PCI STANDARD NA BRZAKA
Šta je PCI Standard (i gdje sam tu ja)?
PCI (DSS) je zlatni standard sigurnosti plaćanja (karticama). Sukreiran je od kartičnih organizacija i primjenjiv na organizacije koje obrađuju, prenose ili pohranjuju (brojeve) kartica.
Odnosi li se na tebe? Moguće je. Pogledaj odgovore na donja pitanja.
1. Šta je PCI Standard?
Obavezujući (de facto) profesionalni standard koji se primjenjuje na plaćanje karticama.
2. Ko propisuje Standard?
Standard je prihvaćen i razvijen od strane kartičnih organizacija, Mastercard, Visa i drugih, koji propisuju njegovu primjenu. Standardom upravlja vijeće, PCI Security Standards Council, koje su osnovale vodeće kartične organizacije. Vijeće je danas globalni forum koji objavljuje nove verzije standarda, daje upute za njegovo sprovođenje itd.
3. Šta je svrha Standarda?
Standard promovira sigurnost (kartica kao sredstava) plaćanja. Banalizirano u silogizam, (i) bez sigurnosti gubi se povjerenje u platni ambijent, (ii) bez povjerenja, nema transakcija (iii) bez transakcija, nema posla. Organiziran je kroz 12 tematskih poglavlja koji propisuju konkretne mjere koje organizacija mora poduzimati u oblastima ljudskih resursa, tehnologije i procesa koji su obuhvaćeni Standardom. U tome smislu, Standard je značajno preskriptivniji od npr ISO27k.
4. Šta je CDE u Standardu?
CDE ili Card Data Environment je okruženje koje sadrži ili ima pristup broju kartice. Standard tretira broj kartice kao osjetljiv podatak kojeg se štiti kroz sve faze (obrade) i kroz njen čitav životni ciklus. Mada broj kartice ili PAN nije jedini osjetljivi podatak u okviru Standarda, može se reći kako je u njegovom fokusu.
5. Na koga se odnosi PCI Standard?
Izloženost organizacije CDE-u inicira primjenu Standarda. Formalno, Standard govori o organizacijama koje prenose, obrađuju i-li spremaju brojeve kartica. U praksi, Standard je primjenjiv je na sve sudionike koji imaju pristup CDEu, odnosno sudjeluju u izdavanju, prihvatu i obradi plaćanja karticama. Lista je dugačka - npr. banke izdavaoci i prihvatioci kartica, procesori i PSP, proizvođači opreme i softvera koji se koristi u ekosistemu plaćanja karticama, trgovci itd.
6. Postoji li gradacija Standarda?
Da, postoje četiri različita nivoa za trgovce i dva za PSP pružaoce platnih servisa, gdje je Level1 najviši a Level4 najniži stepen. Level 1 se odnosi na trgovce sa godišnjim prometom od preko 6 miliona kartičnih plaćanja i na PSP koji godišnje obrade 300,000 transakcija i više. Kartične organizacije mogu imati varijacije navedenih pragova. U praksi banke prihvatioci idu na „gold-plating“ pristup, zahtjev za implementacijom kontrola koje su povrh Standardom propisanog minimuma, pa se traži ispunjenje (Level1) najvišeg stepena.
7. Koje su obaveze prodavca spram PCI Standarda?
Ako si prodavac, važno je da osiguraš da tvoji dobavljači koji je bave obradom – npr PSP – aktuelno ispunjavaju standard. Ako je tvoja organizacija izložena CDEu, potraži Standard na službenoj stranici PCI vijeća. Izloženost zahtjevima standarda može se (djelomično) smanjiti i-li prenijeti na treću stranu, u skladu sa preporukama ovlaštenog QSA revizora i tvoje banke prihvatioca.
8. Šta ako moj dobavljač nije slijediv sa Standardom?
Trebaš ga zamijeniti sa slijedivim u najkraćem roku. Kartične organizacije predviđaju penalizaciju (banaka) koje ne zadovoljavaju Standard, odnosno kada njeni trgovci idu mimo Standarda bilo direktno ili zato što ne koriste proizvode i-li usluge certificiranih organizacija. Tu su i rizici gubitka reputacije, reklamacijskih prava, pokretanja spovova i slično.
9. Ko je certifikacijsko tijelo za PCI (DSS)?
Sukladnost sa zahtjevima Standarda provjeravaju ovlašteni revizori sigurnosti (QSA). Nakon zadovoljenja Standarda QSA revizori izdaju certifikat i potvrdu o sukladnosti (AOC) sa standardom.
10. Šta znači usklađenost sa PCI Standardom?
Sukladnost je potvrda o ispunjenju zahtjeva Standarda u vrijeme revizije. Standard je živa materija koja se mijenja sa vremenom, slično je sa tehnologijama, procesima i ljudima obuhvaćenim revizijom, posljedično i sa sukladnošću organizacije. Iako sukladnost ne pruža sigurnosne garancije, izgledi za propuste su značajno umanjeni.
Želiš li se upoznati sa Standardom, na internetu možeš naći dosta besplatnih resursa za početnike i profesionalce. Zvanična stranica PCI sigurnosnog standarda je moguće ishodište tvoje dalje potrage. Ako imaš konkretan zahtjev ili pitanja obrati se svojoj banci prohvatiocu i-li PSPu.
Ovaj post je zaveden pod tagovima: PCI x Sigurnost x Prodavac
MULTIPAY RESURSI
Zanimljivi materijali
Istraži teme Digitron bloga za bolje rezultate, zabavi se i doznaj u Akademiji ili upoznaj platni servis Multipay.