Dodržování standardu PCI DSS (Payment Card Industry Data Security Standard) je povinné pro všechny organizace, které zpracovávají, přenášejí nebo uchovávají data z platebních karet, a je vyžadováno bankami po celém světě. Tato mezinárodní norma totiž určuje, jak s informacemi správně nakládat, aby zůstaly v bezpečí. Certifikace na PCI DSS zvýší důvěryhodnost vaší společnosti v očích zákazníků i obchodních partnerů.
Ve společnosti Tayllorcox se bezpečnosti platebních karet věnujeme už spoustu let. Certifikaci na PCI DSS nabízíme jako jedna z mála českých firem a k tomu vám navíc poskytneme unikátní mix výhod:
Dodržováním standardu PCI BSS splníte povinnost týkající se všech obchodníků a poskytovatelů služeb a následnou certifikací svůj závazek potvrdíte. Obojí přinese vaší společnosti celou řadu benefitů:
V Tayllorcox jsme vyvinuli unikátní třífázový proces certifikace, který nám umožňuje postupovat s bezkonkurenční rychlostí a efektivitou.
Předáme vašim zaměstnancům znalosti nezbytné pro udělení certifikace.
Prvním krokem je kurz PCI DSS Intro, kde získáte znalosti standardů pro bezpečný přenos dat u platebních karet a seznámíte se s nástroji, jak navrhnout a vybudovat “certifikované” PCI DSS prostředí.
Následuje kurz PCI DSS Assesor pro budoucí auditory. V jeho průběhu vás naučíme osvědčené postupy a techniky potřebné pro ochranu a bezpečnost dat, ukážeme vám roadmapu implementace všech 12 požadavků. Pochopíte praktické dopady standardu a stanete se skutečnými odborníky v oblasti plnění požadavků i assesmentu PCI DSS.
2. krok — DokumentacePřipravili jsme pro vás balíček podpůrných materiálů, které vám usnadní cestu k úspěšné certifikaci.
Propracovaný systém dokumentů zahrnuje kompletní šablony, vzory a formuláře, které vás provedou sestavením klíčové příručky pro celou firmu, a to včetně kontrolních listů. S nimi budete mít jistotu, že jste optimalizovali všechny procesy ve firmě, jak vyžaduje legislativa i certifikace. Autory toolkitu jsou naši akreditovaní auditoři, přední odborníci na danou oblast, kteří garantují věcnou správnost a kvalitu všech obsažených materiálů.
3. krok — CertifikaceZískejte potvrzení, že vaše firemní procesy odpovídají přísným normám kybernetické bezpečnosti.
Consorcium PCI DSS definuje 4 certifikační úrovně, které se liší podle typu zpracování platebních transakcí a jejich objemu.
Certifikaci osobně provede náš vedoucí auditor. První stupeň interního auditu – desktop review – se zaměří na popis aktuálního stavu bezpečnostní dokumentace z hlediska její komplexnosti i kompletnosti. Na něj naváže process review, kde vyhodnotíme shodu dokumentace s realitou a sestavíme seznam potřebných opatření.
Norma PCI DSS vznikla v roce 2004 na popud asociací VISA a MasterCard a později ji přijaly i další organizace v tomto odvětví jako American Express, Dinners Club nebo JCB International. Pro řízení celého programu bezpečnosti v odvětví platebních karet byla také vytvořena společnost PCICo (PCI Security Standards Council), jejímiž zakladateli a zároveň vlastníky jsou právě jednotlivé asociace.
PCI DSS je součástí celé stejnojmenné skupiny standardů, kam patří zároveň normy PCI PTS (PCI PIN Transaction Security Requirements), PCI PA-DSS (Payment Application Data Security Standard) a P2PE (Point-To-Point Encryption). Framework standardů vychází z norem řady ISO 27000.
Standard PCI DSS stanovuje šest skupin cílů, které přináší 12 požadavků:
CÍL: Vybudovat a udržet zabezpečenou síť
CÍL: Zajistit bezpečnost údajů držitelů karet
CÍL: Zavést opatření pro řízení zranitelnosti
Používat a pravidelně aktualizovat antivirový software nebo program
Vybudovat a udržovat bezpečné systémy a aplikace
CÍL: Zavést robustní opatření pro kontrolu přístupu
CÍL: Pravidelně monitorovat a testovat sítě
CÍL: Udržovat v organizaci politiku bezpečnosti informací
Společně se standardem PCI DSS vznilky dva kontrolní nástroje, které ověřují, zda se daná společnost řídí stanovenými požadavky.
Norma PA DSS (Payment Application Data Security Standard) taktéž spadá do skupiny standardů PCI. Je určena dodavatelům platebních aplikací, které uchovávají, zpracovávají nebo přenášejí údaje držitelů karet nebo jiná citlivá autentizační data. Obchodníci mají povinnost používat jen ty aplikace a softwary, které jsou certifikované na PA DSS.
Požadavky PCI DSS se vztahují na všechny komponenty systémů, jako jsou servery nebo aplikace, které vstupují do prostředí dat držitelů karet nebo jsou s tímto prostředím propojené. Patří mezi ně také virtuální komponenty jako virtuální stroje, přepínače, routery či zařízení, virtuální aplikace nebo pracovní stanice apod.
Prostředí dat držitelů karet zahrnuje pracovníky, procesy a technologie, které zpracovávají informace o držitelích karet nebo citlivá autentizační data.
Při hodnocení PCI DSS se nejprve přesně určí rozsah prověrky. Před pravidelným ročním auditem pak musí testovaný subjekt identifikovat všechna místa a toky dat držitelů karet a potvrdit, že jsou do stanoveného rozsahu PCI DSS zahrnuty.
Nezdokumentovaný informační systém
U řady našich klientů zjišťujeme, že různé části systému vznikaly několik let a jejich vývoj nebyl dostatečně zdokumentován. Často klient není schopen vysvětlit, která konkrétní data informačním systémem vlastně procházejí.
Ukládání citlivých dat po autorizaci platební transakce
Citlivá data (například celé číslo karty) nesmí obchodníci po provedení autorizace platební transakce za žádných okolností ukládat, například v záznamech událostí (logy), zálohách nebo přímo v databázi.
Nedostatečné řešení informační bezpečnosti
Často se u našich klientů setkáváme se stavem, kdy není informační bezpečnost řešena tak, jak by měla: zaznamenávání událostí (logování a monitorování) je nedostatečné nebo úplně chybí, neexistuje žádný proces pro pravidelnou aktualizaci bezpečnostních záplat, zaměstnanci nemají nutné povědomí o informační bezpečnosti a kontrola nad řízením změn je také nevyhovující.