PCI DSS

Volejte

+420 222 553 101

nebo pište

Certifikace potvrdí perfektní bezpečnost platebních karet

Dodržování standardu PCI DSS (Payment Card Industry Data Security Standard) je povinné pro všechny organizace, které zpracovávají, přenášejí nebo uchovávají data z platebních karet, a je vyžadováno bankami po celém světě. Tato mezinárodní norma totiž určuje, jak s informacemi správně nakládat, aby zůstaly v bezpečí. Certifikace na PCI DSS zvýší důvěryhodnost vaší společnosti v očích zákazníků i obchodních partnerů.

Ve společnosti Tayllorcox se bezpečnosti platebních karet věnujeme už spoustu let. Certifikaci na PCI DSS nabízíme jako jedna z mála českých firem a k tomu vám navíc poskytneme unikátní mix výhod:

Rychlost

Dokážeme certifikační proces zrealizovat až o 75 % rychleji než konkurence.

Customizace

Konkrétní postup při certifikaci navrhneme tak, aby vycházel vstříc vaší reálné situaci.

Úspěšnost

Naše know-how i orientace na klienta vedou k vysoké úspěšnosti certifikačního procesu.

Školení

Jako jediný certifikační orgán na trhu vás a vaše zaměstnance zároveň i proškolíme.

Více o výhodách certifikace u TAYLLORCOX

Proč certifikovat
společnost na normu PCI DSS

Dodržováním standardu PCI BSS splníte povinnost týkající se všech obchodníků a poskytovatelů služeb a následnou certifikací svůj závazek potvrdíte. Obojí přinese vaší společnosti celou řadu benefitů:

  • Vybudujete bezpečný systém, který spolehlivě ochrání údaje držitelů karet.
  • Posílíte důvěru svých zákazníků a s ní i pravděpodobnost, že vás budou dále doporučovat.
  • Usnadníte si vstup do světa platebních systémů.
  • Budete důvěryhodnějším partnerem pro své odběratele, dodavatele a další zainteresované strany.
  • Eliminujete riziko mimořádných finančních výdajů, které by mohly vzejít například ze zneužití kartových údajů k podvodům.
  • Zlepšíte spolupráci se zpracovatelskou bankou.
  • Snížíte náklady na případné soudní spory.


Proces certifikace
PCI DSS ve 3 krocích

V Tayllorcox jsme vyvinuli unikátní třífázový proces certifikace, který nám umožňuje
postupovat s bezkonkurenční rychlostí a efektivitou.

Předáme vašim zaměstnancům znalosti nezbytné pro udělení certifikace.

Prvním krokem je kurz PCI DSS Intro, kde získáte znalosti standardů pro bezpečný přenos dat u platebních karet a seznámíte se s nástroji, jak navrhnout a vybudovat “certifikované” PCI DSS prostředí.

Následuje kurz PCI DSS Assesor pro budoucí auditory. V jeho průběhu vás naučíme osvědčené postupy a techniky potřebné pro ochranu a bezpečnost dat, ukážeme vám roadmapu implementace všech 12 požadavků. Pochopíte praktické dopady standardu a stanete se skutečnými odborníky v oblasti plnění požadavků i assesmentu PCI DSS.

2. krok — Dokumentace

Připravili jsme pro vás balíček podpůrných materiálů, které vám usnadní cestu k úspěšné certifikaci.

Propracovaný systém dokumentů zahrnuje kompletní šablony, vzory a formuláře, které vás provedou sestavením klíčové příručky pro celou firmu, a to včetně kontrolních listů. S nimi budete mít jistotu, že jste optimalizovali všechny procesy ve firmě, jak vyžaduje legislativa i certifikace. Autory toolkitu jsou naši akreditovaní auditoři, přední odborníci na danou oblast, kteří garantují věcnou správnost a kvalitu všech obsažených materiálů.

3. krok — Certifikace

Získejte potvrzení, že vaše firemní procesy odpovídají přísným normám kybernetické bezpečnosti.

Consorcium PCI DSS definuje 4 certifikační úrovně, které se liší podle typu zpracování platebních transakcí a jejich objemu.

Certifikaci osobně provede náš vedoucí auditor. První stupeň interního auditu – desktop review – se zaměří na popis aktuálního stavu bezpečnostní dokumentace z hlediska její komplexnosti i kompletnosti. Na něj naváže process review, kde vyhodnotíme shodu dokumentace s realitou a sestavíme seznam potřebných opatření.

Proč si k certifikaci na PCI DSS vybrat společnost Tayllorcox

  • Seznámíme se s vaší situací a konkrétní postup při certifikaci navrhneme tak, aby vycházel vstříc vašim skutečným potřebám. A dokážeme pružně zareagovat na vaše ad hoc požadavky v průběhu certifikace.
  • Jsme součástí mezinárodní společnosti, od níž čerpáme know-how i zázemí. Naši auditoři jsou špičkovými odborníky, kteří se podílejí na tvorbě příslušných zákonů.
  • Většinu administrativní zátěže převezmeme za vás a díky zkušenostem i detailní customizaci dokážeme certifikační proces zrealizovat až o 75 % rychleji než konkurence.
  • Jako jediný akreditační orgán na trhu vás a vaše zaměstnance zároveň i proškolíme. Je to jeden z důvodů, proč drtivá většina našich certifikací končí úspěchem.
  • Většinu administrativní zátěže převezmeme za vás a díky zkušenostem i detailní customizaci dokážeme certifikační proces zrealizovat až o 75 % rychleji než konkurence.
  • Jako jediný akreditační orgán na trhu vás a vaše zaměstnance zároveň i proškolíme. Je to jeden z důvodů, proč drtivá většina našich certifikací končí úspěchem.
  • Nabízíme nejlepší poměr mezi kvalitou a cenou certifikace. Zvládáme se přizpůsobit korporacím i start-upům, naše výstupy jsou ale vždy stejně precizní.
  • I když je náš tým plný renomovaných specialistů z celé řady odvětví, jsme úplně normální lidé. Klientům poskytujeme tu nejlepší zákaznickou péči a věnujeme mnoho energie jejich vzdělávání.
  • Novinky a důležité informace (nejen) o PCI DSS přinášíme na našem blogu.

Detailní informace
o certifikaci PCI DSS

Norma PCI DSS vznikla v roce 2004 na popud asociací VISA a MasterCard a později ji přijaly i další organizace v tomto odvětví jako American Express, Dinners Club nebo JCB International. Pro řízení celého programu bezpečnosti v odvětví platebních karet byla také vytvořena společnost PCICo (PCI Security Standards Council), jejímiž zakladateli a zároveň vlastníky jsou právě jednotlivé asociace.

PCI DSS je součástí celé stejnojmenné skupiny standardů, kam patří zároveň normy PCI PTS (PCI PIN Transaction Security Requirements), PCI PA-DSS (Payment Application Data Security Standard) a P2PE (Point-To-Point Encryption). Framework standardů vychází z norem řady ISO 27000.

Konkrétní požadavky normy PCI DSS

Standard PCI DSS stanovuje šest skupin cílů, které přináší 12 požadavků:

CÍL: Vybudovat a udržet zabezpečenou síť

  • Nainstalovat a udržovat nastavení firewallu, které bude chránit data držitelů karet
  • Nepoužívat tovární nastavení pro hesla a další bezpečnostní parametry

CÍL: Zajistit bezpečnost údajů držitelů karet

  • Chránit uchovávaná data
  • Zašifrovat přenos údajů přes otevřené a veřejné sítě

CÍL: Zavést opatření pro řízení zranitelnosti

  • Používat a pravidelně aktualizovat antivirový software nebo program

  • Vybudovat a udržovat bezpečné systémy a aplikace

CÍL: Zavést robustní opatření pro kontrolu přístupu

  • Omezit přístup k údajům držitelů karet pouze pro potřeby společnosti
  • Přidělit unikátní ID každému, kdo má přístup k počítači
  • Omezit fyzický přístup k datům držitelů karet

CÍL: Pravidelně monitorovat a testovat sítě

  • Sledovat a monitorovat veškeré přístupy k údajům držitelů karet
  • Pravidelně testovat bezpečnost systémů a procesů

CÍL: Udržovat v organizaci politiku bezpečnosti informací

  • Posilovat povědomí o bezpečnosti informací u zaměstnanců a dalších zainteresovaných stran

Kontrola dodržování normy

Společně se standardem PCI DSS vznilky dva kontrolní nástroje, které ověřují, zda se daná společnost řídí stanovenými požadavky.

  1. Audit založený na testování na místě, provádí se jednou ročně.
  2. Externí testování zranitelnosti síťové infrastruktury a informací, probíhá čtvrtletně.






Často kladené otázky o certifikaci PCI DSS

Norma PA DSS (Payment Application Data Security Standard) taktéž spadá do skupiny standardů PCI. Je určena dodavatelům platebních aplikací, které uchovávají, zpracovávají nebo přenášejí údaje držitelů karet nebo jiná citlivá autentizační data. Obchodníci mají povinnost používat jen ty aplikace a softwary, které jsou certifikované na PA DSS.

Požadavky PCI DSS se vztahují na všechny komponenty systémů, jako jsou servery nebo aplikace, které vstupují do prostředí dat držitelů karet nebo jsou s tímto prostředím propojené. Patří mezi ně také virtuální komponenty jako virtuální stroje, přepínače, routery či zařízení, virtuální aplikace nebo pracovní stanice apod.

Prostředí dat držitelů karet zahrnuje pracovníky, procesy a technologie, které zpracovávají informace o držitelích karet nebo citlivá autentizační data.

Při hodnocení PCI DSS se nejprve přesně určí rozsah prověrky. Před pravidelným ročním auditem pak musí testovaný subjekt identifikovat všechna místa a toky dat držitelů karet a potvrdit, že jsou do stanoveného rozsahu PCI DSS zahrnuty.

Nezdokumentovaný informační systém

U řady našich klientů zjišťujeme, že různé části systému vznikaly několik let a jejich vývoj nebyl dostatečně zdokumentován. Často klient není schopen vysvětlit, která konkrétní data informačním systémem vlastně procházejí.

Ukládání citlivých dat po autorizaci platební transakce

Citlivá data (například celé číslo karty) nesmí obchodníci po provedení autorizace platební transakce za žádných okolností ukládat, například v záznamech událostí (logy), zálohách nebo přímo v databázi.

Nedostatečné řešení informační bezpečnosti

Často se u našich klientů setkáváme se stavem, kdy není informační bezpečnost řešena tak, jak by měla: zaznamenávání událostí (logování a monitorování) je nedostatečné nebo úplně chybí, neexistuje žádný proces pro pravidelnou aktualizaci bezpečnostních záplat, zaměstnanci nemají nutné povědomí o informační bezpečnosti a kontrola nad řízením změn je také nevyhovující.

Získejte více informací o možnostech certifikace

Navrhneme řešení přesně pro vaši společnost

Další oborové certifikace

BREEAM

Když projektujete / stavíte energeticky úsporné a trvale udržitelné budovy.

BS 10012

Chraňte osobní údaje svých zákazníků. Splníte požadavky GDPR a zlepšíte důvěru.

eIDAS

Staňte se kvalifikovaný poskytovatel služeb vytvářejících důvěru