Vítejte na stránkách
PCI DSS
Sebehodnotící dotazník (SAQ)
Registrace
Přihlásit
Dotaznik A
Dotaznik B
Dotaznik C
Dotaznik C-VT
Dotaznik D
pro obchodníky
Dotaznik D
pro poskytovatele služeb
PCI DSS Požadavky
Pro obchodníky
Pro poskytovatele služeb-agenty
E-školení
O projektu
Výběr typu dotazníku
Kontakt
FAQ
Podmínky užití
Úvod
PCI-DSS (Payment Card Industry Data Security Standard)
  • PCI DSS - konkrétní bezpečnostní požadavky/doporučení, které musí být minimálně použity při akceptaci platebních karet, upravující jak chránit údaje (držitelů platebních karet resp. transakční data) – jedná se o 12 požadavků z 6 oblastí
  • součástí mezinárodních bezpečnostních standardů (norem), jejichž cílem je omezit rizika úniků dat držitelů platebních karet a kartovým podvodům vyplývajícím ze zneužití těchto dat – organizačně zajišťuje Rada pro bezpečnostní standardy PCI SSC  (účelové sdružení AMEX, Discover, JCB, MC, VISA), nicméně každá kartová společnost má své vlastní požadavky a pravidla pro bezpečnost a její sledování a vyhodnocování
  • na standardy bezpečnosti zacházení s daty (PCI DSS) navazují standardy upravující HW (PCI PED/PTS a standardy upravující SW (PA DSS)
  • PCI DSS jsou určeny pro organizace resp. prostředí, kde jsou zpracovávána, přenášena anebo uchovávána data o držitelích platebních karet a kartových transakcích (obchodníci akceptující platební karty, outsourcingoví partneři obchodníků a bank, autorizační centrály)

Veškeré informace jsou dostupné na oficiálních stránkách www.pcisecuritystandards.org

Přehled požadavků / standardů

Vybudování a udržení bezpečné sítě

1. Instalovat a udržovat konfiguraci firewallů k ochraně dat držitelů karet

Firewally jsou počítačová zařízení, která  kontrolují přípustné počítačové přenosy mezi firemní a externí sítí a mezi částmi firemních sítí (přenosy do a z citlivějších oblastí. Systémy musí být chráněny před neautorizovaným přístupem. Firewally jsou klíčovým ochranným mechanismem jakékoliv počítačové sítě.

2. Nepoužívat pro systémová hesla a jiné bezpečnostní parametry výchozí nastavení od dodavatele

Standardní dodavatelská hesla i jiná standardní dodavatelská nastavení jsou vesměs známá a lze je snadno odhalit prostřednictvím veřejně dostupných informací. Jejich použití tedy představuje značné bezpečnostní riziko.

Ochrana dat držitelů karet

3. Chránit uchovávaná data držitelů karet

 

Metody ochrany mohou být např. šifrování, zkrácení, maskování a transformace (hashing). Nečitelná data jsou pro zneužití nepoužitelná. Další metody minimalizace rizika jsou neukládání dat, pokud to není nezbytné, krácení dat držitelů karet, neposílání nechráněných čísel karet s použitím koncových technologií odesílání zpráv (např. e-mail).

4. Zašifrovat přenos dat držitelů karet po otevřených veřejných sítích

Citlivé informace musí být zašifrovány během přenosu po sítích, které jsou snadno přístupné. Např. špatně konfigurované bezdrátové sítě a zranitelná místa ve stávajících programech a autentizačních protokolech mohou být cílem pro útok

Vedení programu kontroly zranitelnosti

5. Používat a pravidelně aktualizovat antivirový software nebo programy

Závadný sw (vir, červ, trojský kůň) se může do sítě dostat i běžnou schválenou cestou (internet, el. pošta, paměťová média apod.), umožňuje využívání zranitelných míst systémů. Antivirový sw se musí používat na všech systémech běžně postihovaných závadným sw k ochraně před jeho hrozbami.

6. Vyvíjet a udržovat bezpečné systémy a aplikace

Rizikem jsou bezpečnostní slabiny sw. Mnohé slabiny jsou dodatečně opravovány bezpečnostními záplatami. Je třeba zajistit okamžité nasazování nejnovějších záplat k ochraně systémů.

Zavedení důkladných opatření ke kontrole přístupu

7. Omezit přístup k datům držitelů karet jen podle potřeby

Je třeba zajistit a uplatňovat systémy a procesy omezující přístup jen pro ty pracovníky, kteří ho nezbytně potřebují a jen k těm údajům, které nezbytně potřebují – tj. omezit rizika zneužití dat.

8. Přidělit jedinečné ID každé osobě s přístupem k počítači

Přidělit jedinečné identifikace každé osobě s přístupem vytváří předpoklady pro zajištění evidence přístupů a činností jednotlivých osob a jejich jedinečnou odpovědnost. Je-li tato odpovědnost zavedena, mohou být akce na kritických datech vysledovány ke známým a autorizovaným uživatelům.

9. Omezit fyzický přístup k datům držitelů karet

Jakýkoliv fyzický přístup k datům nebo systémům, které uchovávají data držitelů karet, znamená příležitost přístupu jednotlivce k zařízením nebo datům a možnost odstraňovat systémy nebo kopie a měl by být příslušně omezen.

Pravidelné sledování a testování sítí

10. Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet

 

Záznamové mechanismy a schopnost sledovat uživatelské aktivity jsou kritické při prevenci, odhalování nebo minimalizaci dopadu narušení dat. Přítomnost záznamů ve všech prostředích umožňuje důkladné sledování, varování a analýzu, pokud nastanou potíže.  Bez záznamů aktivit v systému je odhalení příčin narušení obtížné.

11. Pravidelně testovat bezpečnostní systémy a procesy

Zranitelná místa jsou průběžně objevována a řešena novým sw. Systémové komponenty, procesy  a sw by měly být často testovány, přičemž bezpečnostní kontroly by měly odrážet měnící se prostředí

Udržování pravidel pro bezpečnost informací

12. Zavést a udržovat postupy, které řeší bezpečnost informací, pro zaměstnance a dodavatele

Všechen personál (zaměstnanci i pracovníci třetích stran) si musí být vědom citlivosti dat a své odpovědnosti za jejich ochranu.

Požadavky a postupy vyhodnocování jejich plnění se ve 3-letých cyklech aktualizují, v současnosti je platná verze 3.0, a to od 1.1.2014, přičemž rok 2014 je přechodným obdobím, ve kterém je možné pracovat i s verzí 2.0. Tyto stránky pracují s verzí 2.0, implementace verze 3.0 se předpokládá kolem poloviny r. 2014.

POZOR! Aktuálně jsou v r. 2016 platné PCI DSS požadavky a jim příslušející sebehodnotící dotazníky (SAQ) verze 3.1., úpravy zatím nejsou na těchto stránkách zohledněny. Veškeré údaje jsou pouze informativní, dotazníky nevyplňujte, individuální platby za podporu komfortního vyplňování jsou dočasně zablokovány.“