PCI DSS

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 31 mars 2020; kontroller kräver 16 redigeringar .

Payment Card Industry Data Security Standard (PCI DSS) (från engelska "payment card industry security standard") är en datasäkerhetsstandard för betalkort som etablerats av de internationella betalningssystemen Visa , MasterCard , American Express , JCB och Discover . [1] PCI-säkerhetsstandarder är utformade för att skydda betalningsdata under hela livscykeln för en betalning och för att tillhandahålla tekniska lösningar som devalverar denna data och därigenom avskräcker brottslingar från att stjäla den. [2]

Om betalkortsbranschens datasäkerhetsstandard

Överensstämmelse med PCI DSS-kraven innebär ett övergripande tillvägagångssätt för att säkerställa informationssäkerheten för betalkortsdata. [3] Behovet av PCI DSS-efterlevnad fastställs av betalsystemoperatörer som en del av deras egna säkerhetsprogram.

Till exempel:

• MasterCard har  Site Data Protection ( SDP );
• Visa i USA har Cardholder  Information Security ( CISP );
• Visa i Europa har  Account Information Security ( AIS ).

Alla organisationer som lagrar, överför eller behandlar kortdata för dessa betalningssystem måste följa PCI DSS-kraven. Dessutom upprättar betalningssystem regler för att bekräfta överensstämmelse med PCI DSS. [3]

Nationella (lokala) betalningssystem kan också specificera kravet på PCI DSS-överensstämmelse i sina säkerhetsprogram och fastställa krav för överensstämmelsebekräftelseschemat. Till exempel, i betalningssystemet " Mir " definieras behovet av överensstämmelse med PCI DSS i standarden för PS "Mir" "Säkerhetsprogram". [4] Programmet definierar även organisationsnivåer och rapporteringskrav.

Sedan september 2006 har standarden införts av Visas internationella betalningssystem i CEMEA- regionen ( Central- och Östeuropa , Mellanöstern och Afrika ) som obligatorisk respektive, dess effekt gäller även Ryssland . Därför måste tjänsteleverantörer ( bearbetningscentraler , betalningsgateways , internetleverantörer ) som arbetar direkt med VisaNet genomgå ett revisionsförfarande för att uppfylla kraven i standarden.

Sedan 2012 har certifiering blivit obligatoriskt för alla organisationer som arbetar med bankkort. [5]

PCI DSS Compliance Statement

Olika internationella betalningssystem har olika krav för processen att verifiera överensstämmelse med PCI DSS-krav.

Vanligtvis varierar bekräftelsescheman för organisationer beroende på antalet korttransaktioner som behandlas. Varje organisation tilldelas en viss nivå med motsvarande krav som de måste uppfylla. Som en del av kraven på betalningssystem tillhandahålls årliga revisioner av organisationer för efterlevnad av PCI DSS eller självutvärdering.

Följande metoder är tillgängliga för att verifiera överensstämmelse med PCI DSS-krav:

• extern QSA-revision ( eng. ) utförd av ett PCI QSA-företag vid den granskade organisationens anläggning;
• självutvärdering utförd av organisationen själv med ifyllande av ett självutvärderingsblad ( SAQ ).

Överensstämmelsekontrollmetoden, eller kombinationen av metoder, väljs beroende på nivån på handlaren eller tjänsteleverantören.

Nivåer av handels- och tjänsteföretag

Ett handels- och tjänsteföretag (TSE) är en organisation som accepterar betalkort som betalning för sålda varor eller tjänster. Exempel på handels- och serviceföretag är butiker, restauranger, hotell och nätbutiker.

Enligt Visa-klassificering:

Nivå 1:

• Handlare som bearbetar mer än 6 miljoner transaktioner per år.

Krav för bedömning av överensstämmelse:

• en årlig revision utförd av QSA-revisorn vid organisationens anläggning;
• kvartalsvis ASV-skanning.

Nivå 2:

• Handlare bearbetar från 1 till 6 miljoner transaktioner per år.

Krav för bedömning av överensstämmelse:

• årlig självutvärdering med ifyllande av ett frågeformulär (SAQ);
• kvartalsvis ASV-skanning.

Nivå 3:

• Säljare som bearbetar mellan 20 000 och 1 miljon transaktioner per år med hjälp av e-handelsverktyg .

Krav för bedömning av överensstämmelse:

• årlig självutvärdering med ifyllande av ett frågeformulär (SAQ);
• kvartalsvis ASV-skanning.

Nivå 4:

• Säljare som bearbetar upp till 20 000 transaktioner per år med hjälp av e-handelsverktyg, samt andra handlare som bearbetar upp till 1 miljon transaktioner per år.

Krav för bedömning av överensstämmelse:

• en årlig självutvärdering av överensstämmelse med ifyllandet av ett frågeformulär rekommenderas;
• kvartalsvis ASV-skanning rekommenderas;
• kraven bestäms av den övertagande banken.

Enligt MasterCard-klassificering:

Nivå 1:

• Handlare som bearbetar mer än 6 miljoner transaktioner per år.
• Säljare genom vars system kortinnehavarens data äventyras;
• Handlare klassificerade av Visas internationella betalningssystem som nivå 1;
• Säljare som direkt klassificeras av MasterCards internationella betalningssystem som nivå 1.

Krav för bedömning av överensstämmelse:

• en årlig revision utförd av QSA-revisorn vid organisationens anläggning;
• kvartalsvis ASV-skanning.

Nivå 2:

• Handlare som bearbetar från 1 till 6 miljoner transaktioner per år;
• Handlare klassificerade av det internationella betalningssystemet Visa till nivå 2.

Krav för bedömning av överensstämmelse:

• en årlig revision utförd av QSA-revisorn vid organisationens anläggning;
• kvartalsvis ASV-skanning.

Nivå 3:

• Säljare som bearbetar mellan 20 000 och 1 miljon transaktioner per år med hjälp av e-handelsverktyg.
• Handlare klassificerade av det internationella betalningssystemet Visa till nivå 3.

Krav för bedömning av överensstämmelse:

• årlig självutvärdering med ifyllande av ett frågeformulär (SAQ);
• kvartalsvis ASV-skanning.

Nivå 4:

• Alla andra TSP:er

Krav för bedömning av överensstämmelse:

• en årlig självutvärdering av överensstämmelse med ifyllandet av ett frågeformulär rekommenderas;
• kvartalsvis ASV-skanning rekommenderas;
• kraven bestäms av den övertagande banken.

Tjänsteleverantörsnivåer

Tjänsteleverantörer är organisationer som tillhandahåller olika tjänster, främst inom informationsteknologi , till handlare, inlösenbanker och emittenter och direkt till internationella betalningssystem. Samtidigt får organisationen - tjänsteleverantören - tillgång till uppgifter om kortinnehavare. Exempel på tjänsteleverantörer är leverantörer av bearbetningscenter , betalningsgateways, datacenter, tokenisering och punkt-till-punkt-kryptering ( P2PE ).

Enligt Visa-klassificering:

Nivå 1:

• Alla behandlingscenter anslutna till VisaNet;
• Tjänsteleverantörer som bearbetar, lagrar eller överför mer än 300 000 transaktioner per år.

Krav för bedömning av överensstämmelse:

• en årlig revision utförd av QSA-revisorn vid organisationens anläggning;
• kvartalsvis ASV-skanning.

Nivå 2:

• Tjänsteleverantörer som bearbetar, lagrar eller överför mindre än 300 000 transaktioner per år.

Krav för bedömning av överensstämmelse:

• årlig självutvärdering med ifyllande av ett frågeformulär (SAQ);
• kvartalsvis ASV-skanning.

Enligt MasterCard-klassificering:

Nivå 1:

• Alla bearbetningscentra
• Tjänsteleverantörer som bearbetar, lagrar eller överför mer än 300 000 transaktioner per år.
• Alla behandlingscenter och tjänsteleverantörer genom vars system kortinnehavarens data äventyras.

Certifieringskrav:

• en årlig revision utförd av QSA-revisorn vid organisationens anläggning;
• kvartalsvis ASV-skanning.

Nivå 2:

• Tjänsteleverantörer som bearbetar, lagrar eller överför mindre än 300 000 transaktioner per år.

Krav för bedömning av överensstämmelse:

• årlig självutvärdering med ifyllande av ett frågeformulär (SAQ);
• kvartalsvis ASV-skanning.

Revisionsföretag PCI QSA

Som framgår av klassificeringen ska certifiering på högsta nivåer utföras av ett revisionsföretag med status som Qualified Security Assessor (PCI QSA). För andra nivåer är involvering av QSA inte ett obligatoriskt krav. QSA kan dock tillhandahålla konsulttjänster för alla nivåer av överensstämmelsebedömning. .

Revisionsföretag PCI PA-QSA

Det finns en relaterad PCI DSS-säkerhetsstandard för betalningsapplikationer - Payment Card Industry Payment Application - Data Security Standard (PCI PA-DSS). Tillverkare av programvara som är involverad i behandlingen av betalningstransaktioner måste certifiera ansökningar enligt PA-DSS-standarden. Enligt kraven i de internationella betalningssystemen Visa och MasterCard måste alla handlare och tjänsteleverantörer , från och med den  1 juli 2012, endast använda betalningsapplikationer certifierade enligt PA-DSS-standarden. Kontrollen av uppfyllandet av detta krav tilldelas förvärvande banker. Certifiering av betalningsansökningar enligt PA-DSS-standarden kan utföras av företag med PCI PA-QSA-status .

PCI DSS-krav

PCI DSS definierar följande sex kontrollområden och 12 grundläggande säkerhetskrav.

Bygga och underhålla ett säkert nätverk

• Krav 1: Installera och underhålla brandväggar för att skydda kortinnehavarens data.
• Krav 2: Icke-användning av tillverkarens standardsystemlösenord och andra säkerhetsinställningar.

Skydda kortinnehavarens data

• Krav 3: Se till att kortinnehavarens data skyddas under lagring.
• Krav 4: Kryptering av kortinnehavarens data under överföring över offentliga nätverk.

Programstöd för sårbarhetshantering

• Krav 5: Använd och uppdatera antivirusprogramvara regelbundet .
• Krav 6: Utveckla och underhålla säkra system och applikationer.

Genomförande av strikta åtkomstkontrollåtgärder

• Krav 7: Begränsa åtkomsten till kortinnehavarens data på ett behov av att veta.
• Krav 8: Tilldela en unik identifierare till varje person som har tillgång till informationsinfrastrukturen.
• Krav 9: Begränsa fysisk åtkomst till kortinnehavarens data.

Regelbunden nätverksövervakning och testning

• Krav 10: Kontrollera och spåra all åtkomst till nätverksresurser och korthållardata.
• Krav 11: Regelbunden testning av säkerhetssystem och processer.

Stöd för informationssäkerhetspolicy

• Krav 12: Utveckla, underhålla och tillämpa en informationssäkerhetspolicy.

Versioner av PCI DSS-standarden

PCI SSC Council följer en treårig standarduppdateringscykel. Första året är det introduktion av standarden i branschen, andra året är det insamling av feedback i form av kommentarer och önskemål från deltagarna i betalkortsbranschen, tredje året är det utarbetande av en ny version av standarden . PCI SSC Community Meeting-konferenser hålls mellan scenerna, som består av amerikanska och europeiska sessioner. Under konferenserna diskuterar deltagande organisationer, internationella betalningssystem, konsulter och QSAs, samt handlare och tjänsteleverantörer framtiden för standarden och relaterade dokument.

Historik över standardändringar:

• 1.0 är den ursprungliga versionen av standarden.
• 1.1 - antogs i september 2006 .
• 1.2 - antogs i oktober 2008 .
• 1.2.1, mindre upplaga - antagen i juli 2009 ; innehåller mindre tekniska ändringar.
• 2.0 - antogs i oktober 2010 .
• 3.0 - antogs i november 2013 .
• 3.1 - antogs i april 2015 .
• 3.2 - antogs i april 2016. Upphävd den 31 december 2018.
• 3.2.1 - antogs 2018.
• 4.0 - antogs i mars 2022. [6] Den nuvarande versionen av PCI DSS, v3.2.1 kommer att vara giltig till 31 mars 2024.

Anteckningar

1. ↑ Vad är PCI DSS (Payment Card Industry Data Security Standard)? - Definition från WhatIs.com  (engelska) . Söksäkerhet . Tillträdesdatum: 16 september 2022.
2. ↑ Standarder  _  _ . PCI Security Standards Council . Tillträdesdatum: 16 september 2022.  (obestämd)
3. ↑ 1 2 Vanliga   frågor ? . PCI Security Standards Council . Tillträdesdatum: 16 september 2022.  (obestämd)
4. ↑ Säkerhetsprogram . (ryska)
5. ↑ PCI DSS-standard: vad är det, krav, hur man får ett certifikat . itglobal.com . Tillträdesdatum: 16 september 2022. (ryska)
6. ↑ Säkra framtiden för betalningar: PCI SSC publicerar PCI Data Security Standard   v4.0 ? . PCI Security Standards Council . Tillträdesdatum: 16 september 2022.  (obestämd)

Länkar

•  PCI Security Standards Council .
• PCI DSS Professional Community .
• PCI DSS utbildning kvartalsvis .