Bezpečnost platebních karet - PCI DSS

Mezinárodní bezpečnostní standardy v oblastní platebních karet (“PCI DSS”) jsou povinné pro všechny subjekty, které uchovávají, zpracovávají nebo přenášejí data držitelů platebních karet. Soulad se standardem PCI DSS včetně každoročního auditu je vyžadován pro poskytovatele nebo provozovatele platebních služeb nad definované počty zpracovávaných transakcí.

Rada pro bezpečnostní standardy v odvětví platebních karet velmi často vydává nové standardy a pokyny v souvislosti s rychlým rozvojem nových IT technologií a infrastruktur.

25%

útoků na zcizení dat v roce 2018 cílilo na databáze s daty držitelů karet

důvodem je jejich snadné zpeněžení.

260+

požadavků na IT bezpečnost v oblasti  PCI DSS

Pro jejich řádné naplnění je nutné zajistit spolupráci odborníků na tuto oblast.

Standardní proces implementace programu dodržování PCI DSS standardů

Nejprve je důležité pochopit, pro koho jsou PCI DSS standardy určeny, jaký je jejich význam, co znamenají všechny stanovené požadavky a na kterou část infrastruktury, interních procesů a organizačních oddělení se vztahují.

Přísné standardy není nutné aplikovat na úplně celé IT prostředí organizace. Pro efektivní implementaci všech kontrolních systémů a procesů je třeba definovat, které části systému budou spadat pod regulaci PCI DSS standardů a které nikoli. Dále je důležité rozlišovat mezi prostředím držitelů karet (CDE) a připojenými systémy, neboť požadavky mohou být pro tyto oblasti odlišné. 

Je zřejmé, že čím více je prostředí klienta složitější, tím je nákladnější zajistit dodržování PCI DSS standardů. Efektivní redukce rozsahu prostředí, kde jsou ukládány data držitelů platebních karet, tak zpravidla umožní velmi významné snížení finanční nákladů i času a úsilí nezbytného k  implementaci a dodržování
všech opatření nezbytných ke splnění všech platných požadavků v rámci PCI DSS.

Systémová analýza nesouladu je komplexní posouzení IT prostředí, které má dodržovat PCI DSS standardy a cílem nalézt všechny rozdíly současného stavu oproti požadavkům PCI DSS, které se vztahují na oblast, kde jsou zpracovávána data držitelů karet nebo na připojené systémy k této oblasti. Následně jsou nadefinovaná opatření k eliminaci všech nedostatků a jsou připraveny akční plány pro dosažení souladu s PCI DSS standardem.

Po provedení analýzy nesouladu systému s PCI DSS jsou vypracovány akční plány na odstranění zjištěných nedostatků. Mezery a nedostatky je třeba přesně definovat, stejně jako proces jejich nápravy a určit osobu, která nese odpovědnost za realizaci akčních plánů. Po provedení kvalitní systémové analýzy a nadefinování akčních plánů lze již vyhodnotit přibližnou časovou a finanční investici nutnou k implementaci všech požadavků dle PCI DSS standardu.

Po vymezení a schválení akčních plánů nastává jejich realizace. Je nutné nadefinovat a přiřadit role, vytvořit dokumentaci k interní politice, nastavit procesní pravidla i technické provozní postupy pro technickou bezpečnostní kontrolu. Plnění akčních plánů je třeba průběžně dokládat důkazní formou.

Implementace navržených opatření je jen začátkem každodenního dodržování nastavených pravidel a procesů a pravidelného provádění bezpečnostních kontrol, mezi které patří např. skenování zranitelnosti, penetrační testy, revize pravidel na firewallu atd. Dodržování všech procesních a technických postupů a kontrol musí být pravidelně kontrolováno.

Otázky, na které byste měli znát odpověď:

Musíme splňovat a dodržovat PCI DSS standardy?

Jaké další PCI standardy se na nás vztahují?

Jak definovat rozsah prostředí údajů držitelů karet (CDE)?

Které konkrétní požadavky se vztahují na nás?

Mohou poskytovatelé služeb našeho IT ovlivnit dodržení souladu se standardy?

Kdy budeme muset splnit nově vydané požadavky PCI DSS?

Jaký dopad bude mít nasazení nových služeb a produktů na dodržování standardů?

Jsou naše evidence a doklady o provedených kontrolách pro auditora postačující?

Naše přidaná hodnota

Pro PCI DSS je povrchní znalost nedostatečná. Nedostatečné pochopení standardu může vést k chybnému architektonickému rozhodnutí a obrovským nákladům na úpravy systémů v budoucnu. Naší velkou výhodou jsou skutečně bohaté zkušenosti v oblasti PCI, které naši experti získali nejen jako certifikovaní auditoři QSA, ale i jako poradci auditovaných společností. Umíme tak lépe porozumět problémům a situacím, které řeší “obě strany” a snadněji hledat to správné řešení, které “obě strany” dokáže uspokojit. Umíme například: