je šifrování, průběžné sledování a testování zabezpečení přístupu na kartu data
  3. Ověřování ročně, že požadované bezpečnostní kontroly jsou na místě, které mohou zahrnovat formuláře, dotazníky, externí skenování zranitelnosti služeb a 3rd party auditů (viz krok za krokem průvodce níže pro stůl s čtyři úrovně požadavky)

Zpracování dat kartu

Některé obchodní modely vyžadují přímou manipulaci citlivé údaje o kreditní kartě při přijetí platby, zatímco jiní ne. Společnosti, které potřebují zpracovávat údaje o kartě (např. přijímání untokenized pánve na platební stránce) může být požadováno, aby splnily každý z 300 + bezpečnostních kontrol v PCI DSS. I když data karet procházejí svými servery pouze na krátkou chvíli, společnost by musela zakoupit, implementovat a udržovat bezpečnostní software a hardware.

Pokud firma nemusí zpracovávat citlivé údaje o kreditní kartě, by to nemělo. Řešení třetích stran (např. Stripe Prvky) bezpečně přijímat a ukládat data, šlehání pryč značnou složitost, náklady a rizika. Protože se data karet nikdy nedotýkají svých serverů, musela by společnost pouze potvrdit 22 bezpečnostních kontrol, z nichž většina je přímá, například pomocí silných hesel.

Ukládání dat bezpečně

Pokud organizace zpracovává nebo ukládá údaje o kreditní kartě, je třeba definovat rozsah jeho prostředí dat držitelů karet (CDE). PCI DSS definuje CDE jako lidi, procesy a technologie, které ukládají, zpracovávají nebo přenášejí data z kreditních karet-nebo jakýkoli systém k němu připojený. Protože všechny 300+ bezpečnostní požadavky PCI DSS platí pro CDE, je důležité, aby správně segmentu platební prostředí od zbytku podnikání tak, aby se omezil rozsah PCI validace. Pokud organizace není schopna obsahovat rozsah CDE s podrobnou segmentací, bezpečnostní ovládací prvky PCI by se pak vztahovaly na každý systém, notebook a zařízení v podnikové síti. Jejda!

Roční validace

bez Ohledu na to, jak data karty je přijat, organizace jsou nutné k dokončení PCI validace formuláře ročně. Způsob validace shody PCI závisí na řadě faktorů, které jsou uvedeny níže. Zde jsou 3 scénáře, ve kterých by organizace mohla být požádána, aby ukázala, že je kompatibilní s PCI:

  • Platebních procesorů může požadovat, jako součást jejich požadované hlášení platební karty značek
  • Obchodní partneři mohou požádat jako předpoklad pro vstup do obchodní dohody
  • Pro platformu podniky (ty, jejichž technologie umožňuje on-line transakce mezi více různé sady uživatelů), zákazníci mohou požádat o to, aby se ukázat svým zákazníkům, že jsou manipulace data bezpečně

nejnovější soubor bezpečnostních norem, PCI DSS, verze 3.2.1, zahrnuje 12 hlavních požadavků s více než 300 dílčími požadavky, které odrážejí osvědčené bezpečnostní postupy.

    Vybudování a udržování bezpečné sítě a systémů

  1. Instalovat a udržovat konfiguraci firewallu na ochranu dat držitelů karet
  2. nepoužívejte dodavatele-dodávané výchozí nastavení pro systémová hesla a jiné bezpečnostní parametry
  3. Ochranu dat držitelů karet

  4. Ochranu uložených dat držitelů karet
  5. Zašifrovat přenos dat držitelů karet po otevřených nebo veřejných sítí
  6. Udržovat zabezpečení řízení programu

  7. Chránit všechny systémy proti malware a pravidelně aktualizovat anti-virus software
  8. Rozvíjet a udržovat bezpečné systémů a aplikací
  9. Implementovat silnou přístup kontrolních opatření

  10. Omezit přístup k dat držitelů karet tím, že podnikání je třeba vědět,
  11. Identifikovat a autentizovat přístup k systémovým komponenty
  12. Omezit fyzický přístup k dat držitelů karet
  13. Pravidelně sledovat a testovat své sítě

  14. sledovat a monitorovat všechny přístupy k síťovým zdrojům a držitele karty data
  15. Pravidelně testovat bezpečnostní systémy a procesy
  16. dodržovat zásady bezpečnosti informací

  17. Udržovat politiku, která řeší bezpečnost informací pro všechny personál

aby bylo pro nové podniky „snazší“ ověřit shodu s PCI, vytvořila Rada PCI devět různých formulářů nebo dotazníků pro sebehodnocení (SAQ), které jsou podmnožinou celého požadavku PCI DSS. Trik je zjistit, který je použitelný nebo zda je nutné najmout auditora schváleného radou PCI, aby ověřil, že byl splněn každý bezpečnostní požadavek PCI DSS. Kromě toho Rada PCI reviduje pravidla každé tři roky a vydává přírůstkové aktualizace po celý rok, což přidává ještě dynamičtější složitost.

krok za krokem průvodce PCI DSS v3.2. 1 compliance

prvním krokem k dosažení souladu PCI je vědět, které požadavky se vztahují na vaši organizaci. Existují čtyři různé úrovně shody PCI, obvykle založené na objemu transakcí kreditními kartami, které vaše obchodní procesy provádějí během 12měsíčního období.

Platí pro Požadavky
Úroveň 1
  1. Organizace, které každoročně zpracovat více než 6 milionů transakcí Visa nebo MasterCard, nebo více než 2.5 milionů pro American Express; nebo
  2. došlo k narušení dat; nebo
  3. Jsou považovány za „Level 1“ jakýkoli karetní asociace (Visa, Mastercard, atd.)
  1. Výroční Zpráva o Shodě (ROC) Kvalifikovaný Bezpečnostní Hodnotitele (QSA)—také známý jako Level 1 posouzení na místě—nebo interního auditora, je-li podepsána zástupcem společnosti
  2. Čtvrtletní síťové skenování Schválených Skenování Dodavatele (ASV)
  3. Osvědčení Shody (AOC) pro Posouzení na Místě–tam jsou zvláštní formy pro obchodníky a poskytovatele služeb
Úroveň 2 Organizace, které proces mezi 1-6 milionů transakcí ročně
  1. Roční PCI DSS Self-Assessment Questionnaire (SAQ)—tam jsou 9 SAQ typy uvedeny stručně v tabulce níže
  2. Čtvrtletní síťové skenování Schválených Skenování Dodavatele (ASV)
  3. Osvědčení Shody (AOC)—každý z 9 SAQs má příslušné osvědčení AOC formulář
Úroveň 3
  1. Organizace, které proces mezi 20 000-1 milionu online transakcí ročně
  2. Organizace, které zpracovávají méně než 1 milionu celkového počtu transakcí ročně
Úrovni 4
  1. Organizace, které zpracovávají méně než 20000 on-line transakcí ročně; nebo
  2. Organizace, které proces až do 1 milionu celkového počtu transakcí ročně

Pro Úroveň 2-4, tam jsou různé SAQ typů v závislosti na vaší platební metoda integrace. Zde je stručný stůl:

SAQ Popis

Card-not-present obchodníků (e-commerce nebo mail/telefon-order), které mají plně externě všech dat držitelů karet funkce kompatibilní s PCI DSS poskytovatele služeb třetích stran, bez elektronického uchovávání, zpracování, nebo přenos dat držitelů karet na obchodní systémy nebo prostor.

nevztahuje se na osobní kanály.

A-EP

E-commerce obchodníků, kteří outsourcovat všechny platby zpracování PCI DSS ověřených třetím osobám, a kteří mají webové stránky(y), které není přímo přijímat karty data, ale které mohou mít vliv na bezpečnost platebních transakcí. Žádné elektronické ukládání, zpracování nebo přenos dat držitelů karet v systémech nebo prostorách obchodníka.

platí pouze pro e-commerce kanály.

B

obchodníci používající pouze:

  • tiskařské stroje bez elektronického ukládání dat držitelů karet a / nebo
  • samostatné vytáčené terminály bez elektronického ukládání dat držitelů karet.

nevztahuje se na kanály elektronického obchodování.

B-IP

Obchodníci používající pouze samostatný, PT-schválené platební terminály s IP připojení k platební procesor bez elektronické karty pro ukládání dat.

nevztahuje se na kanály elektronického obchodování.

C-VT

Obchodníků, kteří ručně zadat jednu transakci v čase prostřednictvím klávesnice na bázi Internetu, virtuální platební terminál řešení, které je k dispozici a hostitelem PCI DSS ověřených poskytovatele služeb třetí strany. Žádné elektronické ukládání dat držitelů karet.

nevztahuje se na kanály elektronického obchodování.

C

Obchodníci s platební aplikace systémů připojených k Internetu, žádné elektronické karty pro ukládání dat.

nevztahuje se na kanály elektronického obchodování.

P2PE

Obchodníci pouze pomocí hardwaru platebních terminálů součástí a spravovány prostřednictvím validované, PCI SSC-uvedené Point-to-Point Šifrování (P2PE) řešení, s žádné elektronické karty pro ukládání dat.

nevztahuje se na obchodníky s elektronickým obchodem.

D

SAQ D pro Obchodníky: Všichni obchodníci nejsou zahrnuty v popisu výše SAQ typy.

SAQ D pro Poskytovatele Služeb: Všichni poskytovatelé služeb definovány platební značky jako způsobilé k dokončení SAQ.

vyberte SAQ a Osvědčení, dokumenty, které nejlépe použít do vaší organizace, vývojový diagram na straně 18 tohoto PCI doc může pomoci.

požadavky PCI DSS se v průběhu času mění, takže jedním z nejlepších způsobů, jak získat informace o nových nebo měnících se certifikačních požadavcích a jak je splnit, je stát se organizací účastnící se PCI (po).

Mapujte své datové toky

než budete moci chránit citlivá data kreditní karty, musíte vědět, kde žije a jak se tam dostane. Budete chtít vytvořit komplexní mapu systémů, síťových připojení a aplikací, které interagují s daty kreditních karet v celé vaší organizaci. V závislosti na vaší roli budete pravděpodobně muset pracovat se svými it a bezpečnostními týmy.

  • nejprve identifikujte každou oblast podnikání zaměřenou na spotřebitele, která zahrnuje platební transakce. Můžete například přijímat platby prostřednictvím online nákupního košíku, platebních terminálů v obchodě nebo objednávek zadaných po telefonu.
  • dále určete různé způsoby zpracování dat držitelů karet v celém podniku. Je důležité přesně vědět, kde jsou data uložena a kdo k nim má přístup.
  • poté identifikujte interní systémy nebo základní technologie, které se dotýkají platebních transakcí. To zahrnuje vaše síťové systémy, datová centra a cloudová prostředí.

Zkontrolujte, zda bezpečnostní kontroly a protokoly

Jakmile jste zmapovat všechny potenciální styčné body pro kreditní karty data v celé vaší organizaci, práce s IT a bezpečnostní týmy k zajištění správné konfigurace zabezpečení a protokoly jsou v místě (viz seznam 12 bezpečnostní požadavky PCI DSS výše). Tyto protokoly jsou navrženy tak, aby zabezpečily přenos dat, jako je Transport Layer Security (TLS).

12 bezpečnostní požadavky PCI DSS v3.2.1 vyplývají z nejlepší praxe pro ochranu citlivých dat pro jakékoliv podnikání. Několik se překrývá s těmi, které jsou vyžadovány pro splnění GDPR, HIPAA a dalších mandátů na ochranu soukromí, takže několik z nich již může být ve vaší organizaci zavedeno.

Monitorujte a udržujte

je důležité si uvědomit, že dodržování PCI není jednorázová událost. Jedná se o průběžný proces, který zajistí, že vaše firma zůstane v souladu, i když se vyvíjejí datové toky a kontaktní body zákazníků. Některé kreditní karty značek může vyžadovat, abyste předložit čtvrtletní nebo roční zprávy, nebo kompletní roční posouzení na místě k ověření pokračující shody, a to zejména pokud jste proces více než 6 milionů transakcí každý rok.

řízení souladu PCI po celý rok (a rok po roce) často vyžaduje podporu a spolupráci mezi odděleními. Pokud to již neexistuje, může být užitečné vytvořit specializovaný tým interně, aby bylo možné řádně udržovat dodržování předpisů. Zatímco každá společnost je unikátní, dobrý výchozí bod pro „PCI týmu“ by měla zahrnovat zastoupení z následujících možností:

  • Bezpečnost: Chief Security Officer (CSO), Chief Information Security Officer (CISO), a jejich týmy zajistí organizace je vždy správně investovat v potřebné bezpečnosti dat a ochrany osobních zdrojů a politik.
  • Technologie / Platby: Chief Technology Officer (CTO), VP Plateb, a jejich týmů, ujistěte se, že základní nástroje, integrace a infrastruktury je nadále kompatibilní, jako organizace, systémy vyvíjet.
  • Finance: Finanční ředitel (CFO) a jejich tým zajišťuje, že všechny platební údaje toky jsou zaúčtovány, když jde o platební systémy a partnery.
  • právní: tento tým může pomoci orientovat se v mnoha právních nuancích souladu s PCI DSS.

další informace o složitém světě souladu s PCI naleznete na webových stránkách Rady pro bezpečnostní standardy PCI. Pokud si přečtete pouze tuto příručku a několik dalších dokumentů PCI, doporučujeme začít s těmito: prioritní přístup pro PCI DSS, pokyny a pokyny SAQ, FAQ o používání kritérií způsobilosti SAQ k určení požadavků na hodnocení na místě a FAQ o povinnostech obchodníků, kteří vyvíjejí aplikace pro spotřebitelská zařízení, která přijímají data platební karty.

Jak Stripe pomáhá organizacím dosáhnout a udržet PCI dodržování předpisů

Stripe výrazně zjednodušuje PCI zátěž pro společnosti, které integrovat s Checkout, Prvky, sady Sdk pro mobilní zařízení a Svorky Sdk. Stripe Checkout a Pruh Prvků použití hostované platební podmínky pro zpracování všech dat platebních karet, tak karty zadá všechny citlivé platební údaje do platební oblasti, které pochází přímo od našich PCI DSS ověřených serverů. Stripe mobile a Terminal SDK také umožňují držiteli karty odesílat citlivé platební informace přímo na naše servery ověřené PCI DSS.

s bezpečnějšími metodami přijímání karet, jako jsou tyto, naplníme formulář PCI (SAQ)na panelu Stripe, čímž bude ověření PCI stejně snadné jako kliknutí na tlačítko. U menších organizací to může ušetřit stovky hodin práce, u větších to může ušetřit tisíce.

pro všechny naše uživatele, bez ohledu na typ integrace, Stripe působí jako zastánce PCI a může pomoci několika různými způsoby.

  • analyzujeme vaši integrační metodu a poradíme vám, jaký formulář PCI použít a jak snížit zátěž související s dodržováním předpisů.
  • budeme vás předem informovat, pokud rostoucí objem transakcí bude vyžadovat změnu způsobu ověření dodržování předpisů.
  • pro velké obchodníky (Úroveň 1) poskytujeme PCI-paket, který může zkrátit dobu ověření PCI z měsíců na dny. Pokud potřebujete pracovat s PCI QSA (protože můžete ukládat údaje o kreditní kartě, nebo mají složitější platba flow), existuje více než 350 takové QSA společností po celém světě, a můžeme vás spojit s několika auditorů, kteří hluboce pochopit různé Stripe integrační metody.
Vízum je Obchodní Úroveň Průměrný čas kontroly (roční odhady) Průměrný čas kontroly s Pruhem Prvky, Pokladna nebo Mobilní SDK (roční odhady)
Level 1 3-5 měsíců 2-5 dnů
Úroveň 2 1-3 měsíce 0 dní
Úroveň 3 1-3 měsíce 0 dní
Úroveň 4 1-3 měsíce 0 dní

Pro více informací o tom, jak Stripe pomáhá chránit váš data zákazníků a dosažení souladu s PCI, podívejte se na naše dokumenty o bezpečnosti integrace.

závěr

posouzení a ověření souladu PCI se obvykle děje jednou ročně, ale shoda PCI není jednorázová událost — je to nepřetržité a značné úsilí o hodnocení a nápravu. Jak společnost roste, bude se vyvíjet i základní obchodní logika a procesy, což znamená, že se budou vyvíjet i požadavky na dodržování předpisů. Například online obchod se může rozhodnout otevřít fyzické obchody, vstoupit na nové trhy nebo spustit centrum zákaznické podpory. Pokud se něco nového týká údajů o platebních kartách, je dobré proaktivně zkontrolovat, zda to má nějaký dopad na vaši metodu ověření PCI, a podle potřeby znovu ověřit shodu s PCI.

dodržování PCI pomáhá. To prostě nestačí.

dodržování pokynů PCI DSS je nezbytnou vrstvou ochrany pro vaše podnikání – ale to nestačí. PCI DSS stanoví důležité standardy pro manipulaci a ukládání dat držitelů karet, ale sama o sobě neposkytuje dostatečnou ochranu pro každé platební prostředí. Místo toho je přechod na bezpečnější metodu přijímání karet (jako je Stripe Checkout, Elements a mobile SDK) mnohem účinnějším způsobem, jak chránit vaši organizaci. Dlouhodobým přínosem, který poskytuje, je to, že se nemusíte spoléhat na základní standardy v oboru nebo se obávat možného selhání bezpečnostních kontrol. Tento přístup poskytuje agilní podniky způsob, jak zmírnit potenciální narušení dat a vyhnout emocionální, časově náročné a nákladné historický přístup k PCI validace. Nemluvě o tom, že bezpečnější integrační metoda je spolehlivá každý den v roce.

zpět na průvodce

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.

More: