You are here:

Standard PCI

Contact us

free consultation

PCI DSS

Rada PCI SSC  jest niezależną organizacją, założoną przez organizacje płatnicze (Visa, Mastercard, American Express, Diners Club i JCB), której celem jest stworzenie i utrzymanie standardu bezpieczeństwa informacji (PCI DSS) w celu ograniczenia oszustw związanych z kartami płatniczymi i zwiększenia ich bezpieczeństwa.


Payment Card Industry Data Security Standard (PCI DSS) to globalny standard - wspólny, spójny i bezpieczny minimalny poziom ochrony danych osobowych posiadaczy kart oraz informacji związanych z transakcjami dokonywanymi za pomocą kart płatniczych.
PCI DSS to zestaw wymagań i  praktyk  opracowanych na podstawie najlepszych wytycznych branżowych, rozwoju technologii oraz w celu uwzględnienia najnowszych zagrożeń bezpieczeństwa.


SC2labs świadczy usługę audytu  PCI DSS, jako uprawniony audytor PCI QSA

certyfikowany przez  PCI Security Standards Council.

PCI DSS version 4.0

Opublikowana w marcu 2022 roku nowa wersja  Standardu PCI DSS 4.0  zastępuje wersję 3.2.1, żeby uwzględnić zmieniające się środowisko, unowocześniane technologie oraz umożliwić innowacyjne metody zwalczania nowych zagrożeń.


Grupa docelowa

PCI DSS jest standardem globalnym i  dotyczy każdego podmiotu na świecie, niezależnie od jego wielkości i liczby transakcji, który przechowuje, przetwarza lub przekazuje dane kartowe.

Każda organizacja, której dotyczy standard jest zobowiązana do  udowodnienia swojej  zgodności. Rodzaj walidacji uwarunkowany jest głównie przyporządkowaniem do danego poziomu, jednak ostateczną decyzję podejmuje zawsze acquirer.

Standard PCI DSS obejmuje różne narzędzia badania zgodności, w tym:

  • Coroczny Audyt w placówce (On-site/Internal Audit) przeprowadzany raz w roku w lokalizacji Klienta przez audytora  akredytowanego przez  PCI DSS z certyfikatem QSA (Qualified Security Assessor) lub przez ISA (Internal Security Assessor może nim zostać pracownik firmy zajmujący się bezpieczeństwem, firma która zamierza oddelegować pracownika na coroczny kurs organizowany przez PCI Council musi najpierw uzyskać status „Sponsor Company”). Zgodność ze standardem potwierdzona jest dokumentem RoC Report on Compliance i AoC Attestation of Compliance.

  • SAQ – Self-Assessment Questionnaire roczny kwestionariusz samooceny wypełniany samodzielnie lub dla podmiotów (merchant) z poziomu 2 uzupełniony przez ISA lub przy asyście audytora QSA.

  • Skanowanie PCI ASV – Network Scan kwartalny skan sieci obejmujący zewnętrzne adresy IP przeprowadzany przez akredytowaną firmę audytorską PCI DSS z certyfikatem ASV  (Approved Scanning Vendor).


SC2labs świadczy usługę audytu PCI DSS, wsparcia przy wypełnianiu SAQ 

oraz wykonuje skany PCI ASV.


Poziomy

Walidacja zgodności z wymogami PCI DSS odbywa się zgodnie z poziomem handlowca/usługodawcy (merchant/service provider). Podstawowym kryterium jest ilość transakcji. 

Merchant:

Level Criteria Requirements Validation
1
  • Merchant processing over 6 milion transactions annually
  • Merchant that suffered a security breach, resulting in an account compromise
  • Individual payment brand decision
  • On-site Annual Security Audit
  • Quarterly Network Scan
  • QSA or ISA
  • ASV
2
  • Merchant processing 1 mln to 6 milion transactions annually
  • Annual SAQ
  • Quarterly Network Scan
  • ASV
3
  • Merchant processing over 20000 to 1 milion e-commerce transaction annually
  • Annual SAQ
  • Quarterly Network Scan
  • ASV
4
  • Merchant processing less than 20000 to 1 milion e-commerce transaction annually
  • all other merchants processing up to 1 milion transactions annually
  • Annual SAQ
  • Quarterly Network Scan
  • ASV


Service Providers:

Level Criteria Requirements Validation
1
  • All Third Party Processors (TPPs)
  • All Data Storage Entities (DSE) with more than 300 000 total combined MC/Visa transactions annually
  • On-site Annual Security Audit
  • Quarterly Network Scan
  • QSA
  • ASV
2
  • All DSE’s with 300,000 or less combined MC/Visa transactions annually
  • Annual SAQ
  • Quarterly Network Scan
  • ASV


Wymagania

Standard PCI DSS v3.2.1  obejmuje zagadnienia związane z zarządzaniem bezpieczeństwem,   politykami, procedurami, architekturą  sieci, projektowaniem  oprogramowania i innymi ważnymi składowymi  zabezpieczeń. Standard składa się ze zgrupowanych tematycznie w cele 12 wymogów, z których każde złożone jest z szeregu szczegółowych punktów.

Goal PCI DSS Requirements
  • Build and maintain a secure network
  • Protect cardholder data
  • Maintain a vulnerability management program
  • Implement strong access control measures
  • Regularly monitor and test networks
  • Maintain an Information
  • Install and maintain a firewall configuration to protect cardholder data
  • Do not use vendor-supplied defaults for system passwords and other security   parameters
  • Protect sensitive data
  • Encrypt transmission of cardholder data across open, public networks
  • Use and regularly update anti-virus software
  • Develop and maintain secure systems and applications
  • Restrict access to cardholder data by business need-to-know
  • Assign a unique ID to each person with computer access
  • Restrict physical access to cardholder data
  • Track and monitor all access to network resources and cardholder data
  • Regularly test security systems and processes
  • Maintain a policy that addresses Information security

  • Audyt PCI QSA (Audyt) – badanie systemów informatycznych, dokumentów organizacyjnych, polityk, procedur oraz wywiad pracowniczy wykonywany w siedzibie Klienta pod względem zgodności ze standardem PCI DSS.

  • Audyt PCI ASV – skanowanie PCI ASV –  usługi polegające na sprawdzeniu poziomu zabezpieczeń zewnętrznych systemów informatycznych zgodnie z wymogami standardu PCI DSS.

  • Audyt GAP – badanie stopnia zgodności systemu Klienta z wymogami standardu PCI DSS.

  • PCI QSA – Payment Card Industry Qualified Security Assessor – akredytowany audytor, certyfikowany przez PCI SSC, posiadający uprawnienia do sprawdzania systemów informatycznych do zgodności ze standardem PCI DSS.PCI ASV – Payment Card Industry

  • Approved Scanning Vendor  – akredytowany audytor, certyfikowany przez PCI SSC, posiadający uprawnienia do sprawdzania systemów informatycznych do zgodności ze standardem PCI DSS.

  • Attestation of Scan Compliance (AoSC) – dokument formalny potwierdzający zgodność sprawdzonych systemów z wymaganiem 11.2 PCI DSS.

  • Report on Compliance (RoC) – raport poaudytowy opisujący poziom zgodności rozwiązania Klienta z wymaganiami standardu PCI DSS, przeprowadzone testy, wyniki, zalecenia.

  • Attestation of Compliance (AoC) – potwierdzenie przez PCI QSA zgodności rozwiązania Klienta ze standardem PCI DSS.

  • Issuer – Bank lub inna organizacja wydająca kartę z upoważnienia organizacji płatniczych np. VISA lub MC.

  • Acquirer – Bank lub organizacja, której używa merchant do zrealizowania płatności kartami płatniczymi. Otrzymuje żądania autoryzacji i przesyła do wydawcy (Issuer) w celu akceptacji. Świadczy usługi w procesach: authorization, clearing, settlement dla merchanta. Acquirer zazwyczaj to:

    • Bank Merchanta

    • Agent rozliczeniowy

    • Service provider (niekiedy)

    • Organizacja kartowa (JCB, Discover, Amex)

    • Nigdy VISA lub MC

  • Merchant – Organizacja przyjmująca płatności kartami kredytowymi podczas zakupu.

  • Service Provider – Procesor Transakcji.