─îo je to zhoda s PCI a ako zisti┼ą, ─Źi ju spolo─Źnosti maj├║?

Za posledn├ę dve alebo nieko─żko desa┼ąro─Ź├ş mal elektronick├Ż obchod na podnikanie transforma─Źn├Ż ├║─Źinok. V minulosti bolo dosiahnutie glob├ílnej pr├ştomnosti v├Żzvou aj pre ve─żk├ę korpor├ície, preto┼że si vy┼żadovalo zna─Źn├ę invest├şcie.

V─Ćaka elektronick├ęmu obchodu m├┤┼żu aj mal├ę firmy a startupy prekro─Źi┼ą geografick├ę hranice. V─Ćaka platforme elektronick├ęho obchodu sa mal├Ż podnik m├┤┼że dosta┼ą na trhy po celom svete. Klienti si m├┤┼żu objedna┼ą tovar online a zaplati┼ą prostredn├şctvom kreditn├Żch kariet a ─Źaka┼ą, k├Żm mu bude doru─Źen├Ż jeho tovar.

Spolu s v├Żhodami elektronick├ęho obchodu v┼íak pri┼íli aj niektor├ę v├Żzvy. Kr├íde┼ż identity a podvody s kreditn├Żmi kartami s├║ hlavn├Żmi v├Żzvami, ktor├ę t├íto technol├│gia prin├í┼ía. K podvodu s kreditnou kartou doch├ídza vtedy, ke─Ć neopr├ívnen├ę osoby z├şskaj├║ pr├şstup k inform├íci├ím o va┼íej kreditnej karte. Ke─Ć sa to stane, podvodn├şk m├┤┼że nakupova┼ą a potom ich necha┼ą nabi┼ą na kartu obete.

Len v roku 2018 sa v d├┤sledku podvodov s platobn├Żmi kartami na celom svete stratilo viac ako 24 mili├írd dol├írov. Z tohto ─Ź├şsla 38.6% str├ít bolo vyk├ízan├Żch v USA. V├Żsledkom je, ┼że spotrebitelia a organiz├ície s├║ vo─Źi podvodom s kreditn├Żmi kartami ─Źoraz opatrnej┼í├ş.

Priemyseln├Ż ┼ítandard zabezpe─Źenia ├║dajov platobn├Żch kariet (PCI DSS)

Vzh─żadom na zv├Ż┼íen├Ż po─Źet podvodov s kreditn├Żmi kartami prostredn├şctvom internetu vyvinula spolo─Źnos┼ą Visa v roku 1999 program zabezpe─Źenia inform├íci├ş o dr┼żite─żovi karty. V rovnakom duchu vyvinuli svoje bezpe─Źnostn├ę programy aj JCB, Mastercard, Discover a American Express.

V roku 2004 sa v┼íak t├Żchto p├Ą┼ą spolo─Źnost├ş spojilo a vytvorili ┼ítandard zabezpe─Źenia ├║dajov platobn├Żch kariet (PCI DSS). I┼ílo o jednotn├Ż program zabezpe─Źenia pre sektor platobn├Żch kariet.

Aby poskytli spotrebite─żom komplexn├║ ochranu, za─Źlenili finan─Źn├ę in┼ítit├║cie, spracovate─żsk├ę spolo─Źnosti a ─Ćal┼íie in┼ítit├║cie, ktor├ę nar├íbaj├║ s inform├íciami o spotrebite─żsk├Żch kreditn├Żch kart├ích.

Medzi hlavn├ę ciele PCI DSS patr├ş:

  • Zabr├ínenie neopr├ívnen├ęmu pr├şstupu k inform├íci├ím spotrebite─ża
  • Zabr├í┼łte kr├íde┼żi finan─Źn├Żch prostriedkov z pou┼ż├şvate─żsk├Żch ├║─Źtov
  • Zaistite, aby firm├ím nehrozili pokuty za nedodr┼żanie predpisov

Aj ke─Ć neexistuje ┼żiadny z├íkon o PCI DSS, je to priemyseln├í po┼żiadavka. Ka┼żd├í organiz├ícia, ktor├í spracov├íva platby kreditnou kartou, mus├ş by┼ą v s├║lade s PCI. Aby sa zabezpe─Źil doh─żad nad PCI DSS, Visa a ─Ćal┼íie spolo─Źnosti vyd├ívaj├║ce kreditn├ę karty vytvorili radu PCI Security Standards Council (PCI SSC).

Rada v┼íak nevynucuje dodr┼żiavanie ani nestanovuje pokuty za nedodr┼żanie. Jeho mand├ítom je udr┼żiava┼ą, zlep┼íova┼ą a distribuova┼ą inform├ície o norm├ích dodr┼żiavania predpisov.

├Ürovne a po┼żiadavky zhody PCI

Organiz├ície vy┼żaduj├║ r├┤zne ├║rovne zhody a podliehaj├║ r├┤znym po┼żiadavk├ím. Kateg├│ria, do ktorej spadaj├║, je rozhoduj├║ce, ─Źi je spolo─Źnos┼ą poskytovate─żom slu┼żieb alebo obchodn├şkom a ak├ę riziko im hroz├ş.

Pre obchodn├şkov existuj├║ ┼ítyri ├║rovne zhody PCI DSS a ─Ćal┼íie po┼żiadavky na overenie. Pre poskytovate─żov slu┼żieb existuj├║ iba dve ├║rovne.

Va┼ía spolo─Źnos┼ą bude spada┼ą do jednej z ├║rovn├ş v z├ívislosti od:

  • Po─Źet transakci├ş s kreditnou kartou, ktor├ę ro─Źne spracujete
  • Typ kreditn├Żch kariet, ktor├ę akceptujete

├Ürove┼ł, na ktorej sa nach├ídzate, ovplyvn├ş aj ak├ęko─żvek poru┼íenie ochrany ├║dajov alebo bezpe─Źnostn├ę incidenty, ktor├ę by mohli ohrozi┼ą inform├ície o spotrebite─żskej kreditnej karte.

├Ürove┼ł 1 sp─║┼ła v├Ą─Ź┼íinu bezpe─Źnostn├Żch po┼żiadaviek. Obchodn├şci, ktor├ş patria do tejto kateg├│rie, postupuj├║ medzi 1 a 6 mili├│nov a viac transakci├ş kreditnou kartou. Zatia─ż ─Źo obchodn├şci na in├Żch ├║rovniach sa m├┤┼żu vzda┼ą auditu a vlastn├ęho osved─Źenia, obchodn├şci na prvej ├║rovni musia prejs┼ą auditmi ka┼żd├Ż rok.

Tieto audity mus├ş vykona┼ą kvalifikovan├Ż hodnotite─ż bezpe─Źnosti (QSA) alebo hodnotite─ż vn├║tornej bezpe─Źnosti.

PCI DSS m├í ┼íes┼ą hlavn├Żch cie─żov. Oni s├║:

  • Budovanie a ├║dr┼żba bezpe─Źn├Żch siet├ş.
  • Ochrana ├║dajov dr┼żite─ża karty.
  • V├Żvoj programu na spr├ívu zranite─żnost├ş.
  • Zabezpe─Źenie siln├Żch opatren├ş na kontrolu pr├şstupu.
  • Monitorovanie a vykon├ívanie pravideln├Żch testov v sie┼ąach.
  • Nastavenie a udr┼żiavanie polit├şk t├Żkaj├║cich sa bezpe─Źnosti inform├íci├ş.

Pod t├Żmito cie─żmi je 12 po┼żiadaviek, ktor├ę obsahuj├║ 281 smern├şc. Ciele platia pre v┼íetk├Żch obchodn├şkov a poskytovate─żov slu┼żieb. Organiz├ície smern├şc sa v┼íak m├┤┼żu l├ş┼íi┼ą v z├ívislosti od konkr├ętnej situ├ície.

Ako overi┼ą, ─Źi je spolo─Źnos┼ą v s├║lade s PCI?

Organiz├ície, ktor├ę podliehaj├║ s├║ladu s PCI DSS, musia zaisti┼ą, aby dodr┼żiavali v┼íetky stanoven├ę po┼żiadavky na svoju ├║rove┼ł. Musia v┼íak tie┼ż zabezpe─Źi┼ą, aby boli v zhode aj v┼íetci poskytovatelia slu┼żieb tret├şch str├ín, s ktor├Żmi spolupracuj├║. M├┤┼że to znie┼ą jednoducho, ale uk├ízalo sa, ┼że je to ve─żk├í v├Żzva pre podniky.

Pokia─ż ide o kontrolu zhody PCI, iba Atestation of Compliance (AOC) m├┤┼że dok├íza┼ą, ┼że organiz├ícia je v s├║lade. PCI SSC definuje AOC ako ÔÇ×formul├ír pre obchodn├şkov a poskytovate─żov slu┼żieb, ktor├Ż potvrdzuje v├Żsledky hodnotenia PCI DSS, ako je dokumentovan├ę v dotazn├şku na sebahodnotenie alebo v spr├íve o zhodeÔÇť.

AOC mus├ş:

  • Poskytuje sa iba vo formul├íri AOC poskytnutom Radou pre bezpe─Źnostn├ę ┼ítandardy PCI
  • Zv├Żraznite ├║rove┼ł a slu┼żby, ktor├ę poskytovate─ż pon├║ka
  • Konkr├ętny s├║bor po┼żiadaviek, ktor├ę potvrdzuj├║, ┼że s├║ v s├║lade- alebo nie s├║ v s├║lade s nimi
  • D├ítum hodnotenia.

Cel├í neautorizovan├í dokument├ícia, vr├ítane naskenovan├Żch dokumentov a osved─Źenia o dokon─Źen├ş AOC, nie je prijate─żn├í ako d├┤kaz zhody. Preto by ste mali spolupracova┼ą iba s poskytovate─żmi slu┼żieb tret├şch str├ín, ktor├ş s├║ ochotn├ş preuk├íza┼ą svoje osved─Źenie o zhode.

Ako udr┼ża┼ą s├║lad s PCI?

Pri PCI DSS nie je ├║lohou dosiahnu┼ą s├║lad, ale udr┼ża┼ą s├║lad. Vo v├Ą─Ź┼íine organiz├íci├ş sa tento proces skon─Ź├ş, ke─Ć sa dosiahne s├║lad. To v┼íak nemus├ş nevyhnutne zaisti┼ą bezpe─Źnos┼ą inform├íci├ş o spotrebite─żsk├Żch kreditn├Żch kart├ích.

Je d├┤le┼żit├ę, aby va┼ía organiz├ícia pova┼żovala s├║lad s PCI za nepretr┼żit├Ż proces a nie za udalos┼ą. To zaist├ş, ┼że bezpe─Źnos┼ą v├í┼ího z├íkazn├şka nebude ohrozen├í a z├írove┼ł v├ís ochr├íni pred pokutami za nedodr┼żanie.

Aby organizácie zostali v súlade, mali by:

  • Za─Źle┼łte PCI DSS do ka┼żdodennej strat├ęgie zabezpe─Źenia.
  • Majte vo svojom t├şme ─Źlena, ktor├Ż je v┼żdy zodpovedn├Ż za zaistenie s├║ladu.
  • Integrujte mana┼żment riz├şk a stanovovanie prior├şt zabezpe─Źenia do firemnej kult├║ry.
  • Vykon├ívajte pravideln├ę ┼íkolenia o rozvoji PCI so spolo─Źnos┼ąami, ako je HackEDU, pre ─Źlenov t├şmu, ktor├ş maj├║ za ├║lohu udr┼ża┼ą v┼íetko v poriadku.
  • Vykon├ívajte pravideln├ę kontroly zranite─żnost├ş a penetra─Źn├ę testy.
  • Zaistite, aby boli ovl├ídacie prvky v┼żdy funk─Źn├ę.
  • Zaistite, aby dodr┼żiavali aj poskytovatelia slu┼żieb tret├şch str├ín.
  • Monitorujte vznikaj├║ce hrozby a zaistite, aby bola zodpovedaj├║cim sp├┤sobom aktualizovan├í va┼ía bezpe─Źnostn├í strat├ęgia.
  • Udr┼żujte audit trail.

Softv├ęr kompatibiln├Ż s PCI

Dodr┼żiavanie po┼żiadaviek PCI DSS m├┤┼że by┼ą ─Źasovo n├íro─Źn├ę. Je tie┼ż n├íro─Źn├Ż, preto┼że zah┼Ľ┼ła nepretr┼żit├ę testovanie ovl├ídac├şch prvkov v okol├ş v├í┼ího d├ítov├ęho prostredia dr┼żite─ża karty (CDE), sledovanie zhody dod├ívate─żov a aktualiz├íciu nov├Żch ┼ítandardov PCI.

Na┼í┼ąastie existuje softv├ęr, ktor├Ż m├┤┼że tieto ├║lohy vykon├íva┼ą za v├ís, a t├Żm zjednodu┼íi┼ą s├║lad s PCI. S tak├Żmito rie┼íeniami m├┤┼żete tie┼ż skontrolova┼ą svoj syst├ęm a uisti┼ą sa, ┼że je v┼íetko tak, ako m├í.

N├íklady na nedodr┼żanie

Nedodr┼żanie pravidiel PCI m├í pre ak├ęko─żvek podnikanie z├íva┼żn├ę d├┤sledky. Okrem mesa─Źn├Żch pok├║t, ktor├ę m├┤┼żu by┼ą a┼ż 100 000 dol├írov, v├ím vznikn├║ aj nasleduj├║ce n├íklady.

  • S├║dne poplatky za s├║dne spory
  • Poplatky za forenzn├ę vy┼íetrovanie
  • N├íklady spojen├ę s rie┼íen├şm probl├ęmu
  • Banky a spracovatelia v├ím bud├║ ├║─Źtova┼ą vy┼í┼íie sadzby
  • N├íklady na audit Feder├ílnej obchodnej komisie
  • N├íklady na kompenz├íciu z├íkazn├şkov, ako je op├Ątovn├ę vystavenie karty, monitorovanie kreditu a poistenie proti kr├íde┼żi identity
  • Zru┼íenie opr├ívnen├ş na prijatie va┼íej kreditnej karty

Ka┼żd├í spolo─Źnos┼ą, ktor├í spracov├íva, uchov├íva alebo pren├í┼ía inform├ície o kreditn├Żch kart├ích, mus├ş dodr┼żiava┼ą PCI DSS. Ak tak neurob├şte, bude to ma┼ą v├í┼żne d├┤sledky.

Spodn├í ─Źiara

Podvody s kreditn├Żmi kartami nepochybne predstavuj├║ ve─żk├ę riziko pre spotrebite─żov a spolo─Źnosti. Prijat├şm spr├ívneho bezpe─Źnostn├ęho pr├şstupu a zaisten├şm nepretr┼żit├ęho dodr┼żiavania ┼ítandardu bezpe─Źnosti ├║dajov v odvetv├ş platobn├Żch kariet v┼íak m├┤┼żete chr├íni┼ą svoju spolo─Źnos┼ą a spotrebite─żov.

Krátka adresa URL: https://ssf.co/3a7kEa1