Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

PCI DSS Payment Card Industry Data Security Standards.

Podobné prezentace


Prezentace na téma: "PCI DSS Payment Card Industry Data Security Standards."— Transkript prezentace:

1 PCI DSS Payment Card Industry Data Security Standards

2 PCI DSS - Agenda 1. Způsoby získání dat o kartách 2. Krádeže dat 3. PCI DSS 4. Co je PCI DSS 5. Na koho se pravidla vztahují 6. PCI DSS v rámci SBK 7. Závěr

3 1. Způsoby získání dat o kartách  Skimming  Mechanické zařízení na ATM nebo POS terminálu, které kopíruje data přímo z karty  Phishing  Získávání dat o kartě přímo od držitele karty formou dotazníků. Využívá nepozornosti a důvěřivosti držitelů karet  Krádeže dat  Získávání dat z databází obchodníků, Service providerů nebo bankovních domů

4 2. Krádeže dat  USA  Rok:2009  Počet ukradených dat: 100 mil. karet  Pokuta pro Heartland Payment Services: 12,5 mil. USD  Náklady dotčených společností: 600 mil. USD  Španělsko  Rok:2009  Počet ohrožených klientů: stovky tisíc  Náklady spojené s takovou krádeží dat:1-5 mil. USD

5 3.PCI DSS  Dohoda 5 globálních kartových společností (VISA, MC, AMEX, JCB, DISCOVER) na vytvoření pravidel pro zajištění bezpečnosti dat  PCI SSC  Payment Card Industry Security Standards Council  PCI DSS  Payment Card Industry Data Security Standards

6 3. PCI DSS  PA-DSS (následník PABP)  PCI-PTS (Dříve PED) (UPT, EPP, POS, HSM)  Blízká budoucnost : PCI ATM PCI DSS v 1.3

7 4. Co je PCI DSS  Soubor pravidel (platných od roku 2006) pro zajištění dostatečné bezpečnosti autentifikačních dat a dat o držitelích karet Data elementStorage Permitted Protection required Cardholder data PANYES Cardholder nameYESNO Service CodeYESNO Expiration DateYESNO Sensitive authetication data Full Magnetic Stripe NON/A CVC2/CVV2/CID/ CAV2 NON/A PIN/PIN BlockNON/A

8 4. Co je PCI DSS  Pravidla jsou rozdělená do 12 sekcí Vybudování a udržení bezpečné sítě1. Instalace a udržení firewall konfigurace 2. Nepoužívání dodavatelských nastavení Ochrana dat držitelů karet3. Ochrana uložených dat držitelů karet 4. Kódování přenosu dat po otevřených sítích Kontrola zranitelnosti5. Používání a aktualizace antivirů 6. Vývoj a udržování bezpečných aplikací Kontroly přístupů7. Omezení přístupu k datům 8. Přidělení jedinečného ID každé osobě 9. Omezení fyzického přístupu k datům Pravidelné sledování a testování sítí 10. Monitoring všech přístupů 11. Pravidelné testování Udržování bezpečnostních informací 12. Pravidelná a dostatečná informovanost o bezpečnosti dat

9 4. Co je PCI DSS  Kompletní pravidla jsou k dispozici na  PCI DSS pravidla jsou aplikována na všechny systémové komponenty, kde se ukládají, procesují nebo přenáší data držitelů karet nebo citlivá autentifikační data  Servery  Aplikace  Jakékoliv síťové prvky

10 5. Na koho se pravidla vztahují  Member Service Providers/Third Party processors  ACQ Banky (včetně ATM Bank)  Všechny obchodníky

11 5. Na koho se pravidla vztahují MSP/TPP  Je nutná certifikace PCI DSS compliant (QSA)  Certifikace probíhá v několika fázích  1. Fáze – On Site Audit  2. Fáze – Odstranění nedostatků  3. Fáze – Finální certifikace  Následuje pravidelný Annual On-site audit a pravidelný čtvrtletní Network Scan (ASV)

12 5. Na koho se pravidla vztahují BANKY  Stejné certifikace jako u MSP/TPP  Součástí jsou pravidelné čtvrtletní reporty o stavu banky a jejích obchodníků v rámci PCI DSS

13 5. Na koho se pravidla vztahují OBCHODNÍCI  PCI DSS pravidla se vztahují na všechny obchodníky  PCI-DSS definuje 4 úrovně, do kterých jsou obchodníci zařazeni dle typu a počtu transakcí za rok  Ke každé úrovni PCI-DSS definuje kritéria, které obchodník musí splňovat  Tyto úrovně jsou definovány následovně

14 5. Na koho se pravidla vztahují Úroveň 1 Všichni obchodníci, kteří zpracovávají více než šest miliónů transakcí za rok (bez ohledu na typ platebního kanálu). - Pravidelný roční PCI-DSS audit přímo u obchodníka; - Pravidelné čtvrtletní externí testování zranitelností (externí scan). Úroveň 2 Všichni obchodníci, kteří zpracovávají jeden milión až šest miliónů transakcí za rok (bez ohledu na typ platebního kanálu). - Vyplnění dotazníku 1x ročně; - Pravidelné čtvrtletní testování zranitelností (externí scan); - (nový požadavek MasterCardu - pravidelný roční audit). Úroveň 3 Všichni internetoví obchodníci, kteří zpracovávají 20 tisíc až 150 tisíc e-commerce transakcí za rok. - Vyplnění dotazníku 1x ročně; - Pravidelné čtvrtletní testování zranitelností (externí scan). Úroveň 4 Všichni ostatní obchodníci (tj. pod jeden milión transakcí) (bez ohledu na typ platebního kanálu). - Doporučené vyplnění dotazníku 1x ročně; - Doporučené pravidelné čtvrtletní testování zranitelností (externí scan).

15 6. PCI DSS v rámci SBK  Platforma jejímiž členy jsou všechny ACQ banky na českém trhu  Hlavní cíl skupiny  Sjednotit výklad PCI DSS pravidel v rámci českého trhu  Vytvořili jsme stránky kde jsou k dispozici kompletní pravidla + vysvětlení jednotlivých formulářů a také seznam QSA a QSVwww.pcistandard.cz

16 8. Závěr  PCI DSS je velmi komplikované, časově i finančně náročné téma  PCI DSS pravidla a jejich aplikace budou mít dopady i do dalšího businessu jednotlivých bank, MPP/TPP a obchodníků  Další bližší informace můžete zjistit na stránce


Stáhnout ppt "PCI DSS Payment Card Industry Data Security Standards."

Podobné prezentace


Reklamy Google