PCI DSS

Spis treści:

• Czym jest PCI DSS?
• Jak być zgodnym z PCI DSS?
• Jaki typ SAQ wybrać?
• Co daje zgodność z PCI DSS?
• Konsekwencje braku zgodności z PCI DSS
• Zwolnienie z obowiązku wypełniania kwestionariuszy SAQ oraz audytu

1. Czym jest PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard, czyli w wolnym tłumaczeniu Standard Bezpieczeństwa Danych w Branży Kart Płatniczych) to międzynarodowy standard opracowany w celu zagwarantowania wysokiego i spójnego poziomu bezpieczeństwa danych kart płatniczych oraz ich posiadaczy. Za jego stworzenie odpowiada instytucja PCI SSC (PCI Security Standards Council), która w 2006 roku została założona przez Organizacje płatnicze: Visa, Mastercard, American Express, JCB International, Discover (obecnie w jej skład wchodzi również UnionPay).

Standard PCI DSS składa się z 12 głównych wymagań określających prawidłowe praktyki w zakresie ochrony danych, podzielonych na 6 obszarów.

1. Budowa i utrzymanie bezpiecznej sieci i systemów
   • Utrzymywanie kontroli bezpieczeństwa sieci
   • Stosowanie bezpiecznych konfiguracji do wszystkich komponentów systemu
2. Ochrona danych
   • Ochrona przechowywanych danych posiadaczy kart
   • Ochrona danych posiadacza karty za pomocą silnej kryptografii podczas transmisji przez otwarte, publiczne sieci
3. Zarządzanie podatnościami
   • Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
   • Rozwijanie i utrzymywanie bezpiecznych systemów i oprogramowania
4. Kontrola dostępu do danych
   • Ograniczenie dostępu do komponentów systemu i danych posiadaczy kart w zależności od potrzeb biznesowych
   • Identyfikacja użytkowników i uwierzytelnianie dostępu do komponentów systemu
   • Ograniczenie fizycznego dostępu do danych posiadaczy kart
5. Regularne monitorowanie i testowanie sieci
   • Rejestrowanie i monitorowanie całego dostępu do komponentów systemu i danych posiadaczy kart
   • Regularne testowanie bezpieczeństwa systemów i sieci
6. Opracowanie polityki bezpieczeństwa informacji
   • Wspieranie bezpieczeństwa informacji za pomocą polityk i procedur organizacyjnych

Do najważniejszych wymagań standardu PCI DSS należą:

• przyjmowanie płatności wyłącznie poprzez bezpieczne rozwiązania (wszystkie oferowane przez PolCard from Fiserv posiadają stosowne certyfikacje)
• ograniczenie dostępu do Terminali POS wyłącznie do osób do tego uprawnionych
• regularne kontrolowanie, czy Terminale POS nie zostały w żaden sposób naruszone (np. widoczne pęknięcia, brakujące lub dodatkowe śruby/etykiety, otwory w obudowie urządzenia, trudności z wprowadzeniem lub przeciągnięciem karty w terminalu)
• szkolenie pracowników w zakresie bezpiecznego używania Terminali POS

Pełna wersja standardu PCI DSS dostępna jest na oficjalnej stronie pod adresem: PCI Security Standards

2. Jak być zgodnym z PCI DSS?

Standard PCI DSS jest skierowany do wszystkich podmiotów przechowujących, przetwarzających, przesyłających lub mogących wpłynąć na bezpieczeństwo danych kartowych – a więc wszystkie firmy przyjmujące płatności kartami (np. poprzez terminal płatniczy lub stronę internetową) są zobligowane do stosowania się do jego wymogów. Jednakże nie wszystkie wymagania standardu muszą zostać spełnione przez każdą firmę – obowiązujący zakres różni się w zależności od rodzaju prowadzonej działalności (np. sklepy internetowe obowiązuje nieco inny obszar niż sklepy stacjonarne) oraz wykorzystywanych rozwiązań płatniczych (dokładne wyjaśnienie znajduje się w pkt. 3.).

Czym jest zgodność z PCI DSS? Krótko mówiąc - spełnianiem jego wymagań oraz posiadaniem potwierdzającej to dokumentacji. W zależności od liczby przyjmowanych rocznie transakcji (bez względu na ich wartość) jest to:

• Kwestionariusz samooceny SAQ (Self-Assessment Questionnaire), jeżeli w przeciągu ostatniego roku firma przyjęła mniej niż 6 milionów transakcji kartami Visa lub Mastercard
• Audyt PCI wykonany przez kwalifikowanego audytora QSA (Qualified Security Assessor), którego wynikiem jest dokument PCI DSS AoC (PCI DSS Attestation of Compliance), jeżeli w przeciągu ostatniego roku firma przyjęła więcej niż 6 milionów transakcji kartami Visa lub Mastercard

Wypełnione kwestionariusze SAQ lub dokumenty PCI DSS AoC powinny następnie zostać przesłane do Agenta rozliczeniowego (czyli firmy dostarczającej rozwiązania płatnicze, np. Terminale POS lub internetową bramkę płatniczą), celem poświadczenia o swojej zgodności ze standardem.

3. Jaki typ SAQ wybrać?

Aktualnie istnieje 9 różnych rodzajów kwestionariuszy samooceny SAQ dotyczących Akceptantów oraz jeden dotyczący dostawców usług płatniczych (łącznie 10). Każdy z nich odpowiada innemu rodzajowi działalności, na podstawie tego, w jaki sposób przyjmowane są płatności kartą oraz jakie rozwiązania płatnicze są do tego wykorzystywane. W zależności od typu SAQ, zakres wymagań jest nieco inny – jednakże wszystkie wymogi pochodzą ze standardu PCI DSS. Dobór odpowiedniego kwestionariusza jest niezbędny do późniejszej oceny swojej zgodności ze standardem. Poniżej znajdują się opisy każdego z typów SAQ mających zastosowanie u Akceptantów:

SAQ A – Kwestionariusz skierowany do Akceptantów przyjmujących płatności kartą bez jej fizycznej obecności, czyli za pośrednictwem internetu (eCommerce) lub poprzez zamówienia telefoniczne/e-mail (Mail Order / Telephone Order). Dodatkowo, Akceptant nie może przechowywać, przetwarzać ani przesyłać danych kartowych (wszystkie związane z tym funkcje muszą być powierzone zewnętrznym podmiotom zgodnym z PCI DSS).

(Nie ma zastosowania do przypadków przyjmowania płatności kartą w obecności jej posiadacza oraz dla dostawców usług płatniczych)

SAQ A-EP – Kwestionariusz skierowany do Akceptantów przyjmujących płatności kartą za pośrednictwem internetu (eCommerce), którzy nie przechowują, przetwarzają ani przesyłają danych kartowych, a ich strona internetowa nie zbiera tych danych, lecz może wpłynąć na bezpieczeństwo ich, transakcji płatniczych lub powiązanej strony przyjmującej dane.

(Ma zastosowanie wyłącznie do przypadków przyjmowania płatności za pośrednictwem internetu (eCommerce); nie ma zastosowania dla dostawców usług płatniczych)

SAQ B – Kwestionariusz skierowany do Akceptantów przyjmujących płatności kartą za pośrednictwem urządzeń typu imprinter lub wolnostojących terminali płatniczych łączących się za pośrednictwem telefonii komórkowej. Dodatkowo, dane kartowe nie mogą być elektronicznie przechowywane.

(Nie ma zastosowania do przypadków przyjmowania płatności za pośrednictwem internetu (eCommerce); nie ma zastosowania dla dostawców usług płatniczych)

SAQ B-IP – Kwestionariusz skierowany do Akceptantów przyjmujących płatności kartą za pośrednictwem wolnostojących terminali płatniczych łączących się za pośrednictwem protokołu IP oraz posiadających certyfikację PCI PTS. Dodatkowo, dane kartowe nie mogą być elektronicznie przechowywane.

(Nie ma zastosowania do przypadków przyjmowania płatności za pośrednictwem internetu (eCommerce); nie ma zastosowania dla dostawców usług płatniczych)

SAQ C-VT – Kwestionariusz skierowany do Akceptantów, którzy ręcznie wprowadzają dane kartowe do wirtualnego terminala płatniczego ze zweryfikowaną zgodnością z PCI DSS, udostępnianego przez zewnętrznego dostawcę usług posiadającego certyfikację PCI DSS. Dodatkowo, dane kartowe nie mogą być elektronicznie przechowywane.

(Nie ma zastosowania do przypadków przyjmowania płatności za pośrednictwem internetu (eCommerce); nie ma zastosowania dla dostawców usług płatniczych)

SAQ C – Kwestionariusz skierowany do Akceptantów wykorzystujących aplikację płatniczą połączoną z internetem. Dodatkowo, dane kartowe nie mogą być elektronicznie przechowywane.

(Nie ma zastosowania do przypadków przyjmowania płatności za pośrednictwem internetu (eCommerce); nie ma zastosowania dla dostawców usług płatniczych)

SAQ P2PE – Kwestionariusz skierowany do Akceptantów przyjmujących płatności za pośrednictwem certyfikowanego rozwiązania szyfrującego P2PE. Dodatkowo, dostęp do danych kartowych w formie niezaszyfrowanej powinien nie być możliwy oraz nie powinny być one elektronicznie przechowywane.

(Nie ma zastosowania do przypadków przyjmowania płatności za pośrednictwem internetu (eCommerce); nie ma zastosowania dla dostawców usług płatniczych)

SAQ SPoC –Kwestionariusz skierowany do Akceptantów przyjmujących płatności za pośrednictwem rozwiązań certyfikowanych standardem SPoC. Dodatkowo, dostęp do danych kartowych w formie niezaszyfrowanej powinien nie być możliwy oraz nie powinny być one elektronicznie przechowywane.

(Nie ma zastosowania do przypadków przyjmowania płatności za pośrednictwem internetu (eCommerce), e-mail/telefonu oraz do transakcji samoobsługowych z fizyczną obecnością karty; nie ma zastosowania dla dostawców usług płatniczych)

SAQ D for Merchants – Kwestionariusz skierowany do wszystkich Akceptantów nie kwalifikujących do żadnego z pozostałych typów SAQ.

(Nie ma zastosowania dla dostawców usług płatniczych)

Jeżeli firma przyjmuje płatności w więcej niż jednym środowisku (na przykład posiada sklep stacjonarny oraz internetowy), możliwe jest sprawdzenie zgodności na dwa sposoby - wypełnienie dwóch odpowiadających tym kanałom typów SAQ lub wypełnienie jednego ogólnego kwestionariusza, jakim jest SAQ D dla Akceptantów (SAQ D for Merchants).

Aktualne wzory kwestionariuszy SAQ dostępne są na oficjalnej stronie PCI SSC pod adresem: PCI Security Standards

4. Co daje zgodność z PCI DSS?

PCI DSS jest nie tylko obowiązkiem, ale również narzędziem do zabezpieczania firmy. Dzięki stosowaniu się do zasad standardu, firmy przyjmujące płatności znacznie poprawiają bezpieczeństwo nie tylko własne, ale również swoich Klientów. Zagrożenie naruszeń bezpieczeństwa zostaje znacznie ograniczone, a związane z nim ryzyko kar, opłat i strat finansowych jest minimalizowane. Zgodność z PCI DSS pozwala również na zwiększenie zaufania Klientów, którzy widząc starania i wagę przywiązywaną do kwestii bezpieczeństwa, pozostają lojalni marce.

Przeczytaj więcej na: PCI DSS – co to jest i jakie są z niego korzyści?

5. Konsekwencje braku zgodności z PCI DSS

Niestosowanie się do zasad standardu może w konsekwencji prowadzić do naliczania opłat przez Organizacje płatnicze i/lub instytucje finansowe. Dzieje się tak w trosce o spójny, wysoki poziom bezpieczeństwa infrastruktury każdej z firm przyjmujących płatności kartami oraz nieprzerwaną ochronę danych Klientów. Jednakże potencjalne kary finansowe nie są jedynym ryzykiem. Nieprzestrzeganie PCI DSS naraża podmioty na ataki, oszustwa i nadużycia, co w konsekwencji może prowadzić do zmniejszenia zaufania Klientów, a nawet ich utraty.

6. Zwolnienie z obowiązku wypełniania kwestionariuszy SAQ oraz audytu

Istnieje jednak możliwość bycia zwolnionym z obowiązku corocznego wypełniania i przesyłania dokumentów zgodności z PCI DSS. Jaki jest warunek? Firma musi spełnić konkretne kryteria określone przez Organizacje płatnicze w dedykowanych programach wyjątków, takich jak:

• Visa Technology Innovation Program (Visa TIP)
• Mastercard Validation Exemption Program

Do kryteriów należą m.in.:

1. Przyjmowanie przynajmniej 75% wszystkich transakcji kartowych za pomocą Terminali POS
2. Nieprzechowywanie danych kartowych (np. numerów kart płatniczych, ich dat ważności, kodów PIN)
3. Brak wystąpienia wycieku danych w przeciągu 3 ostatnich lat
4. Spełnianie kryteriów standardu PCI DSS (nie oznacza to corocznego wypełniania kwestionariuszy SAQ lub przeprowadzania audytu, a jedynie stosowanie się do wymagań standardu)

Kwalifikowaniem Akceptantów (firm przyjmujących płatności kartami) do programów wyjątków zarządzają ich Agenci rozliczeniowi oraz Organizacje płatnicze. Dzięki kwalifikacji do programów, uchylony zostaje obowiązek corocznego wypełniania oraz przesyłania dokumentów zgodności z PCI DSS – kwestionariuszy SAQ lub wyników audytu PCI (w zależności od ilości przyjmowanych transakcji, co zostało przedstawione w pkt. 2.).