Czym jest PCI DSS?

PCI DSS to skrót od Payment Card Industry Data Security Standard. Jest to zestaw wymagań dla organizacji przetwarzających dane kart kredytowych, aby zapewnić bezpieczeństwo tych informacji. Standard został wprowadzony we wrześniu 2006 roku przez PCI Security Standards Council, konsorcjum głównych marek kart płatniczych.

Wszyscy sprzedawcy i dostawcy usług, którzy akceptują karty kredytowe jako metodę płatności, są zobowiązani do przestrzegania warunków PCI DSS. Jeśli sprzedawca nie zastosuje się do PCI DSS, może ponieść znaczne kary finansowe, utratę reputacji i potencjalną utratę działalności.

PCI DSS musi być przestrzegany przez każdą firmę, która pozyskuje, zarządza, przechowuje lub przesyła dane posiadaczy kart. Obejmuje to sprzedawców detalicznych, operatorów płatności, banki i inne organizacje, które mogą mieć wpływ na bezpieczeństwo danych posiadaczy kart, takie jak twórcy oprogramowania i producenci sprzętu.

Banki, kasy kredytowe, firmy hostingowe i inne organizacje, które otrzymują lub przetwarzają dane posiadaczy kart przez telefon, są zobowiązane do przestrzegania przepisów. Aby móc nadal przyjmować płatności kartą kredytową, każdy pracownik firmy przetwarzającej poufne dane posiadaczy kart musi zachować zgodność z PCI.

Wielkość transakcji, które sprzedawca lub dostawca usług obsługuje każdego roku, określa stopień zgodności z PCI DSS. Poziom 1 to najwyższy z czterech poziomów dla sprzedawców i wiąże się z najsurowszymi wymogami raportowania, takimi jak coroczny Raport Zgodności (RoC) od audytora zewnętrznego.

Dla Poziomów od 2 do 4 zazwyczaj wypełniany jest Kwestionariusz Samooceny (SAQ). Sprzedawcy Poziomu 1 są zobowiązani do wypełnienia corocznego RoC i obsługują ponad 6 milionów transakcji kartowych rocznie.

PCI Attestation of Compliance (AoC) to dokument potwierdzający, że organizacja spełnia wymagania PCI DSS. Jest on wydawany po tym, jak organizacja przeprowadziła samoocenę lub zewnętrzny audyt przeprowadzony przez Qualified Security Assessor (QSA) i wykazała, że spełnia wymagania standardu.

AoC nie jest przeszkodą w handlu, ale daje potencjalnym klientom pewność co do praktyk bezpieczeństwa organizacji. AoC nie jest certyfikatem bezpieczeństwa ani gwarancją bezpieczeństwa, ale raczej deklaracją organizacji o przestrzeganiu PCI DSS.

the Payment Card Industry Data Security Standard (PCI DSS) to zestaw zasad i procedur mających na celu zapewnienie bezpieczeństwa danych osobowych posiadaczy kart. Standard składa się z 12 części lub wymagań, które są podzielone na sześć grup zgodnie z ogólną polityką bezpieczeństwa. Grupy te są następujące: 

1) Budowanie i utrzymywanie bezpiecznych sieci; 

2) Ochrona danych posiadaczy kart; 

3) Stosowanie silnej kryptografii; 

4) Kontrolować dostęp do danych posiadacza karty; 

5) Monitorować i testować sieci; 

6) Wdrożyć politykę bezpieczeństwa informacji. 

Najnowsza wersja standardu, PCI DSS 4.0, to aktualizacja i restrukturyzacja 12 głównych wymagań, które określają, jak skutecznie stosować mechanizmy kontroli bezpieczeństwa. Ten standard ma zastosowanie do każdego sprzedawcy lub usługodawcy, który przetwarza, przechowuje lub przesyła dane posiadaczy kart. Organizacje muszą zrozumieć i stosować te zasady, aby chronić informacje i zwiększać wiarygodność.

Chociaż aplikacje płatnicze nie są bezpośrednio objęte PCI DSS, o ile nie dotyczą danych posiadaczy kart, są one niezbędne dla zgodności z PCI DSS. Wynika to z faktu, że korzystają z nich sprzedawcy, którzy muszą przestrzegać PCI DSS. Aplikacje płatnicze muszą zatem być opracowywane i wdrażane w sposób, który zmniejsza zagrożenia bezpieczeństwa i promuje bezpieczne środowiska sieciowe. 

Aby pomóc sprzedawcom detalicznym w spełnieniu przepisów PCI DSS, obejmuje to funkcje takie jak zarządzanie lukami w zabezpieczeniach, Szyfrowanie, i bezpieczne przechowywanie danych. Ostatecznie, sprzedawcy mogą znacznie zmniejszyć swoje obciążenie pracą i zabezpieczyć dane posiadaczy kart, wybierając aplikację płatniczą, która stawia bezpieczeństwo na pierwszym miejscu i ułatwia zgodność z PCI DSS.

PCI DSS tworzy standard obsługi i ochrony danych posiadaczy kart. Zmniejsza to możliwość naruszenia danych i kradzieży kart kredytowych. 

Należy zrozumieć, że stworzenie systemu obsługi danych pomaga usprawnić procesy i operacje. Firmy SaaS otrzymują ramy, których muszą przestrzegać, aby wdrożyć kontrole i utrzymać bezpieczne środowisko. Dodatkowo, firmy programistyczne są zmuszone do ciągłego monitorowania swoich bezpieczeństwa i zgodności systemów, upewnienia się, że wszystko działa sprawnie i zapewnienia zgodności z przepisami PCI DSS.

Nieprzestrzeganie standardu PCI DSS może skutkować poważnymi konsekwencjami finansowymi i wizerunkowymi, takimi jak wysokie kary, wyższe koszty transakcji, zerwanie partnerstw biznesowych z bankami i firmami obsługującymi karty płatnicze oraz ewentualne postępowanie sądowe. 

Marki kart płatniczych mogą nakładać kary pieniężne za nieprzestrzeganie standardów, wynoszące od 5 000 do 100 000 USD miesięcznie, aż do momentu osiągnięcia zgodności; większe firmy mogą podlegać wyższym karom. Oprócz kar pieniężnych, nieprzestrzeganie standardów może prowadzić do problemów operacyjnych, uszczerbku na wizerunku, spadku zaufania klientów, postępowania sądowego, kosztów naprawy w przypadku naruszenia danych oraz ewentualnych dochodzeń organów regulacyjnych. Nieprzestrzeganie standardów może wiązać się z wysokimi kosztami całkowitymi, które wykraczają poza bezpośrednie kary i obejmują długoterminowe skutki naruszenia danych oraz uszczerbku na reputacji.

Dla wielu firm SaaS osiągnięcie zgodności z PCI DSS może być skomplikowanym zadaniem. Dokładne określenie zakresu środowiska danych posiadacza karty, wdrożenie środków bezpieczeństwa, takich jak zapory ogniowe i szyfrowanie, oraz ich konfiguracja, a także przestrzeganie rygorystycznych zasad dostępu to jedne z najczęstszych wyzwań. 

Dokładne zdefiniowanie i sklasyfikowanie środowiska danych posiadacza karty — które obejmuje wszystkie sieci, systemy i aplikacje obsługujące, przechowujące lub wysyłające poufne dane dotyczące płatności — to jedno z pierwszych wyzwań. Z powodu braku zasobów lub doświadczenia organizacje mogą mieć trudności z spełnieniem wszystkich niezbędnych standardów PCI DSS. Nieprzestrzeganie PCI DSS może mieć poważne konsekwencje, takie jak wysokie grzywny, uszczerbek na reputacji i możliwe przerwy w działalności.