Stripe logo
Articles
0 Comments

Stripe logo

2005 óta több mint 11 milliárd fogyasztói rekordot veszélyeztettek több mint 8500 adatsértés miatt. Ezek a Privacy Rights Clearinghouse legfrissebb számai, amelyek a fogyasztókat érintő adatsértésekről és biztonsági megsértésekről számolnak be 2005-ig.

a fogyasztói adatok biztonságának és a Fizetési ökoszisztémába vetett bizalomnak a javítása érdekében létrehoztak egy minimális adatbiztonsági szabványt. A Visa, A Mastercard, az American Express, a Discover és a JCB 2006-ban megalapította a Payment Card Industry Security Standards Council-t (PCI SSC), hogy kezelje és kezelje a hitelkártya-adatokat kezelő vállalatok biztonsági szabványait. A PCI SSC létrehozása előtt ez az öt hitelkártya—társaság saját biztonsági szabványokkal rendelkezett-mindegyik nagyjából hasonló követelményekkel és célokkal. A PCI SSC-n keresztül összefogtak, hogy összehangolják az egyik szabványos politikát, a PCI adatbiztonsági szabványokat (más néven PCI DSS), hogy biztosítsák a fogyasztók és a bankok védelmének alapszintjét az Internet korában.

a PCI DSS megértése összetett és kihívást jelentő lehet

ha üzleti modellje megköveteli a kártyaadatok kezelését, előfordulhat, hogy meg kell felelnie a PCI DSS több mint 300 biztonsági ellenőrzésének. A PCI Tanács több mint 1800 oldalnyi hivatalos dokumentációt tett közzé a PCI DSS-ről, és több mint 300 oldal csak azért, hogy megértse, mely űrlap(oka) t kell használni a megfelelés érvényesítéséhez. Ez több mint 72 órát vesz igénybe, csak olvasni.

e teher csökkentése érdekében az alábbiakban lépésről lépésre bemutatjuk a PCI-megfelelés érvényesítését és fenntartását.

a PCI Data Security Standard (PCI DSS) áttekintése

a PCI DSS a globális biztonsági szabvány minden olyan szervezet számára, amely kártyabirtokos adatokat és/vagy érzékeny hitelesítési adatokat tárol, dolgoz fel vagy továbbít. A PCI DSS meghatározza a fogyasztók védelmének alapszintjét, és segít csökkenteni a csalásokat és az adatsértéseket a teljes fizetési ökoszisztémában. Minden olyan szervezetre alkalmazható, amely elfogadja vagy feldolgozza a fizetési kártyákat.

a PCI DSS megfelelés 3 fő dolgot foglal magában:

  1. az ügyfelektől érkező hitelkártya-adatok beérkezésének kezelése, nevezetesen az érzékeny kártyaadatok biztonságos gyűjtése és továbbítása
  2. az adatok biztonságos tárolása, amelyet a PCI szabvány 12 biztonsági tartománya vázol fel, mint például a titkosítás, a folyamatos megfigyelés és a kártyaadatokhoz való hozzáférés biztonsági tesztelése
  3. évente annak ellenőrzése, hogy a szükséges biztonsági ellenőrzések rendelkezésre állnak-e, amelyek magukban foglalhatják az űrlapokat, kérdőíveket, külső sebezhetőségi szkennelési szolgáltatásokat és a 3rd party auditokat (lásd az alábbi lépésről lépésre szóló útmutatót a táblázat négy szintjével követelmények)

kártyaadatok kezelése

egyes üzleti modellek megkövetelik az érzékeny hitelkártya-adatok közvetlen kezelését a fizetések elfogadásakor, míg mások nem. Azoknak a vállalatoknak, amelyeknek kezelniük kell a kártyaadatokat (például el kell fogadniuk a nem tokenizált serpenyőket egy fizetési oldalon), meg kell felelniük a PCI DSS 300+ biztonsági ellenőrzésének. Még akkor is, ha a kártyaadatok csak rövid ideig haladnak át a szerverein, a vállalatnak biztonsági szoftvereket és hardvert kell vásárolnia, bevezetnie és karbantartania.

ha egy vállalatnak nem kell érzékeny hitelkártya-adatokat kezelnie, akkor nem szabad. harmadik féltől származó megoldások (pl. Stripe elemek) biztonságosan elfogadják és tárolják az adatokat, jelentős bonyolultságot, költséget és kockázatot vállalva. Mivel a kártyaadatok soha nem érintik a szervereit, a vállalatnak csak 22 biztonsági ellenőrzést kell megerősítenie, amelyek többsége egyszerű, például erős jelszavak használata.

adatok biztonságos tárolása

ha egy szervezet hitelkártya-adatokat kezel vagy tárol, meg kell határoznia a kártyabirtokos adatkörnyezetének (CDE) hatókörét. A PCI DSS úgy definiálja a CDE—t, mint azokat az embereket, folyamatokat és technológiákat, amelyek tárolják, feldolgozzák vagy továbbítják a hitelkártya-adatokat-vagy bármely hozzá kapcsolódó rendszert. Mivel a PCI DSS összes 300+ biztonsági követelménye a CDE-re vonatkozik, fontos, hogy a Fizetési környezetet megfelelően szegmentáljuk a vállalkozás többi részétől, hogy korlátozzuk a PCI érvényesítés hatókörét. Ha egy szervezet nem tudja a CDE hatókört részletezett szegmentálással tárolni, akkor a PCI biztonsági vezérlők a vállalati hálózat minden rendszerére, laptopjára és eszközére vonatkoznak. Fúj!

éves érvényesítés

a kártyaadatok elfogadásának módjától függetlenül a szervezeteknek évente ki kell tölteniük a PCI érvényesítési űrlapot. A PCI-megfelelés érvényesítésének módja számos tényezőtől függ, amelyeket az alábbiakban ismertetünk. Íme 3 forgatókönyv, amelyben egy szervezetet fel lehet kérni annak bizonyítására, hogy PCI-kompatibilis:

  • a fizetési feldolgozók kérhetik azt a fizetési kártya márkáknak történő kötelező jelentésük részeként
  • az üzleti partnerek kérhetik azt az üzleti megállapodások megkötésének előfeltételeként
  • platform vállalkozások számára (azok számára, akiknek technológiája lehetővé teszi az online tranzakciókat több különálló felhasználói csoport között), az ügyfelek kérhetik, hogy megmutassák ügyfeleiknek, hogy biztonságosan kezelik az adatokat

a legújabb biztonsági szabványok, PCI DSS Verzió 3.2.1, 12 fő követelményt tartalmaz, több mint 300 alkövetelménnyel, amelyek tükrözik a biztonsági bevált gyakorlatokat.

    biztonságos hálózat és rendszerek kiépítése és karbantartása

  1. Tűzfalkonfiguráció telepítése és karbantartása a kártyabirtokos adatainak védelme érdekében
  2. ne használja a gyártó által megadott alapértékeket a rendszerjelszavakhoz és egyéb biztonsági paraméterekhez

    3. Kártyabirtokos adatainak védelme

  3. tárolt kártyabirtokos adatok védelme
  4. a kártyabirtokosok adatainak nyílt vagy nyilvános hálózatokon keresztüli továbbításának titkosítása

    5. biztonsági rés-kezelő program fenntartása

  5. minden rendszer védelme a rosszindulatú programok ellen és a vírusirtó szoftverek rendszeres frissítése
  6. biztonságos rendszerek és alkalmazások

    7. szigorú hozzáférés-ellenőrzési intézkedések végrehajtása

  7. a kártyabirtokos adatokhoz való hozzáférés korlátozása üzleti igények szerint
  8. a rendszerösszetevőkhöz való hozzáférés azonosítása és hitelesítése
  9. a kártyabirtokos adatokhoz való fizikai hozzáférés korlátozása

    10. a hálózatok rendszeres ellenőrzése és tesztelése

  10. a hálózati erőforrásokhoz való hozzáférés nyomon követése és nyomon követése, valamint kártyabirtokos adatai
  11. rendszeresen tesztelje a biztonsági rendszereket és folyamatokat

    12. információbiztonsági házirend fenntartása

  12. olyan házirend fenntartása, amely mindenki számára az információbiztonsággal foglalkozik személyzet

annak érdekében, hogy az új vállalkozások “könnyebben” érvényesíthessék a PCI-megfelelést, a PCI Tanács kilenc különböző formát vagy önértékelési kérdőívet (SAQ) hozott létre, amelyek a teljes PCI DSS követelmény részhalmazát képezik. A trükk az, hogy kitaláljuk, melyik alkalmazható, vagy fel kell-e bérelni egy PCI Tanács által jóváhagyott auditort annak ellenőrzésére, hogy az egyes PCI DSS biztonsági követelmények teljesültek-e. Ezenkívül a PCI Tanács háromévente felülvizsgálja a szabályokat, és az év során fokozatosan frissíti a frissítéseket, még dinamikusabbá téve a komplexitást.

lépésről lépésre útmutató a PCI DSS v3.2.1 megfelelőséghez

a PCI megfelelőség elérésének első lépése annak ismerete, hogy mely követelmények vonatkoznak a szervezetére. Négy különböző PCI-megfelelőségi szint létezik, jellemzően az üzleti folyamatok 12 hónapos időszakának hitelkártya-tranzakcióinak mennyiségén alapul.

követelményekre vonatkozik
Szint 1
  1. szervezetek, amelyek évente több mint 6 millió Visa vagy MasterCard Tranzakció, vagy több mint 2.5 millió az American Express számára; vagy
  2. adatsértést tapasztaltak; vagy
  3. bármely kártyaszövetség (Visa, Mastercard STB.) “1. szintnek” tekinti)
  1. éves megfelelőségi jelentés (ROC) minősített biztonsági értékelő által (QSA) – más néven 1. szintű helyszíni értékelés—vagy belső ellenőr, ha a vállalat tisztviselője írja alá
  2. negyedéves hálózati vizsgálat jóváhagyott szkennelési szállítóval (ASV)
  3. megfelelőségi igazolás (AOC) a helyszíni értékelésekhez-a kereskedők és a szolgáltatók számára külön formanyomtatványok állnak rendelkezésre
2. szint szervezetek, amelyek a 1-6 millió tranzakció évente
  1. éves PCI DSS önértékelési kérdőív (SAQ) – az alábbi táblázatban 9 SAQ Típus található röviden
  2. negyedéves hálózati vizsgálat jóváhagyott szkennelési szállítóval (ASV)
  3. megfelelőségi igazolás (AOC)—a 9 SAQ mindegyike rendelkezik megfelelő AOC-formával
szint 3
  1. szervezetek, amelyek évente 20 000-1 millió online tranzakciót dolgoznak fel
  2. szervezetek, amelyek évente kevesebb, mint 1 millió tranzakciót dolgoznak fel
szint 4
  1. szervezetek, amelyek évente kevesebb mint 20 000 online tranzakciót dolgoznak fel; vagy
  2. szervezetek, amelyek évente legfeljebb 1 millió tranzakciót dolgoznak fel

a 2-4.szintnél a Fizetési integrációs módszertől függően különböző SAQ típusok léteznek. Itt egy rövid táblázat:

SAQ leírás
a

kártya nélküli kereskedők (e-kereskedelem vagy postai/telefonos megrendelés), amelyek teljes mértékben kiszervezték a kártyabirtokos összes adatfunkcióját PCI DSS-kompatibilis harmadik fél szolgáltatóknak, a kártyabirtokos adatainak elektronikus tárolása, feldolgozása vagy továbbítása nélkül a kereskedő rendszereiben vagy helyiségeiben.

nem alkalmazható személyes csatornákra.
A-EP

E-kereskedelmi kereskedők, akik az összes fizetésfeldolgozást kiszervezik a PCI DSS által hitelesített harmadik feleknek, és akiknek olyan webhelye(I) van, amely nem kap közvetlenül kártyabirtokos adatokat, de ez befolyásolhatja a fizetési tranzakció biztonságát. A kártyabirtokos adatainak elektronikus tárolása, feldolgozása vagy továbbítása a kereskedő rendszereiben vagy helyiségeiben nem lehetséges.

csak az e-kereskedelmi csatornákra vonatkozik.
B

kereskedők csak:

  • Lenyomatgépek elektronikus kártyabirtokos Adattárolás nélkül és/vagy
  • önálló, tárcsázó terminálok elektronikus kártyabirtokos Adattárolás nélkül.

nem alkalmazható e-kereskedelmi csatornákra.
B-IP

kereskedők csak önálló, PTS által jóváhagyott fizetési terminálokat használnak, amelyek IP-kapcsolattal rendelkeznek a Fizetési processzorral, elektronikus kártyabirtokos adattárolása nélkül.

nem alkalmazható e-kereskedelmi csatornákra.
C-VT

kereskedők, akik egyszerre egyetlen tranzakciót vezetnek be billentyűzeten keresztül egy internetalapú, virtuális fizetési terminál megoldásba, amelyet egy PCI DSS-validált harmadik fél szolgáltatója biztosít és üzemeltet. Nincs elektronikus kártyabirtokos Adattárolás.

nem alkalmazható e-kereskedelmi csatornákra.
C

az internethez csatlakoztatott fizetési alkalmazásrendszerekkel rendelkező kereskedők, nincs elektronikus kártyabirtokos adattárolása.

nem alkalmazható e-kereskedelmi csatornákra.
P2PE

olyan kereskedők, akik csak olyan hardveres fizetési terminálokat használnak, amelyek validált, PCI SSC-jegyzékben szereplő pont-pont titkosítási (P2PE) megoldással vannak ellátva, elektronikus kártyabirtokos Adattárolás nélkül.

nem vonatkozik az e-kereskedelmi kereskedőkre.
D

SAQ D Kereskedőknek: Minden kereskedő, aki nem szerepel a fenti SAQ típusok leírásában.

SAQ D szolgáltatók számára: minden olyan szolgáltató, amelyet egy fizetési márka úgy határoz meg, hogy jogosult a SAQ kitöltésére.

a szervezetére leginkább érvényes SAQ-és tanúsítási dokumentumok kiválasztásához a jelen PCI-dokumentum 18. oldalán található folyamatábra segíthet.

a PCI DSS követelményei idővel változnak, így az egyik legjobb módja annak, hogy frissítéseket kapjon az új vagy változó tanúsítási követelményekről, és hogyan teljesítse őket, ha PCI-résztvevő szervezetgé (PO) válik.

térképezze fel az adatfolyamokat

mielőtt megvédené az érzékeny hitelkártya-adatokat, tudnia kell, hol él és hogyan jut el oda. Átfogó térképet szeretne készíteni azokról a rendszerekről, hálózati kapcsolatokról és alkalmazásokról, amelyek a szervezet hitelkártya-adataival kölcsönhatásba lépnek. A szerepétől függően valószínűleg együtt kell működnie az informatikai és biztonsági csapatával.

  • először azonosítsa a vállalkozás minden olyan fogyasztói területét, amely fizetési tranzakciókat tartalmaz. Például elfogadhat fizetéseket online bevásárlókosáron, bolti fizetési terminálokon vagy telefonon leadott megrendeléseken keresztül.
  • ezután határozza meg a kártyabirtokos adatainak kezelését az üzlet egész területén. Fontos tudni, hogy pontosan hol tárolják az adatokat,és ki fér hozzá.
  • ezután azonosítsa a fizetési tranzakciókat érintő belső rendszereket vagy mögöttes technológiákat. Ez magában foglalja a hálózati rendszereket, az adatközpontokat és a felhőkörnyezeteket.

ellenőrizze a biztonsági vezérlőket és protokollokat

miután feltérképezte a hitelkártya-adatok összes lehetséges érintkezési pontját a szervezeten belül, működjön együtt az IT-vel és a biztonsági csapatokkal a megfelelő biztonsági konfigurációk és protokollok biztosítása érdekében (lásd a PCI DSS 12 biztonsági követelményének listáját fent). Ezeket a protokollokat úgy tervezték, hogy biztosítsák az adatátvitelt, mint például a Transport Layer Security (TLS).

a 12 biztonsági követelmények PCI DSS v3.2.1 erednek a legjobb gyakorlatok védelme érzékeny adatok minden üzleti. Számos átfedés van azokkal, amelyek megfelelnek a GDPR, a HIPAA és más adatvédelmi előírásoknak, így néhány közülük már érvényben lehet a szervezetében.

Monitor and maintenance

fontos megjegyezni, hogy a PCI megfelelés nem egyszeri esemény. Ez egy folyamatos folyamat annak biztosítására, hogy vállalkozása továbbra is megfelelő maradjon, még akkor is, ha az adatáramlás és az ügyfelek érintkezési pontjai fejlődnek. Egyes hitelkártya-márkák megkövetelhetik, hogy negyedéves vagy éves jelentéseket nyújtson be, vagy végezzen éves helyszíni értékelést a folyamatos megfelelés érvényesítése érdekében, különösen, ha évente több mint 6 millió tranzakciót dolgoz fel.

a PCI-megfelelőség kezelése egész évben (és évről évre) gyakran részlegek közötti támogatást és együttműködést igényel. Ha ez még nem létezik, érdemes lehet belsőleg létrehozni egy dedikált csapatot a megfelelés megfelelő fenntartása érdekében. Bár minden vállalat egyedi, a “PCI csapat” jó kiindulópontja a következők képviselete lenne:

  • biztonság: a Chief Security Officer( CSO), a Chief Information Security Officer (CISO) és csapataik biztosítják, hogy a szervezet mindig megfelelően befektessen a szükséges adatbiztonsági és Adatvédelmi erőforrásokba és irányelvekbe.
  • technológia / fizetés: a technológiai vezérigazgató (CTO), a fizetések alelnöke és csapatai gondoskodnak arról, hogy az alapvető eszközök, az integrációk és az infrastruktúra megfeleljenek a szervezet rendszereinek fejlődésével.
  • pénzügy: a pénzügyi vezérigazgató (CFO) és csapata biztosítja, hogy minden fizetési adatfolyam elszámolásra kerüljön a fizetési rendszerek és a partnerek esetében.
  • Legal: ez a csapat segíthet eligazodni a PCI DSS megfelelés számos jogi árnyalatában.

a PCI compliance komplex világával kapcsolatos további információkért látogasson el a PCI Security Standards Council weboldalára. Ha csak ezt az útmutatót és néhány más PCI dokumentumot olvassa el, javasoljuk, hogy ezekkel kezdje: kiemelt megközelítés a PCI DSS – hez, SAQ utasítások és iránymutatások, GYIK a SAQ jogosultsági kritériumok használatáról a helyszíni értékelési követelmények meghatározásához, valamint GYIK a kereskedők kötelezettségeiről, amelyek alkalmazásokat fejlesztenek a fizetési kártya adatait elfogadó fogyasztói eszközökhöz.

hogyan segíti a Stripe a szervezeteket a PCI-megfelelőség elérésében és fenntartásában?

a Stripe jelentősen leegyszerűsíti a PCI-terheket azon vállalatok számára, amelyek integrálják a Checkout, az Elements, a mobil SDK-kat és a terminál SDK-kat. A Stripe Checkout és a Stripe Elements egy tárolt fizetési mezőt használ az összes fizetési kártya adat kezelésére, így a kártyabirtokos minden érzékeny fizetési információt bevisz egy olyan fizetési mezőbe, amely közvetlenül a PCI DSS validált szervereinkről származik. A Stripe mobil és terminál SDK-k lehetővé teszik a kártyabirtokosnak, hogy érzékeny fizetési információkat küldjön közvetlenül a PCI DSS validált szervereinkre.

az ilyen biztonságosabb kártyaelfogadási módszerekkel feltöltjük a PCI űrlapot (SAQ) a Stripe műszerfalon, így a PCI érvényesítése olyan egyszerű, mint egy gombra kattintás. Kisebb szervezeteknél ez több száz órányi munkát takaríthat meg, nagyobbaknál ez ezreket takaríthat meg.

minden felhasználó számára, függetlenül az integráció típusától, a Stripe PCI szószólóként működik, és néhány különböző módon segíthet.

  • elemezzük az integrációs módszert, és tanácsot adunk Önnek arról, hogy melyik PCI űrlapot használja, és hogyan csökkentheti a megfelelőségi terheket.
  • előre értesítjük Önt, ha a növekvő tranzakciós volumen miatt módosítani kell a megfelelőség érvényesítésének módját.
  • nagy kereskedők számára (1. szint) olyan PCI-csomagot biztosítunk, amely hónapokról napokra csökkentheti a PCI érvényesítési időt. Ha PCI QSA-val kell dolgoznia (mert hitelkártya-adatokat tárol, vagy összetettebb fizetési folyamattal rendelkezik), több mint 350 ilyen QSA-vállalat van szerte a világon, és kapcsolatba tudunk hozni több auditorral, akik mélyen megértik a különböző Stripe integrációs módszereket.
Visa kereskedői szintje átlagos ellenőrzési idő (éves becslések) átlagos ellenőrzési idő csíkos elemekkel, Pénztárral vagy mobil SDK-val (éves becslések)
1. szint 3-5 hónap 2-5 nap
2. szint 1-3 hónap 0 nap
3. szint 1-3 hónap 0 nap
4. szint 1-3 hónap 0 nap

További információ arról, hogyan Stripe segít megvédeni a az ügyfelek adatai és a PCI-megfelelés elérése érdekében tekintse meg az integrációs biztonságról szóló dokumentumainkat.

következtetés

a PCI-megfelelés értékelése és érvényesítése általában évente egyszer történik, de a PCI — megfelelés nem egyszeri esemény-ez folyamatos és jelentős erőfeszítés az értékelésre és a helyreállításra. A vállalat növekedésével az alapvető üzleti logika és folyamatok is növekedni fognak, ami azt jelenti, hogy a megfelelőségi követelmények is fejlődnek. Például egy online vállalkozás dönthet úgy, hogy fizikai üzleteket nyit, új piacokra lép, vagy ügyfélszolgálati központot indít. Ha valami új a fizetési kártya adataival kapcsolatos, célszerű proaktívan ellenőrizni, hogy ez hatással van-e a PCI érvényesítési módszerére, és szükség esetén újra érvényesíteni a PCI megfelelőséget.

a PCI megfelelés segít. Ez nem elég.

a PCI DSS irányelvek betartása szükséges védelmi réteg az Ön vállalkozása számára — de ez nem elég. A PCI DSS fontos szabványokat állít fel a kártyabirtokosok adatainak kezelésére és tárolására, de önmagában nem nyújt megfelelő védelmet minden fizetési környezet számára. Ehelyett a biztonságosabb kártyaelfogadási módszerre való áttérés (például a Stripe Checkout, az elemek és a mobil SDK-k) sokkal hatékonyabb módja a szervezet védelmének. Ennek hosszú távú előnye, hogy nem kell támaszkodnia az iparági alapkövetelményekre, vagy aggódnia kell a biztonsági ellenőrzések esetleges meghibásodása miatt. Ez a megközelítés lehetővé teszi az agilis vállalkozások számára, hogy enyhítsék az esetleges adatsértéseket, és elkerüljék a PCI-validálás érzelmi, időigényes és költséges történeti megközelítését. Arról nem is beszélve, hogy a biztonságosabb integrációs módszer az év minden napján megbízható.

vissza az útmutatókhoz

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

More: