Bezpečnost platebních karet - PCI DSS
Mezinárodní bezpečnostní standardy v oblastní platebních karet („PCI DSS“) jsou povinné pro všechny subjekty, které uchovávají, zpracovávají nebo přenášejí data držitelů platebních karet. Soulad se standardem PCI DSS včetně každoročního auditu je vyžadován pro poskytovatele nebo provozovatele platebních služeb nad definované počty zpracovávaných transakcí.
Rada pro bezpečnostní standardy v odvětví platebních karet velmi často vydává nové standardy a pokyny v souvislosti s rychlým rozvojem nových IT technologií a infrastruktur.
Standardní proces implementace programu dodržování PCI DSS standardů
Nejprve je důležité pochopit, pro koho jsou PCI DSS standardy určeny, jaký je jejich význam, co znamenají všechny stanovené požadavky a na kterou část infrastruktury, interních procesů a organizačních oddělení se vztahují.
Přísné standardy není nutné aplikovat na úplně celé IT prostředí organizace. Pro efektivní implementaci všech kontrolních systémů a procesů je třeba definovat, které části systému budou spadat pod regulaci PCI DSS standardů a které nikoli. Dále je důležité rozlišovat mezi prostředím držitelů karet (CDE) a připojenými systémy, neboť požadavky mohou být pro tyto oblasti odlišné.
Je zřejmé, že čím více je prostředí klienta složitější, tím je nákladnější zajistit dodržování PCI DSS standardů. Efektivní redukce rozsahu prostředí, kde jsou ukládány data držitelů platebních karet, tak zpravidla umožní velmi významné snížení finanční nákladů i času a úsilí nezbytného k implementaci a dodržování
všech opatření nezbytných ke splnění všech platných požadavků v rámci PCI DSS.
Systémová analýza nesouladu je komplexní posouzení IT prostředí, které má dodržovat PCI DSS standardy a cílem nalézt všechny rozdíly současného stavu oproti požadavkům PCI DSS, které se vztahují na oblast, kde jsou zpracovávána data držitelů karet nebo na připojené systémy k této oblasti. Následně jsou nadefinovaná opatření k eliminaci všech nedostatků a jsou připraveny akční plány pro dosažení souladu s PCI DSS standardem.
Po provedení analýzy nesouladu systému s PCI DSS jsou vypracovány akční plány na odstranění zjištěných nedostatků. Mezery a nedostatky je třeba přesně definovat, stejně jako proces jejich nápravy a určit osobu, která nese odpovědnost za realizaci akčních plánů. Po provedení kvalitní systémové analýzy a nadefinování akčních plánů lze již vyhodnotit přibližnou časovou a finanční investici nutnou k implementaci všech požadavků dle PCI DSS standardu.
Po vymezení a schválení akčních plánů nastává jejich realizace. Je nutné nadefinovat a přiřadit role, vytvořit dokumentaci k interní politice, nastavit procesní pravidla i technické provozní postupy pro technickou bezpečnostní kontrolu. Plnění akčních plánů je třeba průběžně dokládat důkazní formou.
Implementace navržených opatření je jen začátkem každodenního dodržování nastavených pravidel a procesů a pravidelného provádění bezpečnostních kontrol, mezi které patří např. skenování zranitelnosti, penetrační testy, revize pravidel na firewallu atd. Dodržování všech procesních a technických postupů a kontrol musí být pravidelně kontrolováno.
