PCI DSS Standard

12 podmínek pro bezpečné nakládání s citlivými bankovními údaji

Co je to standard PCI DSS?

Bezpečnostní standard PCI DSS představuje souhrn mezinárodních pravidel, definujících podmínky pro nakládání s údaji držitelů platebních a kreditních karet v rámci informačních systémů, které tato data zpracovávají, přenášejí nebo uchovávají. Obsah pravidel je spravován a upravován mezinárodními karetními asociacemi a společnostmi (PCI Council), mezi něž patří například VISA, Mastercard, American Express, JCB nebo Discovery.

Slovníček pojmů elektronického bankovního systému:

  • Držitel platební karty: majitel platební karty či asociovaného bankovního účtu (koncový zákazník)
  • Emitent: bankovní instituce spravující účet koncového zákazníka
  • Obchodník: obchodní subjekt akceptující platební karty
  • Akceptační banka: bankovní instituce přijímající transakce jménem obchodníka
  • Asociace platebních karet: důvěryhodné třetí osoby, zprostředkovávající vztah mezi transakčními aktéry (Visa, MasterCard, American Express apod.)
  • Payment Service Providers (PSP): ostatní články zapojené do procesního řetězce elektronických plateb - např. poskytovatelé IaaS (mezi něž se počítá i společnost OVH)

Každá banka, která vydává platební karty svým klientům nebo přijímá transakce pro své obchodní zákazníky, může poskytovat smluvní definici bezpečnostních požadavků, které její zákazníci a partneři musejí splňovat. Bezpečnostní standard PCI DSS definuje nejběžnější úroveň zabezpečení, obsahující převážnou většinu běžně vyžadovaných bezpečnostních pravidel a opatření. Standard PCI DSS se v průběhu času stal etalonem v oblasti elektronických plateb, v důsledku čehož se dodržování této normy stalo systematickým požadavkem pro strany zapojené do online platebních procesů. Každá ze stran zapojených do hostitelského řetězce online platebního systému nese určitou odpovědnost za udržení celkové bezpečnosti platformy. Tyto povinnosti jsou smluvně převáděny ze členů Asociace platebních karet na ostatní zúčastněné aktéry.

Bezpečnostní standard PCI DSS oficiálně zahrnuje více než 250 kontrolních bodů a nařízení pro bezpečné nakládání s platebními údaji. Kontrolní body jsou rozděleny do šesti skupin:

  • Vytvoření a správa zabezpečené sítě a systému

    1. podmínka: vytvoření a správa firewallové konfigurace pro ochranu údajů o držiteli platební karty
    2. podmínka: eliminace používání systémových hesel a dalších bezpečnostních parametrů definovaných dodavateli hardwaru.
  • Ochrana údajů o držiteli platební karty

    3. podmínka: zabezpečení údajů o držiteli platební karty
    4. podmínka: šifrování přenosu údajů o držiteli platební karty v rámci veřejných sítí
  • Implementace programu pro kontrolu zranitelnosti

    5. podmínka: zabezpečení systému proti malwaru a zajištění pravidelných aktualizací antivirového softwaru
    6. podmínka: vývoj a správa zabezpečených systémů a aplikací
  • Implementace striktních opatření pro kontrolu přístupu

    7. podmínka: omezení přístupu k údajům o držiteli platební karty na úroveň jednotlivců, kteří se bez jejich znalosti neobejdou.
    8. podmínka: identifikace a autorizace všech osob s přístupem do systému
    9. podmínka: omezení fyzického přístupu k údajům o držiteli platební karty
  • Pravidelné testování a monitoring sítí

    10. podmínka: monitoring přístupů k síťovým zdrojům a údajům o držiteli platební karty
    11. podmínka: pravidelné testování bezpečnostních systémů a procesů
  • Správa zásad o práci s bezpečnostními údaji

    12. podmínka: přijetí zásad o práci s bezpečnostními informacemi, vztahujících se na celý pracovní kolektiv.

Validace shody obchodního subjektu s PCI DSS

Bezpečnostní standard PCI DSS se vztahuje na celou elektronickou platební platformu a veškeré komponenty poskytované jednotlivými dodavateli. To znamená, že každý ze subjektů zapojených do využívání této platformy je povinen splňovat specifické požadavky, vážící se k jím vyvíjeným aktivitám. Obchodní subjekt je krom toho povinen prokázat shodu se standardem PCI DSS koncovým uživatelům.

Společnost OVH nese v kontextu služby OVH PCI DSS Payment Infrastructure odpovědnost za zabezpečení fyzické infrastruktury, zatímco odpovědnost za bezpečnost virtuálních strojů, virtuálních sítí a aplikačních vrstev je zcela záležitostí našich zákazníků. V tomto smyslu je shoda s bezpečnostním standardem PCI DSS společným úsilím o kombinaci bezpečnostních opatření, vážících se k Vašim aplikacím a systémové platformě, s bezpečnostními opatřeními integrovanými v rámci infrastruktury OVH Private Cloud.

Samotná validace shody s bezpečnostním standardem PCI DSS může být zajištěna následujícími subjekty: QSA (Qualified Security Assessor) - externí certifikovaný auditor, který provede audit přímo na místě; ISA (Internal Security Auditor) - vlastní zaměstnanec obchodníka, který úspěšně absolvoval certifikační program PCI DSS; Odborný zaměstnanec obchodníka, který provede sebehodnotící audit a vyplní příslušný autoevaluační dotazník.

Ověření shody s PCI DSS je strukturovaný proces, jehož charakteristické znaky a specifické obligace záleží na následujících faktorech:

  • Množství ročně provedených transakcí
  • Typ akceptovaných platebních karet
  • Akceptační banka
  • Komplexita platební infrastruktury

Proces nabytí ověření o shodě se standardem PCI DSS zahrnuje zkontaktování všech zúčastněných stran a pochopení jejich požadavků. Společnost OVH proto silně doporučuje detailní konzultaci s Vaším bankovním ústavem a/nebo s externím certifikovaným auditorem (QSA).

Úrovně validačních požadavků VISA

Úroveň Popis Požadavky
1 > 6 milionů transakcí/rok Provedení auditu prostřednictvím externího auditora (QSA)
Čtvrtletní scan od ASV (Approved Scanning Vendor)
Atestace dodržení veškerých certifikačních podmínek
2 1 milion < x < 6 milionů transakcí/rok Autoevaluační dotazník
Čtvrtletní scan od ASV (Approved Scanning Vendor)
Atestace dodržení veškerých certifikačních podmínek
3/4 x < 1 milion transakcí/rok Definováno a ověřováno každou bankou

Zdroj: https://www.visaeurope.com/receiving-payments/security/merchants
Tato data mají pouze informační charakter. Pro získání přesných informací ohledně své kategorizace se prosím obraťte na svou akceptační banku.

Platforma OVH je podrobována pravidelným ročním auditům (QSA). Výsledky těchto auditů jsou Vám k dispozici na požádání. Na základě informací obsažených v těchto dokumentech lze:

  • Porozumět požadavkům zahrnutým v naší certifikaci
  • Porozumět požadavkům, které jsou kladeny na Vás
  • Obeznámit svého externího auditora (QSA) se skutečností, že infrastruktura společnosti OVH je ve shodě s bezpečnostním standardem PCI DSS

Společnost OVH nabízí asistenci se splněním podmínek pro shodu s certifikátem PCI DSS, a to prostřednictvím konzultací s interním odborným týmem a podpůrné dokumentace:

  • Odpovědnostní matrice PCI DSS
  • Specifické podmínky vymezující odpovědnostní spektrum společnosti OVH
  • Specifikační šablona pro provádění povinných testů narušení

Odpovědnostní matrice

Odpovědnostní matrice jednoznačně vymezuje oblasti odpovědnosti společnosti OVH a jejích zákazníků s ohledem na shodu s bezpečnostním standardem PCI DSS. Díky tomu mohou naši zákazníci anticipovat, kterým aspektům mají při aspiraci na dosažení validace věnovat zvýšenou pozornost.

Vytvoření a správa zabezpečené sítě a systému
1. podmínka: vytvoření a správa firewallové konfigurace pro ochranu údajů o držiteli platební karty OVH na straně fyzické sítě
Klient na straně virtuálních sítí v rámci virtuálního datacentra
2. podmínka: eliminace používání systémových hesel a dalších bezpečnostních parametrů definovaných dodavateli hardwaru. Klient na straně virtuálních strojů a aplikací
Ochrana údajů o držiteli platební karty
3. podmínka: zabezpečení údajů o držiteli platební karty Exkluzivní zodpovědnost na straně klienta, spojená s implementací dat
4. podmínka: šifrování přenosu údajů o držiteli platební karty v rámci veřejných sítí Exkluzivní zodpovědnost na straně klienta, spojená s implementací dat
Implementace programu pro kontrolu zranitelnosti
5. podmínka: zabezpečení systému proti malwaru a zajištění pravidelných aktualizací antivirového softwaru OVH na straně fyzické infrastruktury
Klient na straně virtuálních strojů a aplikací
6. podmínka: vývoj a správa zabezpečených systémů a aplikací OVH na straně fyzické infrastruktury
Klient na straně virtuálních strojů a aplikací
Implementace striktních opatření pro kontrolu přístupu
7. podmínka: omezení přístupu k údajům o držiteli platební karty na úroveň jednotlivců, kteří se bez jejich znalosti neobejdou. OVH na straně fyzické infrastruktury
Klient na straně virtuálních strojů a aplikací
8. podmínka: identifikace a autorizace všech osob s přístupem do systému OVH na straně fyzické infrastruktury
Klient na straně virtuálních strojů a aplikací
9. podmínka: omezení fyzického přístupu k údajům o držiteli platební karty Exkluzivní zodpovědnost na straně společnosti OVH, vyplývající z fyzické správy dané platformy
Pravidelné testování a monitoring sítí
10. podmínka: monitoring přístupů k síťovým zdrojům a údajům o držiteli platební karty OVH na straně fyzické infrastruktury
Klient na straně virtuálních strojů a aplikací
11. podmínka: pravidelné testování bezpečnostních systémů a procesů OVH na straně fyzické infrastruktury
Klient na straně virtuálních strojů a aplikací
Správa zásad o práci s bezpečnostními údaji
12. podmínka: přijetí zásad o práci s bezpečnostními informacemi, vztahujících se na celý pracovní kolektiv. OVH na straně fyzické infrastruktury
Klient na straně virtuálních strojů a aplikací

OVH Payment Infrastructure

  • Payment Services Provider (PSP) Level 1
  • PCI DSS V3.2
  • QSA Provadys
  • PCI DSS je k dispozici v rámci služby OVH Payment Infrastructure. Upgrade lze provést z jakékoli infrastruktury SDDC
  • Rozsah: odpovědnostní oblasti společnosti OVH (viz Odpovědnostní matrice)

Schéma

Níže naleznete schématické příklady dvou různých elektronických platebních řetězců, demonstrujících smluvní a validační vztahy mezi jednotlivými subjekty. Každý individuální případ je něčím výjimečný a vyžaduje důkladnou analýzu, avšak na obecné úrovni se vždy blíží některému z následujících schémat.

A) Jste obchodník hostující svou platformu na infrastruktuře OVH PCI DSS:

B) Jste "Payment Services Provider" (PSP), hostující své systémy na infrastruktuře OVH PCI DSS. Vaši klientelu tvoří obchodníci:

Více informací

Detailní informace týkající se PCI DSS naleznete na webových stránkách PCI Council, nebo na oficiálních webových stránkách vydavatelů platebních karet:

https://www.pcisecuritystandards.org/
https://www.visaeurope.com/receiving-payments/security/
https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/site-data-protection-PCI.html