Payment Card Industry Data Security Standards

Slides:



Advertisements
Podobné prezentace
mPO2S (mobilní POS terminál od O2)
Advertisements

Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Projekt ePreskripce a poskytování údajů o vydaných LP
Základy databázových systémů
KONTROLA zpracovala: Ing. Jaroslava Teuberová Náchod, dne
© Copyright Siemens Business Services Global network of innovation Siemens Business Services: Vedoucí poskytovatel eGovernment řešení v Evropě Pasová agenda.
Snímek 1 Efekty podnikové informatiky J. Pour Katedra IT VŠE ČSSI, Praha, 15/12/2006.
1 Small Business Windows XP Professional Platforma pro zpracování zpráv (Messaging Platform) 6 září, 2001.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Uznatelné výdaje v projektech podpořených ze strukturálních fondů EU v administraci NROS Vyúčtování globálních grantů.
Audit IT procesů ve FNOL
Efektivní informační bezpečnost
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Aukro.cz – projektový management v e-commerce Tereza Kabrdová.
Online prodeje jako součást multikanálového přístupu v praxi
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
1 NASKL v roce 2007 Ing. Alena Fischerová Národní autorizační středisko pro klinické laboratoře při České lékařské společnosti Jana Evangelisty Purkyně.
Zabezpečení emergentních přístupů do systému IZIP
Auditorské postupy Činnosti před uzavřením smlouvy
Ochrana aktiv v malé firmě Bakalářská práce Pavel Šnajdr – Aplikovaná informatika.
Protokol TCP/IP a OSI model
Bezhotovostní platby a jejich zabezpečení Vojtěch Ouška UOP
Projekt 3.3 „Partnerství pro budoucnost“. Úvodní informace o projektu Projekt byl úspěšně předložen Karlovarským krajem v rámci výzvy SROP, priority 3.
Bezpečné placení kartou na internetu Trendy v internetové bezpečnosti Karel Kadlčák, ČS, a.s. Předseda BV SBK Praha, Praha,
Vývoj mobilních aplikací
Databázové systémy Architektury DBS.
Evropský celní informační portál (ECIP) – první fáze.
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
1 Strategie NASKL Ing. Alena Fischerová Národní autorizační středisko pro klinické laboratoře při České lékařské společnosti Jana Evangelisty Purkyně.
Finanční arbitr - informace o činnosti, informační spolupráce s ČBA V Praze dne Dr. Ing. František Klufa Finanční arbitr České republiky - 1.
Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Podnikání na Internetu letní semestr 2004 Jana Holá VIII.
ESET - služby informační bezpečnosti Filip Navrátil, Sales Engineer, ESET software spol. s
Petr Krčmář Vzdálený přístup k firemní síti (bezpečně)
NEBOLI. Pojem elektronické bankovnictví Podstatou je elektronické jednání mezi klientem a finanční institucí. Podstatou je elektronické jednání mezi klientem.
Obchodní akademie a Střední odborná škola, gen. F. Fajtla, Louny, p.o. Osvoboditelů 380, Louny Číslo projektu CZ.1.07/1.5.00/ Číslo sady 36Číslo.
Outsourcing provozu sítě Štěpán Kubíček pondělí, 13. dubna 2015 motto:…
Teleworking v Asseco CR Renata Leflerová Ředitel LZ Praha
Elektronický registr oznámení Zpracoval(a): Mgr. František Rudecký
VY_62_INOVACE_1_2_10 Pokud není uvedeno jinak, autorem obrázk ů a text ů je Ing. Renata Hethová“. Platební karty II.
Finanční arbitr - informace o činnosti, informační spolupráce s Bezpečnostním výborem SBK V Praze dne Dr. Ing. František Klufa Finanční arbitr.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-16.
IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno
T - SOFT spol. s r.o. Systém integrované bezpečnosti Mgr. Pavel Hejl, CSc 2007.
CATE 2001 – Brno, 9. května 2001 Bezpečnost a ochrana informací Pavel Věchet, IBM Česká republika, spol. s r.o.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Zpracoval: Ing. Tomáš Vašica, Elektronické schvalování v praxi Moravskoslezského kraje Zpracoval: Ing. Tomáš Vašica Datum:
Global network of innovation Identity a Access Management v heterogenním prostředí Marta Vohnoutová 19. dubna 2015.
Miroslav Skokan IT Security Consultant
PODNIKOVÉ INFORMAČNÍ SYSTÉMY porovnání PC, WORKSTATION, SERVER, MAINFRAME.
IEC 61850: Soubor norem pro komunikaci v energetice
Hodnocení kvality a bezpečí zdravotních služeb
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Číslo projektuCZ.1.07/1.5.00/ Název školyGymnázium, Soběslav, Dr. Edvarda Beneše 449/II Kód materiáluVY_62_INOVACE_21_14 Název materiáluPřímé bankovnictví.
Elektronické platební prostředky, platební karty, platební systémy Předmět Platební styk, Jaro 2008 Mgr. Bc. Libor Kyncl Právnická fakulta Masarykovy univerzity.
EU_62_B_sada 1_04_M_Platební karta_Poliačíková Název školy Střední škola, Základní škola a Mateřská škola, Karviná, p. o. AutorIng. Jana Poliačíková Anotace.
Počítačová bezpečnostPočítačová bezpečnost -je obor informatiky, který se zabývá zabezpečením informací v počítačích (odhalení a zmenšení rizik spojených.
9. Bezpečnostní pravidla při používání počítače a internetu
1. Charakteristika platebního styku
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Web Application Scanning
Bezpečnostní souvislosti v NIX-ZD
Transkript prezentace:

Payment Card Industry Data Security Standards PCI DSS Payment Card Industry Data Security Standards

PCI DSS - Agenda Způsoby získání dat o kartách Krádeže dat PCI DSS Co je PCI DSS Na koho se pravidla vztahují PCI DSS v rámci SBK Závěr

1. Způsoby získání dat o kartách Skimming Mechanické zařízení na ATM nebo POS terminálu, které kopíruje data přímo z karty Phishing Získávání dat o kartě přímo od držitele karty formou dotazníků. Využívá nepozornosti a důvěřivosti držitelů karet Krádeže dat Získávání dat z databází obchodníků, Service providerů nebo bankovních domů

2. Krádeže dat USA Španělsko Rok:2009 Počet ukradených dat: 100 mil. karet Pokuta pro Heartland Payment Services: 12,5 mil. USD Náklady dotčených společností: 600 mil. USD Španělsko Počet ohrožených klientů: stovky tisíc Náklady spojené s takovou krádeží dat:1-5 mil. USD

3.PCI DSS Dohoda 5 globálních kartových společností (VISA, MC, AMEX, JCB, DISCOVER) na vytvoření pravidel pro zajištění bezpečnosti dat PCI SSC Payment Card Industry Security Standards Council PCI DSS Payment Card Industry Data Security Standards

3. PCI DSS PA-DSS (následník PABP) PCI-PTS (Dříve PED) (UPT, EPP, POS, HSM) Blízká budoucnost : PCI ATM PCI DSS v 1.3

Sensitive authetication data 4. Co je PCI DSS Soubor pravidel (platných od roku 2006) pro zajištění dostatečné bezpečnosti autentifikačních dat a dat o držitelích karet Data element Storage Permitted Protection required Cardholder data PAN YES Cardholder name NO Service Code Expiration Date Sensitive authetication data Full Magnetic Stripe N/A CVC2/CVV2/CID/CAV2 PIN/PIN Block

4. Co je PCI DSS Pravidla jsou rozdělená do 12 sekcí Vybudování a udržení bezpečné sítě 1. Instalace a udržení firewall konfigurace 2. Nepoužívání dodavatelských nastavení Ochrana dat držitelů karet 3. Ochrana uložených dat držitelů karet 4. Kódování přenosu dat po otevřených sítích Kontrola zranitelnosti 5. Používání a aktualizace antivirů 6. Vývoj a udržování bezpečných aplikací Kontroly přístupů 7. Omezení přístupu k datům 8. Přidělení jedinečného ID každé osobě 9. Omezení fyzického přístupu k datům Pravidelné sledování a testování sítí 10. Monitoring všech přístupů 11. Pravidelné testování Udržování bezpečnostních informací 12. Pravidelná a dostatečná informovanost o bezpečnosti dat

4. Co je PCI DSS Kompletní pravidla jsou k dispozici na www.pcistandard.cz PCI DSS pravidla jsou aplikována na všechny systémové komponenty, kde se ukládají, procesují nebo přenáší data držitelů karet nebo citlivá autentifikační data Servery Aplikace Jakékoliv síťové prvky

5. Na koho se pravidla vztahují Member Service Providers/Third Party processors ACQ Banky (včetně ATM Bank) Všechny obchodníky

5. Na koho se pravidla vztahují MSP/TPP Je nutná certifikace PCI DSS compliant (QSA) Certifikace probíhá v několika fázích 1. Fáze – On Site Audit 2. Fáze – Odstranění nedostatků 3. Fáze – Finální certifikace Následuje pravidelný Annual On-site audit a pravidelný čtvrtletní Network Scan (ASV)

5. Na koho se pravidla vztahují BANKY Stejné certifikace jako u MSP/TPP Součástí jsou pravidelné čtvrtletní reporty o stavu banky a jejích obchodníků v rámci PCI DSS

5. Na koho se pravidla vztahují OBCHODNÍCI PCI DSS pravidla se vztahují na všechny obchodníky PCI-DSS definuje 4 úrovně, do kterých jsou obchodníci zařazeni dle typu a počtu transakcí za rok Ke každé úrovni PCI-DSS definuje kritéria, které obchodník musí splňovat Tyto úrovně jsou definovány následovně

5. Na koho se pravidla vztahují Úroveň 1 Všichni obchodníci, kteří zpracovávají více než šest miliónů transakcí za rok (bez ohledu na typ platebního kanálu). - Pravidelný roční PCI-DSS audit přímo u obchodníka; - Pravidelné čtvrtletní externí testování zranitelností (externí scan). Úroveň 2 Všichni obchodníci, kteří zpracovávají jeden milión až šest miliónů transakcí za rok (bez ohledu na typ platebního kanálu). - Vyplnění dotazníku 1x ročně; - Pravidelné čtvrtletní testování zranitelností (externí scan); - (nový požadavek MasterCardu - pravidelný roční audit). Úroveň 3 Všichni internetoví obchodníci, kteří zpracovávají 20 tisíc až 150 tisíc e-commerce transakcí za rok. - Pravidelné čtvrtletní testování zranitelností (externí scan). Úroveň 4 Všichni ostatní obchodníci (tj. pod jeden milión transakcí) (bez ohledu na typ platebního kanálu). - Doporučené vyplnění dotazníku 1x ročně; - Doporučené pravidelné čtvrtletní testování zranitelností (externí scan).

6. PCI DSS v rámci SBK Platforma jejímiž členy jsou všechny ACQ banky na českém trhu Hlavní cíl skupiny Sjednotit výklad PCI DSS pravidel v rámci českého trhu Vytvořili jsme stránky www.pcistandard.cz kde jsou k dispozici kompletní pravidla + vysvětlení jednotlivých formulářů a také seznam QSA a QSV

8. Závěr PCI DSS je velmi komplikované, časově i finančně náročné téma PCI DSS pravidla a jejich aplikace budou mít dopady i do dalšího businessu jednotlivých bank, MPP/TPP a obchodníků Další bližší informace můžete zjistit na stránce www.pcistandard.cz

Kontaktní formulář: Ochrana osobních údajů Kontaktní formulář
O projektu: SlidePlayer Podmínky použití

© 2024 SlidePlayer.cz Inc. All rights reserved.