Dodržování standardu PCI DSS (Payment Card Industry Data Security Standard) je povinné pro všechny organizace, které zpracovávají, přenášejí nebo uchovávají data z platebních karet, a je vyžadováno bankami po celém světě. Tato mezinárodní norma totiž určuje, jak s informacemi správně nakládat, aby zůstaly v bezpečí. Certifikace na PCI DSS zvýší důvěryhodnost vaší společnosti v očích zákazníků i obchodních partnerů.
Ve společnosti Tayllorcox se bezpečnosti platebních karet věnujeme už spoustu let. Certifikaci na PCI DSS nabízíme jako jedna z mála českých firem a k tomu vám navíc poskytneme unikátní mix výhod:
Dodržováním standardu PCI BSS splníte povinnost týkající se všech obchodníků a poskytovatelů služeb a následnou certifikací svůj závazek potvrdíte. Obojí přinese vaší společnosti celou řadu benefitů:
Vybudujete bezpečný systém, který spolehlivě ochrání údaje držitelů karet.
Posílíte důvěru svých zákazníků a s ní i pravděpodobnost, že vás budou dále doporučovat.
Usnadníte si vstup do světa platebních systémů.
Budete důvěryhodnějším partnerem pro své odběratele, dodavatele a další zainteresované strany.
Eliminujete riziko mimořádných finančních výdajů, které by mohly vzejít například ze zneužití kartových údajů k podvodům.
Zlepšíte spolupráci se zpracovatelskou bankou.
Snížíte náklady na případné soudní spory.
V Tayllorcox jsme vyvinuli unikátní třífázový proces certifikace, který nám umožňuje postupovat s bezkonkurenční rychlostí a efektivitou.
Předáme vašim zaměstnancům znalosti nezbytné pro udělení certifikace.
Prvním krokem je kurz PCI DSS Intro, kde získáte znalosti standardů pro bezpečný přenos dat u platebních karet a seznámíte se s nástroji, jak navrhnout a vybudovat “certifikované” PCI DSS prostředí.
Následuje kurz PCI DSS Assesor pro budoucí auditory. V jeho průběhu vás naučíme osvědčené postupy a techniky potřebné pro ochranu a bezpečnost dat, ukážeme vám roadmapu implementace všech 12 požadavků. Pochopíte praktické dopady standardu a stanete se skutečnými odborníky v oblasti plnění požadavků i assesmentu PCI DSS.
Připravili jsme pro vás balíček podpůrných materiálů, které vám usnadní cestu k úspěšné certifikaci.
Propracovaný systém dokumentů zahrnuje kompletní šablony, vzory a formuláře, které vás provedou sestavením klíčové příručky pro celou firmu, a to včetně kontrolních listů. S nimi budete mít jistotu, že jste optimalizovali všechny procesy ve firmě, jak vyžaduje legislativa i certifikace. Autory toolkitu jsou naši akreditovaní auditoři, přední odborníci na danou oblast, kteří garantují věcnou správnost a kvalitu všech obsažených materiálů.
Získejte potvrzení, že vaše firemní procesy odpovídají přísným normám kybernetické bezpečnosti.
Consorcium PCI DSS definuje 4 certifikační úrovně, které se liší podle typu zpracování platebních transakcí a jejich objemu.
Certifikaci osobně provede náš vedoucí auditor. První stupeň interního auditu – desktop review – se zaměří na popis aktuálního stavu bezpečnostní dokumentace z hlediska její komplexnosti i kompletnosti. Na něj naváže process review, kde vyhodnotíme shodu dokumentace s realitou a sestavíme seznam potřebných opatření.
Seznámíme se s vaší situací a konkrétní postup při certifikaci navrhneme tak, aby vycházel vstříc vašim skutečným potřebám. A dokážeme pružně zareagovat na vaše ad hoc požadavky v průběhu certifikace.
Jsme součástí mezinárodní společnosti, od níž čerpáme know-how i zázemí. Naši auditoři jsou špičkovými odborníky, kteří se podílejí na tvorbě příslušných zákonů.
Většinu administrativní zátěže převezmeme za vás a díky zkušenostem i detailní customizaci dokážeme certifikační proces zrealizovat až o 75 % rychleji než konkurence.
Jako jediný akreditační orgán na trhu vás a vaše zaměstnance zároveň i proškolíme. Je to jeden z důvodů, proč drtivá většina našich certifikací končí úspěchem.
Většinu administrativní zátěže převezmeme za vás a díky zkušenostem i detailní customizaci dokážeme certifikační proces zrealizovat až o 75 % rychleji než konkurence.
Jako jediný akreditační orgán na trhu vás a vaše zaměstnance zároveň i proškolíme. Je to jeden z důvodů, proč drtivá většina našich certifikací končí úspěchem.
Nabízíme nejlepší poměr mezi kvalitou a cenou certifikace. Zvládáme se přizpůsobit korporacím i start-upům, naše výstupy jsou ale vždy stejně precizní.
I když je náš tým plný renomovaných specialistů z celé řady odvětví, jsme úplně normální lidé. Klientům poskytujeme tu nejlepší zákaznickou péči a věnujeme mnoho energie jejich vzdělávání.
Novinky a důležité informace (nejen) o PCI DSS přinášíme na našem blogu.
Norma PCI DSS vznikla v roce 2004 na popud asociací VISA a MasterCard a později ji přijaly i další organizace v tomto odvětví jako American Express, Dinners Club nebo JCB International. Pro řízení celého programu bezpečnosti v odvětví platebních karet byla také vytvořena společnost PCICo (PCI Security Standards Council), jejímiž zakladateli a zároveň vlastníky jsou právě jednotlivé asociace.
PCI DSS je součástí celé stejnojmenné skupiny standardů, kam patří zároveň normy PCI PTS (PCI PIN Transaction Security Requirements), PCI PA-DSS (Payment Application Data Security Standard) a P2PE (Point-To-Point Encryption). Framework standardů vychází z norem řady ISO 27000.
Standard PCI DSS stanovuje šest skupin cílů, které přináší 12 požadavků:
CÍL: Vybudovat a udržet zabezpečenou síť
Nainstalovat a udržovat nastavení firewallu, které bude chránit data držitelů karet
Nepoužívat tovární nastavení pro hesla a další bezpečnostní parametry
CÍL: Zajistit bezpečnost údajů držitelů karet
Chránit uchovávaná data
Zašifrovat přenos údajů přes otevřené a veřejné sítě
CÍL: Zavést opatření pro řízení zranitelnosti
Používat a pravidelně aktualizovat antivirový software nebo program
Vybudovat a udržovat bezpečné systémy a aplikace
CÍL: Zavést robustní opatření pro kontrolu přístupu
Omezit přístup k údajům držitelů karet pouze pro potřeby společnosti
Přidělit unikátní ID každému, kdo má přístup k počítači
Omezit fyzický přístup k datům držitelů karet
CÍL: Pravidelně monitorovat a testovat sítě
Sledovat a monitorovat veškeré přístupy k údajům držitelů karet
Pravidelně testovat bezpečnost systémů a procesů
CÍL: Udržovat v organizaci politiku bezpečnosti informací
Posilovat povědomí o bezpečnosti informací u zaměstnanců a dalších zainteresovaných stran
Společně se standardem PCI DSS vznilky dva kontrolní nástroje, které ověřují, zda se daná společnost řídí stanovenými požadavky.
Audit založený na testování na místě, provádí se jednou ročně.
Externí testování zranitelnosti síťové infrastruktury a informací, probíhá čtvrtletně.
Často kladené otázky o certifikaci PCI DSS
Jak souvisí PCI DSS a PA DSS?
Norma PA DSS (Payment Application Data Security Standard) taktéž spadá do skupiny standardů PCI. Je určena dodavatelům platebních aplikací, které uchovávají, zpracovávají nebo přenášejí údaje držitelů karet nebo jiná citlivá autentizační data. Obchodníci mají povinnost používat jen ty aplikace a softwary, které jsou certifikované na PA DSS.
Jaký je rozsah PCI DSS certifikace?
Požadavky PCI DSS se vztahují na všechny komponenty systémů, jako jsou servery nebo aplikace, které vstupují do prostředí dat držitelů karet nebo jsou s tímto prostředím propojené. Patří mezi ně také virtuální komponenty jako virtuální stroje, přepínače, routery či zařízení, virtuální aplikace nebo pracovní stanice apod.
Prostředí dat držitelů karet zahrnuje pracovníky, procesy a technologie, které zpracovávají informace o držitelích karet nebo citlivá autentizační data.
Při hodnocení PCI DSS se nejprve přesně určí rozsah prověrky. Před pravidelným ročním auditem pak musí testovaný subjekt identifikovat všechna místa a toky dat držitelů karet a potvrdit, že jsou do stanoveného rozsahu PCI DSS zahrnuty.
Jaké jsou nejčastější problémy při realizaci auditů?
Nezdokumentovaný informační systém
U řady našich klientů zjišťujeme, že různé části systému vznikaly několik let a jejich vývoj nebyl dostatečně zdokumentován. Často klient není schopen vysvětlit, která konkrétní data informačním systémem vlastně procházejí.
Ukládání citlivých dat po autorizaci platební transakce
Citlivá data (například celé číslo karty) nesmí obchodníci po provedení autorizace platební transakce za žádných okolností ukládat, například v záznamech událostí (logy), zálohách nebo přímo v databázi.
Nedostatečné řešení informační bezpečnosti
Často se u našich klientů setkáváme se stavem, kdy není informační bezpečnost řešena tak, jak by měla: zaznamenávání událostí (logování a monitorování) je nedostatečné nebo úplně chybí, neexistuje žádný proces pro pravidelnou aktualizaci bezpečnostních záplat, zaměstnanci nemají nutné povědomí o informační bezpečnosti a kontrola nad řízením změn je také nevyhovující.