Kompendium wiedzy o normie PCI-DSS. Jakie są wymagania standardu?

Przechowywanie, przetwarzanie lub przesyłanie danych kart płatniczych wiąże się z koniecznością przestrzegania wyśrubowanych standardów bezpieczeństwa. Globalnym standardem w posługiwaniu się danymi kart płatniczych jest norma PCI-DSS. Jakich podmiotów dotyczą wymagania z nią związane, czemu służą i jak potwierdzić zgodność z normą? Tego dowiesz się z poniższego poradnika.

Co to jest norma PCI-DSS?

Norma PCI-DSS (ang. Payment Card Industry Data Security Standard) to standard utworzony w celu zapewnienia stałego, wysokiego poziomu bezpieczeństwa we wszystkich środowiskach przechowujących, przetwarzających lub przesyłających dane kartowe. Norma składa się z 12 szczegółowych wytycznych (zgrupowanych w 6 podgrup), które podmioty zajmujące się danymi kartowymi muszą obligatoryjnie spełnić. Niedostosowanie się do norm może skutkować poważnymi konsekwencjami, w tym wykluczeniem z uczestnictwa w obsłudze kart płatniczych.

Standard PCI-DSS gwarantuje bezpieczeństwo danych na kartach płatniczych. Zapewnia, że poufne informacje będą prawidłowo strzeżone i umożliwia maksymalne bezpieczeństwo w procesie dokonywania płatności.

Kogo obejmuje PCI-DSS?

Wymogi PCI-DSS musi spełnić każda organizacja, niezależnie od jej wielkości, zajmująca się obsługą kart płatniczych na jakimkolwiek etapie. Norma obowiązuje we wszystkich kanałach akceptacji płatności. Oznacza to, że certyfikat PCI-DSS muszą posiadać m.in.:

• banki,
• firmy z sektora FinTech,
• dostawcy usług płatniczych,
• punkty handlowo-usługowe,
• portale e-commerce,
• firmy ubezpieczeniowe.

Warunki do uzyskania certyfikatu

Jakie wymagania należy spełnić, aby otrzymać certyfikat PCI-DSS? Standard składa się z 12 wymagań podzielonych na 6 celów kontrolnych:

1. Budowanie i utrzymanie bezpieczeństwa sieci – konieczność zbudowania i utrzymania konfiguracji zapory sieciowej chroniącej dane posiadaczy kart, niekorzystanie z domyślnych haseł i ustawień producentów.
2. Ochrona danych posiadaczy kart – ochrona przechowywanych danych posiadaczy kart, szyfrowanie transmisji danych podczas korzystania z sieci publicznych.
3. Utrzymywanie programu zarządzania płatnościami – korzystanie z regularnie aktualizowanych systemów antywirusowych, rozwijanie bezpiecznych systemów i aplikacji.
4. Wdrożenie silnych metod kontroli dostępu – ograniczenie dostępu do danych posiadaczy kart tylko dla podmiotów z taką potrzebą biznesową, przypisanie każdemu użytkownikowi unikalnego identyfikatora, ograniczenie fizycznego dostępu do danych posiadaczy kart.
5. Regularne monitorowanie i testowanie sieci – testowanie systemów i procesów bezpieczeństwa, kontrola dostępu do zasobów sieciowych i danych posiadaczy kart.
6. Utrzymywanie polityki bezpieczeństwa informacji – opieranie się na polityce bezpieczeństwa w stosunku do pracowników i dostawców.