Standard PCI DSS

12 banko kortelių duomenų saugumo reikalavimai

Koks tai standartas PCI DSS?

PCI DSS - tai banko kortelių duomenų apsaugos standartas, taikomas duomenų saugyklų infrastruktūrai. Standartas yra plėtojamas ir prižiūrimas PCI tarybos, į kurią įeina atstovai iš VISA, Mastercard, American Express, JCB ir Discovery.

Kas yra pagrindiniai elektroninės bankininkystės sistemos dalyviai?

  • Kortelės turėtojas: kortelės ir su ja susietos banko sąskaitos savininkas (galutinis vartotojas)
  • Emitentas: kortelės turėtojo bankas
  • Prekybininkas: įmonė, kuri priima kreditines korteles kaip mokėjimo priemonę
  • Gavėjas: bankas, kuris gauna lėšas prekybininko vardu
  • Kortelės prekės ženklas: patikima trečioji šalis, užtikrinanti sandorį tarp dalyvių (Visa, Mastercard, American Express ir t.t.)
  • Mokėjimo paslaugų (PSP) tiekėjai X: visi kiti mokėjimų grandinės tarpininkai. Pavyzdžiui, IaaS tiekėjai. Bendrovė OVH yra PSP

Kiekvienas kortelių emitentas pats sutartimi nustato saugumo reikalavimus savo kortelių turėtojams, mokėjimo paslaugų tiekėjams ar prekybininkams. PCI DSS nustato bazinius saugumo reikalavimus, taikomus visiems. PCI DSS standartas apibrėžia bendrą saugumo pagrindą, apimantį daugumą reikalavimų. PCI DSS standartas tapo mokėjimo sistemų saugumo ir atitikties standartu, kuris yra taikomas visiems mokėjimų sistemos dalyviams. Kiekvienas elektroninės mokėjimo sistemos grandies dalyvis prisiima savo atsakomybės dalį, kad užtikrintų bendrą platformos saugumą. Šie įsipareigojimai yra perduodami iš kortelių prekių ženklų turėtojų visiems mokėjimo platformos dalyviams.

Tiksliau, PCI DSS standartas įvardija daugiau nei 250 apsaugos ir valdymo reikalavimų, kurie leistų saugiai valdyti kredito kortelių numerius. Šie reikalavimai yra skirstomi į 6 grupes:

  • Saugios sistemos ir tinklo kūrimas ir valdymas

    1 sąlyga: uginiasienės, skirtos asmens duomenų apsaugai, diegimas ir valdymas
    2 sąlyga: slaptažodžių ar kitų tiekėjo nustatytų saugumo parametrų nenaudojimas
  • Asmens duomenų apsauga

    3 sąlyga: saugomų asmens duomenų apsauga
    4 sąlyga: viešais tinklais perduodamų asmens duomenų šifravimas
  • Pažeidžiamumo programos valdymas

    5 sąlyga: visų sistemų apsauga nuo kenksmingų programų, reguliarus antivirusinių sistemų atnaujinimas
    6 sąlyga: saugių sistemų ir aplikacijų plėtojimas
  • Griežtų prieigos kontrolės priemonių įgyvendinimas

    7 sąlyga: prieigos prie asmens duomenų suteikimas tik reikiamiems asmenims
    8 sąlyga: prieigos prie sistemos komponentų nustatymas ir leidimas
    9 sąlyga: fizinės prieigos prie asmens duomenų apribojimas
  • Reguliari tinklo kontrolė ir testavimas

    10 sąlyga: prieigos prie tinklo ir savininko duomenų valdymas ir kontrolė
    11 sąlyga: reguliarus procesų ir apsaugos sistemų testavimas
  • Duomenų apsaugos politikos valdymas

    12 sąlyga: personalo informavimo apie saugumą politikos vykdymas

Kaip atitikti PCI DSS reikalvimus?

Atitikimas standartui PCI DSS apima visą prekybininko mokėjimo sistemą, t.y. kiekvieno grandinės dalyvio atitikimą PCI DSS standartui. Tai reiškia, kad kiekvienas platformos dalyvis, kiek tai apima jo funkcijas, turi atitikti standarto reikalavimus, ir turi šį atitikimą pademonstruoti savo klientams.

Būdama PCI DSS mokėjimo infrastruktūros dalis, bendrovė OVH yra atsakinga už infrastruktūros saugumą, tačiau už saugomų virtualių mašinų, virtualaus tinklo funkcijų naudojimą ir jūsų virtualiose mašinose įdiegtų programų saugumą atsakote jūs. Todėl atitikimas PCI DSS yra bendros pastangos suderinti jūsų sistemos, taikomųjų programų saugumo priemones su Private Cloud infrastruktūros saugumo priemonėmis.

PCI DSS atitiktis gali būti patvirtinta atitikties sertifikatu (AoC), užpildžius savęs vertinimo anketą arba jeigu auditą atliks viena ar kelios QSA (Qualified Security Verifier) bendrovės.

Jūsų platformos atitikimas PCI DSS standartui yra struktūrinis procesas, kurio charakteristikos ir įsipareigojimai priklauso nuo daugelio veiksnių:

  • Mokėjimo operacijų skaičius per metus
  • Priimamų kortelių tipai
  • Gavėjo bankas(-ai)
  • Mokėjimų infrastruktūros sudėtingumas

Siekiant atitikti PCI DSS reikalavimus būtina susipažinti su susijusiais paslaugų teikėjais, kad žinotumėte tikslius jų lūkesčius. OVH rekomenduoja susisiekti su jūsų banku ir (arba) susisiekti su QSA, kad padėtų atlikti būtinus veiksmus.

VISA ataskaitų teikimo lygis

Niveau Apibūdinimas Įsipareigojimai
1 > 6M transakcijų per metus QSA auditas
Pastarojo ketvirčio gautų sąskaitų ataskaita (ASV)
Atitikties atestatas
2 1M < x < 6M transakcijų / metus Savęs įvertinimo klausimynas
Pastarojo ketvirčio gautų sąskaitų ataskaita (ASV)
Atitikties atestatas
3/4 x < 1M transakcijų / metus Nustato ir kontroliuoja kiekvienas bankas

šaltinis: https://www.visaeurope.com/receiving-payments/security/merchants
Šie duomenys pateikiami informacijos tikslais. Tik jūsų bankas gali suteikti jums informaciją, pritaikytą jūsų kontekstui.

Kiekvienais metais QSA atlieka OVH platformos auditą, kurio dokumentai yra prieinami jums:

  • Kokie reikalavimai yra keliami mūsų sertifikavimui
  • Nurodykite reikalavimus, kuriuos turite atitikti
  • Pademonstruokite QSA, kad OVH atsižvelgė į visus PCI DSS keliamus reikalavimus

Be to, OVH ekspertai ir pridedami dokumentai padės jums atitikti reikalavimus:

  • PCI DSS atsakomybių paskirstymo lentelė
  • Specialiosios sąlygos, nurodančios OVH atsakomybę
  • Specifikacijos šablonas privalomiesiems įsibrovimo bandymams atlikti

Atsakomybės matrica

Ši atsakomybės matrica apibūdina OVH ir Kliento įsipareigojimus, susijusius su PCI DSS standarto reikalavimais, ji padės jums numatyti, kokių veiksmų būtina imtis norint juos įvykdyti. Tik išsami atitikties sertifikato analizė, kuri pateikiama užsakant paslaugą, leidžia jums turėti visą būtiną informaciją, siekiant įgyvendinti visus reikalavimus.

Saugios sistemos ir tinklo kūrimas ir valdymas
1 sąlyga: Norėdami apsaugoti asmeninius duomenis, įdiekite ir valdykite ugniasienę OVH fiziniam tinklui
Virtualiojo tinklo klientas virtualiame duomenų centre
2 sąlyga: Nenaudokite slaptažodžių ar kitų saugumo nuostatų, kurias OVH nustatė infrastruktūrai Virtualių mašinų ir aplikacijų klientas
Asmens duomenų apsauga
3 sąlyga: Saugomų asmens duomenų apsauga Už priemonių įgyvendinimą yra atsakingas klientas.
4 sąlyga: Internetu perduodamų asmens duomenų šifravimas Už priemonių įgyvendinimą yra atsakingas klientas.
Pažeidžiamumo programos valdymas
5 sąlyga: Visų sistemų apsauga nuo piktybinių programų ir reguliarus sistemos ir antivirusinių programų atnaujinimas OVH infrastruktūros įrangai
Virtualių mašinų ir aplikacijų klientas
6 sąlyga: Saugių aplikacijų ir sistemų vystymas ir valdymas OVH infrastruktūros įrangai
Virtualių mašinų ir aplikacijų klientas
Griežtų prieigos kontrolės priemonių įgyvendinimas
7 sąlyga: Prieigos prie asmens duomenų suteikimas tik reikiamiems asmenims OVH infrastruktūros įrangai
Virtualių mašinų ir aplikacijų klientas
8 sąlyga: Prieigos prie sistemos komponentų nustatymas ir tvirtinimas OVH infrastruktūros įrangai
Virtualių mašinų ir aplikacijų klientas
9 sąlyga: Fizinės prieigos prie asmens duomenų apribojimas OVH yra atsakinga už fizinį platformos talpinimą
Tinklo reguliari priežiūra ir testavimas
10 sąlyga: Visos prieigą prie tinklo išteklių ir savininkų duomenų stebėjimas ir kontrolė OVH infrastruktūros įrangai
Virtualių mašinų ir aplikacijų klientas
11 sąlyga: Reguliarus procesų ir apsaugos sistemos tikrinimas OVH infrastruktūros įrangai
Virtualių mašinų ir aplikacijų klientas
Duomenų apsaugos politikos valdymas
12 sąlyga: Personalo informavimo apie saugumą politikos besilaikymas OVH infrastruktūros įrangai
Virtualių mašinų ir aplikacijų klientas

OVH mokėjimų infrastruktūros faktų lentelė

  • Payment Service Provider (PSP) Level 1
  • PCI DSS V3.2
  • QSA Provadys
  • PCI DSS parinktis yra prieinama OVH Payment Infrastructure bazėje. Pagerinimas galimas iš bet kurios SDDC infrastruktūros
  • Perimetras: OVH atsakomybės sritis (žr. atsakomybių lentelę)

Diagrama

Toliau pateikiami du paprasti elektroninių mokėjimo grandinių atvejai, kuriais paaiškinami sutartiniai santykiai ir atitikties ataskaitos. Kiekvienas atvejis yra individualus ir reikalauja nuodugnios analizės, tačiau dauguma situacijų bus artimos vienam iš šių dviejų modelių.

Jūs esate pardavėjas ir talpinate savo platformą OVH PCI DSS infrastruktūroje:

Jūs esate mokėjimų sistemos tiekėjas (PSP), talpinantis savo platformą OVH PCI DSS infrastruktūroje. Jūsų klientai yra pardavėjai.