Czym są dane posiadacza karty?

Dane posiadacza karty (CHD) to informacje o karcie płatniczej chronione przez Payment Card Industry Data Security Standard (PCI DSS). Obejmuje to pełny numer podstawowego konta (PAN) oraz ewentualnie imię i nazwisko posiadacza karty, datę ważności i kod usługi.

CHD to informacje dostępne po zakończeniu transakcji, które obejmują imię i nazwisko posiadacza karty, datę ważności karty oraz podstawowy numer konta (PAN). 

Ochrona danych kart kredytowych (CHD) jest ważna z kilku powodów. Zgodność klienta z przepisami jest kluczowa, pomaga utrzymać zaufanie, przestrzegać regulacji i zapobiegać karom finansowym. Szyfrowanie i inne środki bezpieczeństwa są kluczowe, aby zagwarantować bezpieczeństwo wrażliwych danych i zmniejszyć możliwe szkody wynikające z naruszenia danych.

Straty finansowe mogą wystąpić na kilka sposobów, w tym w wyniku kradzieży tożsamości i oszukańczych zakupów. Ograniczenie nieautoryzowanego dostępu do wrażliwych danych CHD jest kluczowe, ponieważ może zminimalizować ryzyko potencjalnych strat finansowych. Każda firma przetwarzająca dane kart kredytowych musi dbać o zaufanie swoich klientów. Ochrona CHD jest kluczowa dla firm, aby zachować zgodność z przepisami i zwiększyć swoją wiarygodność w zakresie bezpieczeństwa danych.

Wyciek danych posiadacza karty (CHD) może mieć znaczący wpływ na konsumentów, instytucje finansowe i sprzedawców detalicznych. Możliwe konsekwencje wycieków obejmują odpowiedzialność finansową, wysokie grzywny, koszty obsługi prawnej, koszty odszkodowań, szkodę dla reputacji i utratę zaufania klientów.

Aby zmniejszyć te ryzyka, przestrzeganie Standardu Bezpieczeństwa Danych w Przemyśle Kart Płatniczych (PCI DSS) jest niezbędne. Niezastosowanie się do tych standardów może skutkować dodatkowymi karami finansowymi i szkodą dla reputacji. 

Wrażliwe dane uwierzytelniające (SAD) i dane posiadacza karty (CHD) to dwie kategorie danych, które są kluczowe dla przetwarzania płatności. CHD zawiera dane takie jak podstawowy numer konta (PAN), imię i nazwisko posiadacza karty oraz datę ważności karty płatniczej, które mogą być przechowywane po potwierdzeniu transakcji.

W celu uwierzytelnienia posiadaczy kart, SAD składa się z takich elementów jak PIN, dane ze ścieżki magnetycznej lub chipu EMV oraz kod/wartość weryfikacyjna karty (CVC, CVV lub CID). Ponieważ CHD i SAD mają różne wymagania bezpieczeństwa, niezwykle ważne jest zrozumienie ich różnic. 

• Sprzedawcy mogą zapisywać CHD, ale jeśli to robią, musi być ono zaszyfrowane. Jednak nawet jeśli SAD jest zaszyfrowane, firmy nie mogą go przechowywać po autoryzacji. 
• Sprzedawcy mogą przechowywać CHD, ponieważ są one mniej wrażliwe niż SAD.
• Sprzedawcy mogą śledzić transakcje klientów za pomocą CHD.
• Sprzedawcy nie powinni przechowywać SAD, ponieważ są one bardziej wrażliwe niż CHD.
• Sprzedawcy nie mogą śledzić transakcji klientów za pomocą SAD. 

Wszystkie organizacje uczestniczące w transakcjach kartowych, w tym banki, bramki płatnicze, sprzedawcy i dostawcy usług, muszą przestrzegać standardu PCI DSS. Dotyczy to każdej firmy, niezależnie od wielkości lub wolumenu transakcji, która przetwarza, przechowuje lub przesyła dane kart kredytowych. 

Aby zagwarantować bezpieczeństwo danych posiadaczy kart podczas transakcji i przechowywania, każda zaangażowana organizacja musi przestrzegać tego procesu. Wymogi umowne i coroczne walidacje zgodności są określone w umowach sieci kart kredytowych i wymagane przez firmy obsługujące karty kredytowe. 

Procesorzy zewnętrzni (TPSP) również muszą przestrzegać Standardu Bezpieczeństwa Danych w Przemyśle Kart Płatniczych (PCI DSS) podczas przetwarzania kart płatniczych. Firmy SaaS muszą zarządzać i monitorować zgodność swoich TPSP z PCI DSS co najmniej raz na 12 miesięcy. 

TPSP muszą wykazać swoją zgodność z PCI DSS organizacjom SaaS, aby zweryfikować ją poprzez coroczny PCI DSS audyt zgodności lub liczne, losowe audyty TPSP. Firma SaaS powinna stworzyć plan śledzenia statusu zgodności TPSP z PCI DSS corocznie i śledzić wszystkie wymogi PCI DSS, które są w gestii TPSP. 

Ostatecznie organizacje SaaS są odpowiedzialne za własną zgodność z PCI DSS. Muszą upewnić się, że ich TPSP również są zgodne, ponieważ wpływają na bezpieczeństwo środowiska danych posiadaczy kart.

Kary finansowe, uszczerbek na reputacji, utrata zaufania klientów i utracone możliwości biznesowe to tylko kilka poważnych konsekwencji niezgodności z PCI DSS.

Dodatkowo, firmy niespełniające wymogów ryzykują konsekwencje prawne, wyższe koszty transakcji, bardziej rygorystyczne standardy audytu lub zerwanie współpracy z bankiem. W skrajnych przypadkach niezgodność może prowadzić do bankructwa.

Organizacje płatnicze mogą nakładać grzywny na banki nabywające, przenosząc kary na sprzedawców. W szczególności, niezgodność z PCI DSS może skutkować grzywnami od 5 000 do 100 000 USD miesięcznie, aż do momentu uzyskania zgodności.

Dane posiadacza karty nie mogą być zwolnione z wymogów PCI DSS jeśli szyfrowanie jest stosowane samodzielnie. Systemy, które zarządzają Szyfrowanie Szyfrowanie i deszyfrowanie podlegają przepisom PCI DSS, podobnie jak każde środowisko zawierające dane posiadacza karty, nawet jeśli są one zaszyfrowane. Jednak systemy zarządzające szyfrowaniem i deszyfrowaniem wchodzą w zakres PCI DSS, ale zaszyfrowane dane posiadacza karty już nie. W środowiskach, w których obecne są dane posiadacza karty, szyfrowanie nie unieważnia wymogu PCI DSS.