od 2005 roku ponad 11 miliardów rekordów konsumenckich zostało naruszonych w wyniku ponad 8500 naruszeń danych. Są to najnowsze numery z Privacy rights Clearinghouse, który donosi o naruszeniach danych i naruszeniach bezpieczeństwa mających wpływ na konsumentów z 2005 roku.
aby poprawić bezpieczeństwo danych konsumentów i zaufanie do ekosystemu płatności, stworzono minimalny standard bezpieczeństwa danych. Visa, Mastercard, American Express, Discover i JCB utworzyły Payment Card Industry Security Standards Council (PCI SSC) w 2006 roku w celu zarządzania standardami bezpieczeństwa dla firm, które obsługują Dane kart kredytowych. Przed ustanowieniem PCI SSC, te pięć firm zajmujących się kartami kredytowymi miało własne programy standardów bezpieczeństwa—każdy z mniej więcej podobnymi wymaganiami i celami. Połączyły się one poprzez PCI SSC, aby dostosować jedną standardową politykę, standardy bezpieczeństwa danych PCI (znane jako PCI DSS), aby zapewnić podstawowy poziom ochrony konsumentów i banków w erze Internetu.
- zrozumienie standardu PCI DSS może być skomplikowane i wymagające
- przegląd standardu bezpieczeństwa danych PCI (PCI DSS)
- Obsługa danych karty
- bezpieczne przechowywanie danych
- weryfikacja roczna
- Zbuduj i utrzymuj bezpieczną sieć i systemy
- Chroń dane posiadacza karty
- utrzymywanie programu zarządzania lukami w zabezpieczeniach
- wdrażaj silne środki kontroli dostępu
- regularnie monitoruj i testuj sieci
- utrzymuj politykę bezpieczeństwa informacji
- krok po kroku przewodnik po zgodności z PCI DSS v3.2.1
- Mapuj przepływy danych
- Sprawdź mechanizmy kontroli zabezpieczeń i protokoły
- monitoruj i utrzymuj
- jak Stripe pomaga organizacjom osiągnąć i utrzymać zgodność z PCI
- podsumowanie
- zgodność z PCI pomaga. To nie wystarczy.
zrozumienie standardu PCI DSS może być skomplikowane i wymagające
jeśli twój model biznesowy wymaga obsługi danych karty, może być wymagane spełnienie każdego z ponad 300 zabezpieczeń w interfejsie PCI DSS. Istnieje ponad 1800 stron oficjalnej dokumentacji, opublikowanej przez Radę PCI, dotyczącej PCI DSS, i ponad 300 stron, aby zrozumieć, które formy(y) należy użyć podczas sprawdzania zgodności. Przeczytanie tego zajmie ponad 72 godziny.
aby zmniejszyć to obciążenie, poniżej znajduje się przewodnik krok po kroku dotyczący sprawdzania i utrzymywania zgodności z PCI.
przegląd standardu bezpieczeństwa danych PCI (PCI DSS)
PCI DSS to globalny standard bezpieczeństwa dla wszystkich podmiotów, które przechowują, przetwarzają lub przesyłają dane posiadacza karty i/lub poufne dane uwierzytelniające. PCI DSS wyznacza podstawowy poziom ochrony konsumentów i pomaga ograniczyć oszustwa i naruszenia danych w całym ekosystemie płatności. Ma zastosowanie do każdej organizacji, która akceptuje lub przetwarza karty płatnicze.
zgodność z PCI DSS obejmuje 3 główne rzeczy:
- Obsługa wnikania danych kart kredytowych od klientów, a mianowicie, że poufne dane karty są gromadzone i przesyłane w bezpieczny sposób
- bezpieczne przechowywanie danych, co jest opisane w 12 domenach bezpieczeństwa standardu PCI, takich jak szyfrowanie, bieżące monitorowanie i testowanie bezpieczeństwa dostępu do danych karty
- sprawdzanie co roku, czy istnieją wymagane kontrole bezpieczeństwa, które mogą obejmować formularze, kwestionariusze, zewnętrzne usługi skanowania luk w zabezpieczeniach i audyty stron (patrz Przewodnik krok po kroku poniżej, aby uzyskać tabelę z czterema poziomami wymagania)
Obsługa danych karty
niektóre modele biznesowe wymagają bezpośredniej obsługi poufnych danych karty kredytowej podczas przyjmowania płatności, podczas gdy inne nie. Firmy, które muszą obsługiwać dane karty (np. akceptując Untokenized PANs na stronie płatności) mogą być zobowiązane do spełnienia każdej z ponad 300 kontroli bezpieczeństwa w PCI DSS. Nawet jeśli dane karty tylko przez krótki czas przemierzają jej serwery, firma musiałaby zakupić, wdrożyć i konserwować oprogramowanie zabezpieczające i sprzęt.
jeśli firma nie musi obsługiwać poufnych danych karty kredytowej, nie powinna. rozwiązania innych firm (np. elementy Stripe) bezpiecznie akceptują i przechowują dane, eliminując znaczną złożoność, koszty i ryzyko. Ponieważ dane karty nigdy nie dotykają jej serwerów, firma musiałaby potwierdzić tylko 22 kontrole bezpieczeństwa, z których większość jest prosta, na przykład przy użyciu silnych haseł.
bezpieczne przechowywanie danych
jeśli organizacja obsługuje lub przechowuje dane karty kredytowej, musi zdefiniować zakres środowiska danych posiadacza karty (CDE). PCI DSS definiuje CDE jako osoby, procesy i technologie, które przechowują, przetwarzają lub przesyłają dane karty kredytowej—lub dowolny system z nią połączony. Ponieważ wszystkie 300 + wymagania bezpieczeństwa w PCI DSS mają zastosowanie do CDE, ważne jest, aby odpowiednio oddzielić środowisko płatności od reszty firmy, aby ograniczyć zakres walidacji PCI. Jeśli organizacja nie jest w stanie zawrzeć zakresu CDE z segmentacją szczegółową, kontrole bezpieczeństwa PCI będą miały zastosowanie do każdego systemu, laptopa i urządzenia w sieci korporacyjnej. Jejku!
weryfikacja roczna
niezależnie od tego, w jaki sposób dane karty są akceptowane, organizacje muszą co roku wypełniać formularz weryfikacji PCI. Sposób walidacji zgodności z PCI zależy od wielu czynników, które przedstawiono poniżej. Oto 3 scenariusze, w których organizacja może zostać poproszona o wykazanie, że jest zgodna z PCI:
- podmioty przetwarzające płatności mogą zażądać tego w ramach wymaganego raportowania do marek kart płatniczych
- partnerzy biznesowi mogą zażądać tego jako warunku zawarcia umów biznesowych
- dla firm platformowych (tych, których technologia ułatwia transakcje online między wieloma różnymi zestawami użytkowników), klienci mogą zażądać tego, aby pokazać swoim klientom, że bezpiecznie przetwarzają dane
najnowszy zestaw kart płatniczych
- Zainstaluj i utrzymuj konfigurację zapory w celu ochrony danych posiadacza karty
- nie używaj domyślnych haseł systemowych i innych parametrów bezpieczeństwa dostarczonych przez producenta
- Chroń przechowywane dane posiadacza karty
- szyfrowanie transmisji danych posiadacza karty przez otwarte lub publiczne sieci
- Chroń wszystkie systemy przed złośliwym oprogramowaniem i regularnie aktualizuj oprogramowanie antywirusowe
- opracowuj i utrzymuj bezpieczne systemy i aplikacje
- Ogranicz dostęp do danych posiadaczy kart według potrzeb biznesowych
- Identyfikuj i uwierzytelniaj dostęp do komponentów systemu
- Ogranicz fizyczny dostęp do danych posiadaczy kart
- Śledź i monitoruj cały dostęp do zasobów sieci i danych posiadaczy kart
- regularnie testuj systemy i procesy bezpieczeństwa
- utrzymuj politykę, która dotyczy bezpieczeństwa informacji dla wszystkich personel
Zbuduj i utrzymuj bezpieczną sieć i systemy
Chroń dane posiadacza karty
utrzymywanie programu zarządzania lukami w zabezpieczeniach
wdrażaj silne środki kontroli dostępu
regularnie monitoruj i testuj sieci
utrzymuj politykę bezpieczeństwa informacji
aby ułatwić nowym firmom sprawdzanie zgodności z PCI, Rada PCI stworzyła dziewięć różnych formularzy lub kwestionariuszy samooceny (SAQ), które są podzbiorem całego wymogu PCI DSS. Sztuczka polega na ustaleniu, który ma zastosowanie lub czy konieczne jest zatrudnienie audytora zatwierdzonego przez Radę PCI w celu sprawdzenia, czy każdy wymóg bezpieczeństwa PCI DSS został spełniony. Ponadto Rada PCI dokonuje przeglądu przepisów co trzy lata i wydaje aktualizacje przyrostowe przez cały rok, dodając jeszcze bardziej dynamiczną złożoność.
krok po kroku przewodnik po zgodności z PCI DSS v3.2.1
pierwszym krokiem do osiągnięcia zgodności z PCI jest wiedza, które wymagania mają zastosowanie do Twojej organizacji. Istnieją cztery różne poziomy zgodności PCI, zazwyczaj oparte na wolumenie transakcji kartą kredytową procesów biznesowych w okresie 12 miesięcy.
dotyczy | wymagań | |
Poziom 1 |
|
|
Poziom 2 | organizacje, które przetwarzają między 1-6 mln transakcji rocznie |
|
Poziom 3 |
|
|
Poziom 4 |
|
dla poziomu 2-4 istnieją różne typy SAQ w zależności od metody integracji płatności. Oto krótka tabela:
SAQ | opis |
A |
sprzedawcy nieposiadający kart (handel elektroniczny lub zamówienia pocztowe/telefoniczne), którzy w pełni zlecili wszystkie funkcje danych posiadacza karty zewnętrznym dostawcom usług zgodnym z PCI DSS, bez elektronicznego przechowywania, przetwarzania lub przesyłania danych posiadacza karty w systemach lub lokalach sprzedawcy. Nie dotyczy kanałów bezpośrednich. |
a-EP |
sprzedawcy E-commerce, którzy zlecają przetwarzanie płatności stronom trzecim zatwierdzonym przez PCI DSS i którzy mają stronę internetową, która nie otrzymuje bezpośrednio danych posiadacza karty, ale może mieć wpływ na bezpieczeństwo transakcji płatniczej. Brak elektronicznego przechowywania, przetwarzania lub przesyłania danych posiadacza karty w systemach lub lokalach sprzedawcy. dotyczy tylko kanałów e-commerce. |
B |
Kupcy używający tylko:
Nie dotyczy kanałów e-commerce. |
B-IP |
sprzedawcy korzystający wyłącznie z autonomicznych terminali płatniczych zatwierdzonych przez PTS z połączeniem IP z procesorem płatności bez przechowywania danych posiadacza karty elektronicznej. Nie dotyczy kanałów e-commerce. |
C-VT |
sprzedawcy, którzy ręcznie wprowadzają pojedynczą transakcję za pomocą klawiatury w internetowym, wirtualnym terminalu płatniczym dostarczanym i hostowanym przez zewnętrznego dostawcę usług zatwierdzonego przez PCI DSS. Brak elektronicznego przechowywania danych posiadacza karty. Nie dotyczy kanałów e-commerce. |
C |
Sprzedawcy z systemami aplikacji płatniczych połączonymi z Internetem, bez przechowywania danych posiadacza karty elektronicznej. Nie dotyczy kanałów e-commerce. |
P2pe |
sprzedawcy korzystający wyłącznie ze sprzętowych terminali płatniczych zawartych w sprawdzonym rozwiązaniu PCI SSC z listą Point-to-Point Encryption (P2pe) i zarządzanych za pomocą sprawdzonego rozwiązania PCI SSC (Point-to-Point Encryption), bez przechowywania danych posiadaczy kart elektronicznych. Nie dotyczy sprzedawców handlu elektronicznego. |
D |
SAQ D dla kupców: wszyscy kupcy nieuwzględnieni w opisach powyższych typów SAQ. SAQ D Dla dostawców usług: wszyscy dostawcy usług zdefiniowani przez markę płatniczą jako uprawnieni do wypełnienia SAQ. |
aby wybrać dokumenty SAQ i Atestacji, które najlepiej pasują do Twojej organizacji, może pomóc SCHEMAT BLOKOWY na stronie 18 tego dokumentu PCI.
wymagania PCI DSS zmieniają się z czasem, więc jednym z najlepszych sposobów na otrzymywanie aktualizacji dotyczących nowych lub zmieniających się wymagań certyfikacyjnych i ich spełniania jest stanie się organizacją uczestniczącą w PCI (PO).
Mapuj przepływy danych
zanim będziesz mógł chronić poufne dane kart kredytowych, musisz wiedzieć, gdzie one mieszkają i jak się tam znajdują. Będziesz chciał stworzyć kompleksową mapę systemów, połączeń sieciowych i aplikacji, które współdziałają z danymi kart kredytowych w całej organizacji. W zależności od roli, prawdopodobnie będziesz musiał współpracować z zespołem IT i bezpieczeństwa, aby to zrobić.
- po pierwsze, określ każdy obszar działalności konsumenckiej, który obejmuje transakcje płatnicze. Na przykład możesz akceptować płatności za pośrednictwem internetowego koszyka na zakupy, terminali płatniczych w sklepie lub zamówień złożonych przez telefon.
- następnie wskaż różne sposoby obsługi danych posiadacza karty w całej firmie. Ważne jest, aby dokładnie wiedzieć, gdzie przechowywane są dane i kto ma do nich dostęp.
- następnie określ wewnętrzne systemy lub podstawowe technologie, które dotykają transakcji płatniczych. Obejmuje to systemy sieciowe, centra danych i środowiska w chmurze.
Sprawdź mechanizmy kontroli zabezpieczeń i protokoły
po mapowaniu wszystkich potencjalnych punktów styku danych kart kredytowych w całej organizacji, współpracuj z zespołami IT i ds. bezpieczeństwa, aby zapewnić właściwe konfiguracje zabezpieczeń i protokoły (patrz lista 12 wymagań bezpieczeństwa dla PCI DSS powyżej). Protokoły te są zaprojektowane w celu zabezpieczenia transmisji danych, takich jak Transport Layer Security (TLS).
12 wymogów bezpieczeństwa dla PCI DSS v3.2.1 wynika z najlepszych praktyk ochrony poufnych danych w każdej firmie. Kilka z nich pokrywa się z tymi wymaganymi do spełnienia wymogów RODO, HIPAA i innych wymogów dotyczących prywatności, więc kilka z nich może już obowiązywać w Twojej organizacji.
monitoruj i utrzymuj
ważne jest, aby pamiętać, że zgodność z PCI nie jest jednorazowym zdarzeniem. Jest to ciągły proces zapewniający zgodność Twojej firmy nawet w miarę rozwoju przepływów danych i punktów kontaktu z klientami. Niektóre marki kart kredytowych mogą wymagać od użytkownika składania raportów kwartalnych lub rocznych lub przeprowadzania corocznej oceny na miejscu w celu potwierdzenia bieżącej zgodności z przepisami, szczególnie w przypadku przetwarzania ponad 6 milionów transakcji rocznie.
Zarządzanie zgodnością z PCI przez cały rok (i rok w roku) często wymaga wsparcia i współpracy między departamentami. Jeśli tego jeszcze nie ma, może warto utworzyć wewnętrzny zespół, aby właściwie utrzymać zgodność. Chociaż każda firma jest wyjątkowa, dobrym punktem wyjścia dla „zespołu PCI” będzie reprezentacja z następujących:
- bezpieczeństwo: Chief Security Officer (CSO), Chief Information Security Officer (CISO) i ich zespoły zapewniają, że organizacja zawsze prawidłowo inwestuje w niezbędne zasoby i politykę bezpieczeństwa danych i prywatności.
- Technologia / płatności: Dyrektor ds. technologii( CTO), wiceprezes ds. płatności i ich zespoły dbają o zgodność podstawowych narzędzi, integracji i infrastruktury w miarę rozwoju systemów organizacji.
- Finanse: Dyrektor Finansowy (CFO) i ich zespół dba o to, aby wszystkie przepływy danych dotyczących płatności były rozliczane w przypadku systemów płatniczych i partnerów.
- prawo: ten zespół może pomóc w poruszaniu się po wielu niuansach prawnych zgodności z PCI DSS.
aby uzyskać więcej informacji na temat złożonego świata zgodności PCI, odwiedź Stronę PCI Security Standards Council. Jeśli czytasz tylko ten przewodnik i kilka innych dokumentów PCI, zalecamy rozpoczęcie od tych: priorytetowe podejście do PCI DSS, instrukcje i wytyczne SAQ, Często zadawane pytania dotyczące korzystania z kryteriów kwalifikowalności SAQ w celu określenia wymagań oceny na miejscu oraz Często zadawane pytania dotyczące obowiązków sprzedawców, którzy opracowują aplikacje dla urządzeń konsumenckich akceptujących dane kart płatniczych.
jak Stripe pomaga organizacjom osiągnąć i utrzymać zgodność z PCI
Stripe znacznie upraszcza obciążenie PCI dla firm, które integrują się z kasą, elementami, mobilnymi zestawami SDK i terminalowymi zestawami SDK. Elementy Stripe Checkout i Stripe używają hostowanego pola płatności do obsługi wszystkich danych karty płatniczej, więc Posiadacz karty wprowadza wszystkie wrażliwe informacje dotyczące płatności w polu płatności, które pochodzi bezpośrednio z naszych serwerów zweryfikowanych przez PCI DSS. Pakiety SDK Stripe mobile i Terminal umożliwiają również posiadaczowi karty wysyłanie poufnych informacji o płatnościach bezpośrednio do naszych serwerów zweryfikowanych przez PCI DSS.
dzięki bezpieczniejszym metodom akceptacji kart, takim jak te, wypełnimy formularz PCI (SAQ) na pulpicie nawigacyjnym Stripe, dzięki czemu Walidacja PCI jest tak prosta, jak kliknięcie przycisku. Dla mniejszych organizacji może to zaoszczędzić setki godzin pracy, dla większych może to zaoszczędzić tysiące.
dla wszystkich naszych użytkowników, niezależnie od typu integracji, Stripe działa jako rzecznik PCI i może pomóc na kilka różnych sposobów.
- przeanalizujemy Twoją metodę integracji i doradzimy, jakiego formularza PCI użyć i jak zmniejszyć obciążenie związane z zgodnością.
- powiadomimy cię z wyprzedzeniem, jeśli rosnący wolumen transakcji będzie wymagał zmiany sposobu sprawdzania zgodności.
- dla dużych sprzedawców (Poziom 1) zapewniamy pakiet PCI, który może skrócić czas walidacji PCI z miesięcy do dni. Jeśli chcesz pracować z PCI QSA (ponieważ przechowujesz dane karty kredytowej lub masz bardziej złożony przepływ płatności), istnieje ponad 350 takich firm QSA na całym świecie, a my możemy połączyć cię z kilkoma audytorami, którzy głęboko rozumieją różne metody integracji Stripe.
poziom sprzedawcy Visa | średni czas audytu (szacunki roczne) | średni czas audytu z elementami Stripe, kasą lub mobilnym SDK (szacunki roczne) |
Poziom 1 | 3-5 miesięcy | 2-5 dni |
Poziom 2 | 1-3 miesiące | 0 dni |
Poziom 3 | 1-3 miesiące | 0 dni |
Poziom 4 | 1-3 miesiące | 0 dni |
aby uzyskać więcej informacji o tym, jak Stripe pomaga chronić swoje dane klientów i osiągnij zgodność z PCI, zapoznaj się z naszymi dokumentami dotyczącymi bezpieczeństwa integracji.
podsumowanie
Ocena i Walidacja zgodności z PCI zwykle odbywa się raz w roku, ale zgodność z PCI nie jest jednorazowym wydarzeniem-jest to ciągły i znaczący wysiłek w zakresie oceny i naprawy. Wraz z rozwojem firmy rozwijana będzie podstawowa logika biznesowa i procesy, co oznacza, że wymagania dotyczące zgodności będą również ewoluować. Na przykład firma internetowa może zdecydować się na otwarcie sklepów fizycznych, wejście na nowe rynki lub uruchomienie centrum obsługi klienta. Jeśli coś nowego dotyczy danych karty płatniczej, warto proaktywnie sprawdzić, czy ma to jakikolwiek wpływ na metodę walidacji PCI i w razie potrzeby ponownie zweryfikować zgodność z PCI.
zgodność z PCI pomaga. To nie wystarczy.
przestrzeganie wytycznych PCI DSS jest niezbędną warstwą ochrony dla Twojej firmy — ale to nie wystarczy. PCI DSS ustanawia ważne standardy obsługi i przechowywania danych posiadacza karty, ale sama w sobie nie zapewnia wystarczającej ochrony dla każdego środowiska płatności. Zamiast tego przejście na bezpieczniejszą metodę akceptacji kart (taką jak Stripe Checkout, Elements i mobilne zestawy SDK) jest o wiele skuteczniejszym sposobem ochrony organizacji. Długoletnią korzyścią jest to, że nie musisz polegać na branżowych standardach podstawowych ani martwić się o potencjalną awarię kontroli bezpieczeństwa. Takie podejście zapewnia zwinnym firmom sposób na złagodzenie potencjalnego naruszenia danych i uniknięcie emocjonalnego, czasochłonnego i kosztownego historycznego podejścia do walidacji PCI. Nie wspominając o tym, że bezpieczniejsza metoda integracji jest niezawodna każdego dnia w roku.
wróć do poradników