Zgodność ze standardami - czym jest PCI DSS

Standardy Bezpieczeństwa w Branży Kart Płatniczych (PCI DSS) to zbiór wymogów, które mają na celu zwiększenie bezpieczeństwa danych płatniczych. Standardy te zostały opracowane przez Radę ds. Standardów Bezpieczeństwa PCI powołaną przez Visa®, MasterCard ®, JCB®, Discover® i American Express®, aby wprowadzić w branży spójne wymogi bezpieczeństwa na całym świecie.

Tak. Wszystkie firmy niezależnie od wielkości, które przechowują, przetwarzają lub przesyłają dane posiadaczy kart płatniczych, są zobowiązane spełniać wymogi PCI DSS. Obowiązują we wszystkich kanałach akceptacji płatności, w tym w sektorze detalicznym, sprzedaży wysyłkowej oraz e-commerce.

Bezpieczeństwo danych jest kluczowe dla każdej firmy, która akceptuje płatności kartami kredytowymi i debetowymi, a w szczególności dla małych przedsiębiorców, gdyż to właśnie ich firmy stanowią 91% firm, które doświadczają naruszenia bezpieczeństwa danych. Jest to problem bezpieczeństwa danych kart płatniczych dotyczący całej branży, który PCI DSS ma pomóc rozwiązać. Ryzyko dotyczy wszystkich firm.

Standard PCI DSS w zakresie zarządzania bezpieczeństwem, polityki, procedur, architektury sieci, oprogramowania oraz innych istotnych zabezpieczeń ma na celu proaktywną ochronę danych klientów.

Nie. Od roku 2010 akceptanci są informowani o tym, że aby zidentyfikować obszary potencjalnego ryzyka i uzyskać certyfikat zgodności z wymogami bezpieczeństwa kart płatniczych, powinni wypełnić kwestionariusz samooceny SAQ dotyczący PCI. Założenia standardu PCI DSS nie są nowe, ich spełnienie jest już od pewnego czasu wymagane w różnych formach, a obecnie są one nieprzerwanie rozbudowywane.

Wszystkie podmioty, akceptanci oraz usługodawcy, którzy przechowują, przetwarzają lub przesyłają dane posiadaczy kart płatniczych, są zobowiązani spełniać standard PCI DSS. Wymogi niezbędne do uzyskania certyfikatu PCI DSS różnią się w zależności od liczby transakcji, które dany podmiot przetwarza, oraz sposobu ich przetwarzania.

Elavon współpracuje z czołowymi usługodawcami w zakresie zgodności z wymogami dotyczącymi bezpieczeństwa kart płatniczych. Dzięki temu może ocenić statusu Twojego konta, udzielić Ci niezbędnej pomocy w przypadku zagrożeń oraz wydać certyfikat zgodności ze standardem PCI DSS dla Twojego konta.

Jeżeli masz jakiekolwiek pytania dotyczące Twojego konta lub ogólne pytania dotyczące PCI, skontaktuj się z Działem Obsługi Klienta Elavon: 22 306 03 16

Nie. Istnieje wiele wykwalifikowanych Podmiotów Oceniających Kwestie Bezpieczeństwa oraz Licencjonowanych Sprzedawców Skanów. Możesz dowolnie wybierać spośród nich i uzyskać stosowny certyfikat. Jeżeli chcesz wybrać niezależny QSA/ASV, musisz zainstalować certyfikat, który został wystawiony przez niego na naszym portalu. 

Jeżeli nie zapewnisz swojej firmie zgodności z wymogami organizacji kartowych w zakresie bezpieczeństwa, narażasz się na ryzyko naruszenia bezpieczeństwa kart płatniczych. Ponosisz wtedy odpowiedzialność zarówno za koszty niezbędnego dochodzenia oraz fałszywych transakcji zakupowych, jak i za koszty ponownego wydania kart płatniczych. Możesz także utracić przywileje związane z akceptacją kart kredytowych.

Elavon może nałożyć na Twoją firmę dodatkową opłatę za każdy miesiąc, w którym Twoje konto pozostaje niezweryfikowane jako zgodne ze standardami PCI lub za każdy miesiąc, w którym Twoje konto jest uznawane za niezgodne ze standardami PCI. Aby uniknąć takich opłat w przyszłości, masz obowiązek utrzymywać status zgodności z wymogami PCI przez cały czas od momentu jego uzyskania.

Minimalnym wymogiem dla akceptantów poziomu 4 jest coroczne wypełnianie kwestionariusza samooceny PCI DSS (SAQ) i uzyskanie wyniku zadawalającego. Jeżeli elektronicznie przechowujesz dane posiadaczy kart płatniczych lub Twoje systemy przetwarzania mają dostęp do łączności internetowej, wymagany jest kwartalny skan sieci przeprowadzany przez zatwierdzonego dostawcę skanów.

To zależy, jak bardzo złożone jest Twoje środowisko przetwarzania kart płatniczych, ale średnio zajmuje to około 20 minut.

Skan kontrolny jest zautomatyzowanym i nieinwazyjnym skanem, który pozwala ocenić Twoją sieć oraz aplikacje webowe z poziomu Internetu (na zewnętrznych IPs).

Skan identyfikuje wszelkie słabe punkty oraz luki, które mogą umożliwić nieupoważnionemu użytkownikowi/hakerowi uzyskanie dostępu do Twojej sieci i potencjalne naruszenie bezpieczeństwa danych posiadaczy kart płatniczych. Skany nie wymagają zainstalowania jakiegokolwiek oprogramowania, ani nie będą podejmowane żadne działania typu denial-of-service.

Dla klientów, którzy mają obowiązek przeprowadzania skanów kwartalnych, związany z nimi koszt zostanie wliczony w cenę usługi dotyczącej PCI Compliance. Jeżeli w okresie pomiędzy poszczególnymi skanami zostaną dodane dodatkowe adresy IP, może to wiązać się z dodatkowym kosztem.

Jeżeli wynik skanu kontrolnego Twojej sieci będzie niezadawalający, oznacza to, że zidentyfikowane zostały słabe punkty w Twojej sieci, które wymagają uwagi i podjęcia działań naprawczych. Zagrożenia te należy zlikwidować i przeprowadzić kolejny skan, aby upewnić się, że nie ma żadnych innych narażonych obszarów. Przeprowadzimy Cię przez proces naprawy i dalszego zapewnienia zgodności ze standardami bezpieczeństwa kart płatniczych.

Po pierwsze, zaloguj się do Portalu PCI, aby sprawdzić wyniki skanu. Raport ze skanu obejmuje opis zidentyfikowanych problemów oraz kroki, które należy podjąć, by je wyeliminować. Będziesz zobowiązany do zajęcia się każdym z nich, a następnie do ustalenia daty kolejnego skanu, który potwierdzi, że problemy zostały naprawione, a Twoja sieć spełnia standard PCI DSS.

W ramach procesu zapewniania zgodności wymogów PCI możesz zostać zobowiązany do wymiany urządzeń na nowsze lub zainstalowania wyższej wersji oprogramowania.

W takiej sytuacji skontaktuj się ze sprzedawcą sprzętu i/lub oprogramowania, aby omówić dostępne opcje oraz ewentualne koszty zmian.

Elavon nie pokrywa kosztów związanych z wymianą sprzętu na nowszy i/lub zakupem wyższej wersji oprogramowania.

 Jeżeli lokalizacje Twojej firmy przetwarzają dane pod tym samym numerem NIP, adresem lokalizacji oraz adresem IP, uzyskujesz certyfikat tylko raz dla wszystkich lokalizacji.

Skontaktuj się z naszym zespołem wsparcia za pomocą danych kontaktowych w Portalu PCI.

Jeżeli Twoje lokalizacje mają inny numer NIP, musisz uzyskać certyfikat dla każdego numeru NIP, adresu lokalizacji i adresu IP. 

Okres ważności certyfikatu zależy od tego, czy Twoja firma jest objęta obowiązkiem wypełnienia kwestionariusza samooceny czy przeprowadzenia skanu.

Jeżeli Twoje firma powinna wypełniać kwestionariusz co roku, certyfikat PCI jest ważny przez rok.

Jeżeli w Twojej firmie konieczne jest przeprowadzenie skanów kwartalnych, certyfikat PCI jest ważny przez trzy miesiące do momentu przeprowadzenia kolejnego skanu kwartalnego.

Jeżeli zmienisz sposób, w jaki przechowujesz, przetwarzasz lub przesyłasz dane posiadaczy kart płatniczych, może to prowadzić do powstania słabych punktów w Twojej sieci. Skontaktuj się wtedy się z zespołem wsparcia Portalu PCI, aby ponownie uzyskać ten certyfikat.

Jeżeli uzyskałeś certyfikat PCI w ostatnich kilku miesiącach u innego licencjonowanego sprzedawcy, dostarcz nam swoją dokumentację certyfikacyjną, abyśmy wiedzieli, że Twoje konto jest zgodne ze standardami PCI. 

Jeżeli zmienisz sposób przechowywania, przetwarzania lub przesyłania danych posiadaczy kart płatniczych, może to prowadzić do powstania słabych punktów w Twojej sieci. Wówczas skontaktuj się z zespołem wsparcia Portalu PCI, aby ponownie uzyskać ten certyfikat.

Więcej informacji uzyskasz, odwiedzając stronę Rady ds. Standardów Bezpieczeństwa PCI.