BELLPRO, s.r.o. nezávislý konzultant pro problematiku akceptace platebních karet včetně jejích bezpečnostních aspektů spolupracující se Sdružením pro bankovní karty (sdružuje zejména všechny banky zajišťující akceptace platebních karet v ČR). Akceptace platebních karet je specifická činnost a v souvislosti s ní je třeba si z hlediska zájemce vyjasnit řadu otázek, např.:
v rámci jakých prodejních kanálů/provozovnách platební karty akceptovat (kamenný, elektronický obchod, mobilní provozovna atd.), jaké jsou možnosti, omezení a souvislosti
jaké platební karty akceptovat a proč, jaké jsou možnosti a podmínky
jaké další doplňkové služby (dobíjení mobilních telefonů, cashback, věrnostní programy atd.) v souvislosti s akceptací platebních karet realizovat a proč, je to možné, jaké jsou souvislosti
prostřednictvím koho realizovat autorizace a zúčtování karetních transakcí a proč, jaké jsou možnosti a omezení
jaká SW a HW řešení využít a proč, jaké jsou možnosti, omezení a souvislosti
způsoby přenášení transakcí (komunikace s autorizačními centry), dopady, souvislosti
nakládání s daty souvisejícími s akceptací platebních karet, důvody, dopady, souvislosti
Vzhledem k poslednímu vývoji v akceptaci platebních karet (růst počtu transakcí i objemů plateb, virtualizace, související kriminalita) se objevují a sílí bezpečnostní požadavky, které je nutné při akceptaci platebních karet zohledňovat a zajišťovat. Řada požadavků se týká výrobců a dodavatelů příslušného HW a SW, akceptačních bank, specializovaných autorizačních centrál, kde je problematika odpovídajícím způsobem sledována a požadavky zajišťovány. Řada požadavků se však týká i obchodníků a poskytovatelů služeb. Mezi aktuální požadavky patří PCI DSS. Podrobnosti na www.pcisecuritystandards.cz Ne na každého se standardy vztahují, a ne v každém případě v celé šíři. Nevyhnutelné je individuální posouzení konkrétního případu. PCI-DSS (Payment Card Industry Data Security Standard)
mezinárodní bezpečnostní standardy (normy), jejichž cílem je zamezit únikům citlivých dat o držitelích platebních karet a karetním podvodům vyplývajícím ze zneužití těchto dat
v podstatě se jedná o 12 požadavků
určeny pro organizace, které zpracovávají, přenášejí nebo uchovávají data o držitelích platebních karet a kartových transakcích (zejména banky, autorizační centrály, obchodníci akceptující platební karty)
konkrétní bezpečnostní doporučení, jak chránit údaje o platebních kartách
BELLPRO, s.r.o., Antala Staška 276/4, 140 00 Praha 4, Czech Republic tel.: +420 241 405 077, fax: +420 272 770 430, e-mail:
[email protected], http://www.bellpro.cz IČ: 26201119, DIČ: CZ26201119 společnost je zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 79213
dodržování by mělo být a bude pravidelně prověřováno u všech subjektů zpracovávajících karetní data s tím, že úroveň prověření (použité nástroje) závisí na počtu a typu karetních transakcí za rok
bezpečnost nakládání s karetními daty je v rámci bank a specializovaných organizací (autorizační centra) standardně zajišťována a prověřována
za bezpečnost nakládání s karetními daty u obchodníků akceptujících platební karty primárně odpovídají banky zajišťující svým obchodníkům akceptace platebních karet
banky musejí zajistit dodržování bezpečnostních pravidel svými obchodníky (v ČR je téměř 60 tis. obchodních míst akceptujících platební karty)
Úrovně (kategorizace) obchodníků
úroveň I -
všichni obchodníci, kteří zpracovávají více než 6 miliónů transakcí za rok (bez ohledu na typ platebního kanálu)
-
všichni obchodníci, na které byl proveden úspěšný útok, který vyústil v kompromitaci dat držitelů karet
-
všichni obchodníci, o kterých VISA/MC na základě svého vyjádření rozhodne, že jsou obchodníky úrovně I za účelem minimalizace rizika kompromitace celého platebního systému
úroveň II -
úroveň III -
všichni obchodníci, kteří zpracovávají 1 milión až 6 miliónů transakcí za rok
všichni internetoví obchodníci, kteří zpracovávají 20 tisíc až 1 milion e-commerce transakcí za rok
úroveň IV -
všichni ostatní obchodníci nezařazení do předchozích úrovní
Audit dodržování norem (shody s požadavky) - realizace a nástroje
roční audit u obchodníka dle úrovní mohou vykonávat pouze externí certifikovaní auditoři/hodnotitelé – QSA, nebo speciálně proškolení interní auditoři
čtvrtletní externí testování zranitelnosti - mohou provádět pouze certifikované/odsouhlasené společnosti (ASV) certifikovaným SW (většinou poskytováno formou SaaS)
vlastní sebehodnocení využitím definovaného dotazníku (SAQ)
Audit dodržování norem – povinnost realizace a užití daných nástrojů dle úrovně obchodníků (podle počtu transakcí)
BELLPRO, s.r.o., Antala Staška 276/4, 140 00 Praha 4, Czech Republic tel.: +420 241 405 077, fax: +420 272 770 430, e-mail:
[email protected], http://www.bellpro.cz IČ: 26201119, DIČ: CZ26201119 společnost je zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 79213
úroveň I - nutný pravidelný roční audit přímo u obchodníka - provádí nezávislý certifikovaný auditor (QSA) -
úroveň II+III - vyplnění SAQ dotazníku – vlastní sebehodnocení (vyplňuje obchodník), pro úroveň II se požadavky zpřísňují – nově nutný audit speciálně proškoleným interním auditorem nebo QSA -
nutné pravidelné čtvrtletní externí testování zranitelnosti (provádí certifikovaná nezávislá společnost - ASV certifikovaným SW)
nutné pravidelné čtvrtletní externí testování zranitelnosti (provádí certifikovaná nezávislá společnost - ASV certifikovaným SW)
úroveň IV - vyplnění SAQ dotazníku – vlastní sebehodnocení (vyplňuje obchodník) DOPORUČENO -
pravidelné čtvrtletní externí testování zranitelnosti (provádí certifikovaná nezávislá společnost - ASV certifikovaným SW) DOPORUČENO
Dotazník vlastního sebehodnocení (Self-Assessment Questionnaire - SAQ)
nástroj, jehož smyslem je pomáhat obchodníkům a poskytovatelům služeb v sebehodnocení souladu s požadavky/pravidly PCI DSS
určen obchodníkům a poskytovatelům služeb úrovně II a III (resp. IV), kteří nemusí podstoupit pravidelný roční audit QSA přímo u obchodníka
slouží k ověření shody obchodníka s požadavky/pravidly PCI DSS
obchodník odešle dotazník po jeho vyplnění zpracovatelské bance (acquirerovi), která je tento dotazník povinna předložit na vyžádání kartové společnosti (Visa, MasterCard,…)
4 typy dotazníků SAQ (typ A až D) dle kategorií obchodníků (kategorizace dle způsobu práce s kartami – bez přítomnosti karty, mechanické či elektronické sejmutí dat a dle způsobu komunikace resp. nakládání s údaji sejmutými z karty), smyslem je nalézt resp. dosáhnout shody s požadavky (jejich naplněním)
Požadavky (pravidla) PCI DSS 1. Instalovat a udržovat konfiguraci firewallů k ochraně dat držitelů karet 2. Nepoužívat pro systémová hesla a jiné bezpečnostní parametry výchozí nastavení od dodavatele 3. Chránit uchovávaná data držitelů karet 4. Zakódovat přenos dat držitelů karet po otevřených veřejných sítích 5. Používat a pravidelně aktualizovat antivirový software nebo programy 6. Vyvíjet a udržovat bezpečné systémy a aplikace 7. Omezit přístup k datům držitelů karet jen podle potřeby 8. Přidělit jedinečné ID každé osobě s přístupem k počítači BELLPRO, s.r.o., Antala Staška 276/4, 140 00 Praha 4, Czech Republic tel.: +420 241 405 077, fax: +420 272 770 430, e-mail:
[email protected], http://www.bellpro.cz IČ: 26201119, DIČ: CZ26201119 společnost je zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 79213
9. 10. 11. 12.
Omezit fyzický přístup k datům držitelů karet Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet Pravidelně testovat bezpečnostní systémy a procesy Udržovat pravidla zaměřená na bezpečnost informací pro zaměstnance a dodavatele
Požadavky (pravidla) PCI DSS - zajištění
pro otestování shody s každým požadavkem je nutné odpovědět na řadu otázek a podotázek
shoda musí být bezvýhradní
v případě, kdy shoda není, přijímá se akční plán k nalezení shody nebo dostatečná kompenzace
ne všichni obchodníci musí splňovat a dodržovat všech 12 požadavků (pravidel), vše závisí na způsobu zpracování příp. uchovávání a předávání karetních dat
požadavky resp. pravidla PCI DSS se uplatňuji v případě, kdy se pracuje s číslem karty (PAN), není-li PAN uchováváno, zpracováváno nebo přenášeno, požadavky PCI DSS se neuplatní
Aktuální požadavky a termíny Obchodníci s počtem transakcí nad 6 mil./rok (úroveň I) by v současnosti již měli mít shodu s PCI DSS ověřenu. K 31.12.2010 společnost MasterCard (MC) a VISA požadovaly, aby všichni obchodníci s počtem karetních transakcí nad 1 mil. (tedy i úroveň II) měli ověřenou svou shodu s požadavky PCI DSS, společnost MC tento termín posunula s ohledem na zpřísnění použití nástrojů ověření shody na 30.6.2011. MC i VISA požadují po obchodnících z obou úrovní v rámci vyhodnocování shody provádění čtvrtletních prověrek resp. testů zranitelnosti třetí stranou - ASV. Tyto prověrky mohou být prováděny on-line po internetu ze vzdáleného místa (formou SaaS). V současnosti je certifikováno na světě kolem 200 QSA auditorů a řada ASV resp. SW pro testy zranitelnosti. Nabídka společnosti BELLPRO pro individuální obchodníky a poskytovatele služeb, řetězce, provozovatele internetových řešení, řešitele pokladních aplikací a další zájemce
konzultace a doporučení řešení akceptace platebních karet pro konkrétní účel a aktivity s popsáním a zdůvodněním doporučení včetně rámcového popsání (definování) souvisejících bezpečnostních aspektů – kamenné /mobilní provozovny, internetové obchody
bezpečnostní školení akceptace platebních karet (pro konkrétní pracovníky obchodníka realizujících platby platebními kartami – obsluha přepážek, platebních terminálů atd.)
konzultace a obecná školení k seznámení se s problematikou PCI DSS
BELLPRO, s.r.o., Antala Staška 276/4, 140 00 Praha 4, Czech Republic tel.: +420 241 405 077, fax: +420 272 770 430, e-mail:
[email protected], http://www.bellpro.cz IČ: 26201119, DIČ: CZ26201119 společnost je zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 79213
konzultace a doporučení ošetření akceptace platebních karet takovým způsobem, aby byly minimalizovány povinnosti certifikací a auditů
rámcová posouzení konkrétních řešení akceptace platebních karet s cílem napomoci provozovatelům k zjištění nutnosti a rozsahu uplatnění a zajištění standardů PCI DSS – seznámení s problematikou PCI DSS, posouzení možnosti optimalizace řešení vedoucích k minimalizaci povinností certifikací a auditů
podrobnější posouzení konkrétních řešení s ohledem na jednotlivé prvky architektury infrastruktury pro akceptace platebních karet obchodníka s ohledem na zpracovávání a přenášení příp. uchovávání dat z hlediska PCI DSS, předběžné definování oblastí spadajících pod PCI DSS s hrubým popsáním důsledků a orientačním doporučením řešení
orientační předaudit (příprava na audit certifikovaným auditorem QSA) – hrubá analýza souladu systémů obchodníka s 12 požadavky standardu PCI DSS
zajištění realizace externích testů zranitelnosti ICT systémů certifikovanou společností (ASV) resp. certifikovaným SW s výslednou zprávou pro akceptační banku ve standardizované podobě
pomoc při zpracovávání samohodnotících dotazníků (SAQ) vyžadovaných v rámci PCI DSS
BELLPRO, s.r.o., Antala Staška 276/4, 140 00 Praha 4, Czech Republic tel.: +420 241 405 077, fax: +420 272 770 430, e-mail:
[email protected], http://www.bellpro.cz IČ: 26201119, DIČ: CZ26201119 společnost je zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 79213
