Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Payment Card Industry Data Security Standards

Podobné prezentace


Prezentace na téma: "Payment Card Industry Data Security Standards"— Transkript prezentace:

1 Payment Card Industry Data Security Standards
PCI DSS Payment Card Industry Data Security Standards

2 PCI DSS - Agenda Způsoby získání dat o kartách Krádeže dat PCI DSS
Co je PCI DSS Na koho se pravidla vztahují PCI DSS v rámci SBK Závěr

3 1. Způsoby získání dat o kartách
Skimming Mechanické zařízení na ATM nebo POS terminálu, které kopíruje data přímo z karty Phishing Získávání dat o kartě přímo od držitele karty formou dotazníků. Využívá nepozornosti a důvěřivosti držitelů karet Krádeže dat Získávání dat z databází obchodníků, Service providerů nebo bankovních domů

4 2. Krádeže dat USA Španělsko Rok:2009
Počet ukradených dat: 100 mil. karet Pokuta pro Heartland Payment Services: 12,5 mil. USD Náklady dotčených společností: 600 mil. USD Španělsko Počet ohrožených klientů: stovky tisíc Náklady spojené s takovou krádeží dat:1-5 mil. USD

5 3.PCI DSS Dohoda 5 globálních kartových společností (VISA, MC, AMEX, JCB, DISCOVER) na vytvoření pravidel pro zajištění bezpečnosti dat PCI SSC Payment Card Industry Security Standards Council PCI DSS Payment Card Industry Data Security Standards

6 3. PCI DSS PA-DSS (následník PABP) PCI-PTS (Dříve PED)
(UPT, EPP, POS, HSM) Blízká budoucnost : PCI ATM PCI DSS v 1.3

7 Sensitive authetication data
4. Co je PCI DSS Soubor pravidel (platných od roku 2006) pro zajištění dostatečné bezpečnosti autentifikačních dat a dat o držitelích karet Data element Storage Permitted Protection required Cardholder data PAN YES Cardholder name NO Service Code Expiration Date Sensitive authetication data Full Magnetic Stripe N/A CVC2/CVV2/CID/CAV2 PIN/PIN Block

8 4. Co je PCI DSS Pravidla jsou rozdělená do 12 sekcí
Vybudování a udržení bezpečné sítě 1. Instalace a udržení firewall konfigurace 2. Nepoužívání dodavatelských nastavení Ochrana dat držitelů karet 3. Ochrana uložených dat držitelů karet 4. Kódování přenosu dat po otevřených sítích Kontrola zranitelnosti 5. Používání a aktualizace antivirů 6. Vývoj a udržování bezpečných aplikací Kontroly přístupů 7. Omezení přístupu k datům 8. Přidělení jedinečného ID každé osobě 9. Omezení fyzického přístupu k datům Pravidelné sledování a testování sítí 10. Monitoring všech přístupů 11. Pravidelné testování Udržování bezpečnostních informací 12. Pravidelná a dostatečná informovanost o bezpečnosti dat

9 4. Co je PCI DSS Kompletní pravidla jsou k dispozici na PCI DSS pravidla jsou aplikována na všechny systémové komponenty, kde se ukládají, procesují nebo přenáší data držitelů karet nebo citlivá autentifikační data Servery Aplikace Jakékoliv síťové prvky

10 5. Na koho se pravidla vztahují
Member Service Providers/Third Party processors ACQ Banky (včetně ATM Bank) Všechny obchodníky

11 5. Na koho se pravidla vztahují
MSP/TPP Je nutná certifikace PCI DSS compliant (QSA) Certifikace probíhá v několika fázích 1. Fáze – On Site Audit 2. Fáze – Odstranění nedostatků 3. Fáze – Finální certifikace Následuje pravidelný Annual On-site audit a pravidelný čtvrtletní Network Scan (ASV)

12 5. Na koho se pravidla vztahují
BANKY Stejné certifikace jako u MSP/TPP Součástí jsou pravidelné čtvrtletní reporty o stavu banky a jejích obchodníků v rámci PCI DSS

13 5. Na koho se pravidla vztahují
OBCHODNÍCI PCI DSS pravidla se vztahují na všechny obchodníky PCI-DSS definuje 4 úrovně, do kterých jsou obchodníci zařazeni dle typu a počtu transakcí za rok Ke každé úrovni PCI-DSS definuje kritéria, které obchodník musí splňovat Tyto úrovně jsou definovány následovně

14 5. Na koho se pravidla vztahují
Úroveň 1 Všichni obchodníci, kteří zpracovávají více než šest miliónů transakcí za rok (bez ohledu na typ platebního kanálu). - Pravidelný roční PCI-DSS audit přímo u obchodníka; - Pravidelné čtvrtletní externí testování zranitelností (externí scan). Úroveň 2 Všichni obchodníci, kteří zpracovávají jeden milión až šest miliónů transakcí za rok (bez ohledu na typ platebního kanálu). - Vyplnění dotazníku 1x ročně; - Pravidelné čtvrtletní testování zranitelností (externí scan); - (nový požadavek MasterCardu - pravidelný roční audit). Úroveň 3 Všichni internetoví obchodníci, kteří zpracovávají 20 tisíc až 150 tisíc e-commerce transakcí za rok. - Pravidelné čtvrtletní testování zranitelností (externí scan). Úroveň 4 Všichni ostatní obchodníci (tj. pod jeden milión transakcí) (bez ohledu na typ platebního kanálu). - Doporučené vyplnění dotazníku 1x ročně; - Doporučené pravidelné čtvrtletní testování zranitelností (externí scan).

15 6. PCI DSS v rámci SBK Platforma jejímiž členy jsou všechny ACQ banky na českém trhu Hlavní cíl skupiny Sjednotit výklad PCI DSS pravidel v rámci českého trhu Vytvořili jsme stránky kde jsou k dispozici kompletní pravidla + vysvětlení jednotlivých formulářů a také seznam QSA a QSV

16 8. Závěr PCI DSS je velmi komplikované, časově i finančně náročné téma
PCI DSS pravidla a jejich aplikace budou mít dopady i do dalšího businessu jednotlivých bank, MPP/TPP a obchodníků Další bližší informace můžete zjistit na stránce


Stáhnout ppt "Payment Card Industry Data Security Standards"

Podobné prezentace


Reklamy Google