Zgodność z chmurą

Czym są dane posiadacza karty?

Opublikowano: 4 kwietnia 2025

Zrozum dane posiadacza karty (DTD) i dlaczego ich ochrona za pośrednictwem PCI DSS jest niezbędna. Poznaj skutki naruszeń, DTD vs. SAD, wymagania dotyczące zgodności i konsekwencje.

Czym są dane posiadacza karty (CHD)?

Dane posiadacza karty (CHD) to informacje o karcie płatniczej chronione przez Payment Card Industry Data Security Standard (PCI DSS). Obejmuje to pełny numer podstawowego konta (PAN) oraz ewentualnie imię i nazwisko posiadacza karty, datę ważności i kod usługi.

CHD to informacje dostępne po zakończeniu transakcji, które obejmują imię i nazwisko posiadacza karty, datę ważności karty oraz podstawowy numer konta (PAN). 

Dlaczego ochrona danych karty kredytowej (CHD) jest tak ważna?

Ochrona danych kart kredytowych (CHD) jest ważna z kilku powodów. Zgodność klienta z przepisami jest kluczowa, pomaga utrzymać zaufanie, przestrzegać regulacji i zapobiegać karom finansowym. Szyfrowanie i inne środki bezpieczeństwa są kluczowe, aby zagwarantować bezpieczeństwo wrażliwych danych i zmniejszyć możliwe szkody wynikające z naruszenia danych.

Straty finansowe mogą wystąpić na kilka sposobów, w tym w wyniku kradzieży tożsamości i oszukańczych zakupów. Ograniczenie nieautoryzowanego dostępu do wrażliwych danych CHD jest kluczowe, ponieważ może zminimalizować ryzyko potencjalnych strat finansowych. Każda firma przetwarzająca dane kart kredytowych musi dbać o zaufanie swoich klientów. Ochrona CHD jest kluczowa dla firm, aby zachować zgodność z przepisami i zwiększyć swoją wiarygodność w zakresie bezpieczeństwa danych.

Jaki wpływ mają naruszenia danych posiadaczy kart (CHD)?

Wyciek danych posiadacza karty (CHD) może mieć znaczący wpływ na konsumentów, instytucje finansowe i sprzedawców detalicznych. Możliwe konsekwencje wycieków obejmują odpowiedzialność finansową, wysokie grzywny, koszty obsługi prawnej, koszty odszkodowań, szkodę dla reputacji i utratę zaufania klientów.

Aby zmniejszyć te ryzyka, przestrzeganie Standardu Bezpieczeństwa Danych w Przemyśle Kart Płatniczych (PCI DSS) jest niezbędne. Niezastosowanie się do tych standardów może skutkować dodatkowymi karami finansowymi i szkodą dla reputacji. 

Jaka jest różnica między danymi posiadacza karty (CHD) a wrażliwymi danymi uwierzytelniającymi (SAD)?

Wrażliwe dane uwierzytelniające (SAD) i dane posiadacza karty (CHD) to dwie kategorie danych, które są kluczowe dla przetwarzania płatności. CHD zawiera dane takie jak podstawowy numer konta (PAN), imię i nazwisko posiadacza karty oraz datę ważności karty płatniczej, które mogą być przechowywane po potwierdzeniu transakcji.

W celu uwierzytelnienia posiadaczy kart, SAD składa się z takich elementów jak PIN, dane ze ścieżki magnetycznej lub chipu EMV oraz kod/wartość weryfikacyjna karty (CVC, CVV lub CID). Ponieważ CHD i SAD mają różne wymagania bezpieczeństwa, niezwykle ważne jest zrozumienie ich różnic. 

  • Sprzedawcy mogą zapisywać CHD, ale jeśli to robią, musi być ono zaszyfrowane. Jednak nawet jeśli SAD jest zaszyfrowane, firmy nie mogą go przechowywać po autoryzacji. 
  • Sprzedawcy mogą przechowywać CHD, ponieważ są one mniej wrażliwe niż SAD.
  • Sprzedawcy mogą śledzić transakcje klientów za pomocą CHD.
  • Sprzedawcy nie powinni przechowywać SAD, ponieważ są one bardziej wrażliwe niż CHD.
  • Sprzedawcy nie mogą śledzić transakcji klientów za pomocą SAD. 

Kto musi przestrzegać standardu PCI DSS?

Wszystkie organizacje uczestniczące w transakcjach kartowych, w tym banki, bramki płatnicze, sprzedawcy i dostawcy usług, muszą przestrzegać standardu PCI DSS. Dotyczy to każdej firmy, niezależnie od wielkości lub wolumenu transakcji, która przetwarza, przechowuje lub przesyła dane kart kredytowych. 

 

Aby zagwarantować bezpieczeństwo danych posiadaczy kart podczas transakcji i przechowywania, każda zaangażowana organizacja musi przestrzegać tego procesu. Wymogi umowne i coroczne walidacje zgodności są określone w umowach sieci kart kredytowych i wymagane przez firmy obsługujące karty kredytowe. 

Jakie są wymagania PCI DSS dla zewnętrznych dostawców usług przetwarzania (TPSP)?

Procesorzy zewnętrzni (TPSP) również muszą przestrzegać Standardu Bezpieczeństwa Danych w Przemyśle Kart Płatniczych (PCI DSS) podczas przetwarzania kart płatniczych. Firmy SaaS muszą zarządzać i monitorować zgodność swoich TPSP z PCI DSS co najmniej raz na 12 miesięcy. 

TPSP muszą wykazać swoją zgodność z PCI DSS organizacjom SaaS, aby zweryfikować ją poprzez coroczny PCI DSS audyt zgodności lub liczne, losowe audyty TPSP. Firma SaaS powinna stworzyć plan śledzenia statusu zgodności TPSP z PCI DSS corocznie i śledzić wszystkie wymogi PCI DSS, które są w gestii TPSP. 

Ostatecznie organizacje SaaS są odpowiedzialne za własną zgodność z PCI DSS. Muszą upewnić się, że ich TPSP również są zgodne, ponieważ wpływają na bezpieczeństwo środowiska danych posiadaczy kart.

Jakie są konsekwencje niezgodności z PCI DSS?

Kary finansowe, uszczerbek na reputacji, utrata zaufania klientów i utracone możliwości biznesowe to tylko kilka poważnych konsekwencji niezgodności z PCI DSS.

Dodatkowo, firmy niespełniające wymogów ryzykują konsekwencje prawne, wyższe koszty transakcji, bardziej rygorystyczne standardy audytu lub zerwanie współpracy z bankiem. W skrajnych przypadkach niezgodność może prowadzić do bankructwa.

Organizacje płatnicze mogą nakładać grzywny na banki nabywające, przenosząc kary na sprzedawców. W szczególności, niezgodność z PCI DSS może skutkować grzywnami od 5 000 do 100 000 USD miesięcznie, aż do momentu uzyskania zgodności.

Jak szyfrowanie wpływa na zakres PCI DSS?

Dane posiadacza karty nie mogą być zwolnione z wymogów PCI DSS jeśli szyfrowanie jest stosowane samodzielnie. Systemy, które zarządzają Szyfrowanie Szyfrowanie i deszyfrowanie podlegają przepisom PCI DSS, podobnie jak każde środowisko zawierające dane posiadacza karty, nawet jeśli są one zaszyfrowane. Jednak systemy zarządzające szyfrowaniem i deszyfrowaniem wchodzą w zakres PCI DSS, ale zaszyfrowane dane posiadacza karty już nie. W środowiskach, w których obecne są dane posiadacza karty, szyfrowanie nie unieważnia wymogu PCI DSS.

Wniosek

Każda organizacja SaaS przetwarzająca transakcje kartami kredytowymi musi chronić dane posiadacza karty (CHD), aby zachować zaufanie konsumentów, przestrzegać surowych standardów, takich jak PCI DSS, oraz ograniczyć poważne konsekwencje finansowe i wizerunkowe wynikające z naruszenia danych. Istotne jest zrozumienie kluczowych różnic między poufnymi danymi uwierzytelniającymi (SAD) a CHD oraz przestrzeganie szczegółowych wytycznych dla każdego z nich. 

 

Monitorowanie zewnętrznych dostawców usług przetwarzania danych (TPSP) i uznanie, że samo szyfrowanie nie zwalnia systemów z przestrzegania PCI DSS, to dodatkowe obowiązki. Ostatecznie ochrona DTD wpływa na długoterminową rentowność i stabilność finansową, co czyni ją czymś więcej niż tylko wymogiem technologicznym.

Gotowy do rozpoczęcia?

Byliśmy na Twoim miejscu. Podziel się z nami swoimi globalnymi marzeniami, a my wykorzystamy nasze 18-letnie doświadczenie, aby stały się rzeczywistością.
Porozmawiaj z ekspertem
Obraz mozaikowy
pl_PLPolski