Standard PCI DSS

12 wymagań dotyczących bezpieczeństwa danych kart płatniczych

Co to jest standard PCI DSS ?

PCI DSS jest zbiorem wymagań bezpieczeństwa mających na celu zapewnienie poufności danych posiadaczy kart płatnicznych we wszystkich systemach informacyjnych, w których są one przetwarzane. Zbiór wymagań jest redagowany przez PCI Council - zrzeszenie organizacji wydających karty płatnicze VISA, Mastercard, American Express, JCB oraz Discovery.

Kim są poszczególne strony korzystające z systemu płatności elektronicznych?

  • Posiadacz karty: osoba fizyczna lub podmiot posiadający kartę oraz przypisane do niej konto (klient końcowy).
  • Wydawca karty: bank, który wydał kartę.
  • Akceptant: podmiot akceptujący kartę jako środek płatniczy.
  • Agent rozliczeniowy: bank, który zawiera umowę z akceptantem o przyjmowanie płatności przy użyciu kart płatniczych.
  • Marka karty: strona trzecia pośrednicząca między poszczególnymi stronami transakcji (Visa, Mastercard, American Express, etc…).
  • Dostawcy X usług płatniczych (ang. PSP): pozostali pośrednicy łańcucha płatniczego. OVH, jako podmiot świadczący usługi IaaS, należy do dostawców usług płatnicznych.

Każdy bank wydający karty płatnicze lub rozliczający transakcje akceptantów ma prawo ustalić w umowie wymagania bezpieczeństwa, których muszą przestrzegać klienci i partnerzy. Standard PCI DSS określa wspólną bazę bezpieczeństwa odpowiadającą większości wymagań. PCI DSS stał się referencyjną normą bezpieczeństwa dla elektronicznych systemów płatności i wszystkie strony korzystające z systemów płatniczych są zobowiązane do jego przestrzegania. Ponadto na każdym podmiocie będącym elementem łańcucha płatniczego spoczywa odpowiedzialność, w dotyczącym go zakresie, za zapewnienie całkowitego bezpieczeństwa platformy. Zobowiązania te określone zostają w umowie przez organizacje płatnicze reprezentujące marki kart.

Standard PCI DSS określa ponad 250 punktów kontrolnych oraz środków bezpieczeństwa, które należy wdrożyć, aby zapewnić całkowite bezpieczeństwo przetwarzania numerów kart płatniczych. Punkty kontrolne podzielone są na 6 grup:

  • Budowa oraz utrzymanie bezpiecznej sieci i systemu

    Wymaganie 1: Zainstaluj zaporę sieciową i zarządzaj jej konfiguracją, aby chronić dane posiadaczy kart.
    Wymaganie 2: Nie używaj domyślnych haseł systemu ani innych parametrów bezpieczeństwa ustawionych przez producentów.
  • Ochrona danych posiadacza karty

    Wymaganie 3: Chroń przechowywane dane posiadaczy kart.
    Wymaganie 4: Szyfruj transmisję danych posiadaczy kart w otwartych, publicznych sieciach.
  • Prowadzenie programu zarządzania podatnościami

    Wymaganie 5: Chroń systemy przed szkodliwym oprogramowaniem i regularnie aktualizuj oprogramowanie antywirusowe.
    Wymaganie 6: Twórz i utrzymuj bezpieczne systemy i aplikacje.
  • Implementacja silnych mechanizmów kontroli dostępu

    Wymaganie 7: Ogranicz dostęp do danych posiadaczy kart płatniczych tylko do osób, które muszą je znać.
    Wymaganie 8: Wprowadź identyfikatory i system uwierzytelniania chroniące dostęp do elementów systemu.
    Wymaganie 9: Ogranicz fizyczny dostęp do danych posiadaczy kart.
  • Regularny monitoring i testy sieci

    Wymaganie 10: Monitoruj i kontroluj wszystkie dostępy do zasobów sieciowych i danych posiadaczy kart.
    Wymaganie 11: Regularnie testuj procesy i sytemy bezpieczeństwa.
  • Prowadzenie polityki bezpieczeństwa informacji

    Wymaganie 12: Prowadź politykę bezpieczeństwa informacji obejmującą wszystkich pracowników.

Jak zapewnić zgodność ze standardem PCI DSS

Wymóg zgodności z PCI DSS dotyczy całości platformy płatniczej i wszystkich jej elementów dostarczanych przez dostawców. Każdy z podmiotów zaangażowanych w eksploatację platformy ma obowiązek przestrzegania wymagań standardu PCI DSS i stosowania ich w odniesieniu do prowadzonych przez siebie działań. Ponadto zobowiązany jest do wykazywania zgodności ze standardem wobec swoich klientów.

Firma OVH jest odpowiedzialna za bezpieczeństwo infrastruktury OVH Payment Infrastructure PCI DSS, natomiast klient jest odpowiedzialny za bezpieczeństwo hostowanych maszyn wirtualnych, wykorzystywane funkcje wirtualnych sieci oraz warstwy aplikacyjne zastosowane w wirtualnych maszynach. Zachowanie zgodności z PCI DSS jest zatem wynikiem wspólnego działania, którego celem jest kombinacja mechanizmów bezpieczeństwa użytych w platformie aplikacyjnej i systemie oraz w infrastrukturze Private Cloud.

Zgodność z PCI DSS może być potwierdzona certyfikatem zgodności (AoC) wydanym po wykonaniu ewaluacji wewnętrzej lub przeprowadzeniu audytu przez jedną lub kilku firm QSA (Qualified Security Assessor) wyspecjalizowanych w audytach bezpieczeństwa.

Uzyskanie zgodności platformy ze standardem PCI DSS jest złożoną operacją, której charakterystyka i związane z nią wymagania zależą od wielu czynników, takich jak:

  • Liczba transakcji przeprowadzanych rocznie
  • Typ(y) akceptowanych kart płatniczych
  • Agent rozliczeniowy
  • Złożoność infrastruktury systemu płatniczego

Uzyskanie zgodności ze standardem PCI DSS wiąże się z koniecznością zapoznania ze szczegółowymi wymaganiami wszystkich stron uczestniczących w łańcuchu płatniczym. OVH rekomenduje kontakt z bankiem (agentem rozliczeniowym) i/lub skorzystanie z usług firmy wyspecjalizowanej w audycie bezpieczeństwa (ang. QSA), które udzielą wsparcia w przeprowadzanej procedurze certyfikacji.

Poziom zabezpieczeń wymaganych przez organizację płatniczą VISA

Niveau Szczegóły Wymagania
1 > 6M transakcji rocznie Audyt przeprowadzony przez firmę QSA (Qualified Security Assessor) wyspecjalizowaną w audytach bezpieczeństwa
Skanowanie, z częstotliwością raz na kwartał, realizowane przez akredytowaną organizację przeprowadzającą testy zgodności ze standardem PCI DSS (ASV - Approved Scanning Vendor)
Certyfikat zgodności
2 1M < x < 6M transakcji rocznie Kwestionariusz ewaluacji wewnętrznej
Skanowanie, z częstotliwością raz na kwartał, realizowane przez akredytowaną organizację przeprowadzającą testy zgodności ze standardem PCI DSS (ASV - Approved Scanning Vendor)
Certyfikat zgodności
3/4 x < 1M transakcji rocznie Wymagania określane i kontrolowane indywidualnie przez każdy bank

żródło: https://www.visaeurope.com/receiving-payments/security/merchants
Powyższe dane mają charakter informacyjny. Tylko właściwy bank (agent rozliczeniowy) może dostarczyć informacje dotyczące konkretnego przypadku.

OVH co roku zleca przeprowadzenie audytu swojej platformy firmie QSA i udostępnia uzyskane w jego wyniku dokumenty, które pozwalają:

  • Zapoznać się z wymaganiami spełnianymi przez OVH w ramach aktualnej certyfikacji
  • Określić wymagania, które powinien spełniać klient
  • Wykazać firmie audytorskiej klienta, że całość mających zastosowanie wymagań jest spełnionych przez OVH i zgodnych ze standardem PCI DSS

Ponadto OVH wspiera klientów w uzyskaniu zgodności ze standardem PCI DSS, oferując pomoc swojego zespołu ekspertów oraz udostępniając dokumenty:

  • Macierz podziału odpowiedzialności w zakresie zapewnienia bezpieczeństwa zgodnie z PCI DSS
  • Szczególne warunki określające zakres odpowiedzialności OVH
  • Wzór specyfikacji zawierającej wytyczne do przeprowadzenia obowiązkowych testów odporności na włamanie

Macierz odpowiedzialności

W macierzy odpowiedzialności opisany jest zakres działań, które musi podjąć OVH oraz klient w celu spełnienia wymagań standardu PCI DSS. Tylko szczegółowa analiza certyfikatu zgodności dostarczonego na prośbę klienta w momencie składania zamówienia na usługę umożliwia pełne zapoznanie się z informacjami koniecznymi do rozpoczęcia procesu uzyskiwania zgodności ze standardem PCI DSS.

Budowa oraz utrzymanie bezpiecznej sieci i systemu
Wymaganie 1: Zainstaluj zaporę sieciową i zarządzaj jej konfiguracją, aby chronić dane posiadaczy kart. OVH w odniesieniu do sieci fizycznej.
Klient w odniesieniu do funkcji sieci wirtualnych w wirtualnym centrum danych.
Wymaganie 2: Nie używaj domyślnych haseł systemu ani innych parametrów bezpieczeństwa ustawionych przez dostawców sprzętu. Klient w odniesieniu do maszyn wirtualnych i aplikacji.
Ochrona danych posiadacza karty
Wymaganie 3: Chroń przechowywane dane posiadaczy kart. Wyłączna odpowiedzialność klienta w zakresie implementacji warunku.
Wymaganie 4: Szyfruj transmisję danych posiadaczy kart w otwartych, publicznych sieciach. Wyłączna odpowiedzialność klienta w zakresie implementacji warunku.
Prowadzenie programu zarządzania podatnościami
Wymaganie 5: Chroń systemy przed szkodliwym oprogramowaniem i regularnie aktualizuj oprogramowanie antywirusowe. OVH w odniesieniu do sprzętu tworzącego infrastrukturę.
Klient w odniesieniu do maszyn wirtualnych i aplikacji.
Wymaganie 6: Twórz i utrzymuj bezpieczne systemy i aplikacje. OVH w odniesieniu do sprzętu tworzącego infrastrukturę.
Klient w odniesieniu do maszyn wirtualnych i aplikacji.
Implementacja silnych mechanizmów kontroli dostępu
Wymaganie 7: Ogranicz dostęp do danych posiadaczy kart płatniczych tylko do osób, które muszą je znać. OVH w odniesieniu do sprzętu tworzącego infrastrukturę.
Klient w odniesieniu do maszyn wirtualnych i aplikacji.
Wymaganie 8: Wprowadź identyfikatory i system uwierzytelniania chroniące dostęp do elementów systemu. OVH w odniesieniu do sprzętu tworzącego infrastrukturę.
Klient w odniesieniu do maszyn wirtualnych i aplikacji.
Wymaganie 9: Ogranicz fizyczny dostęp do danych posiadaczy kart. Wyłączna odpowiedzialność OVH w odniesieniu do fizycznego hostingu platformy.
Regularny monitoring i testy sieci
Wymaganie 10: Monitoruj i kontroluj wszystkie dostępy do zasobów sieciowych i danych posiadaczy kart. OVH w odniesieniu do sprzętu tworzącego infrastrukturę.
Klient w odniesieniu do maszyn wirtualnych i aplikacji.
Wymaganie 11: Regularnie testuj procesy i sytemy bezpieczeństwa. OVH w odniesieniu do sprzętu tworzącego infrastrukturę.
Klient w odniesieniu do maszyn wirtualnych i aplikacji.
Prowadzenie polityki bezpieczeństwa informacji
Wymaganie 12: Prowadź politykę bezpieczeństwa informacji obejmującą wszystkich pracowników. OVH w odniesieniu do sprzętu tworzącego infrastrukturę.
Klient w odniesieniu do maszyn wirtualnych i aplikacji.

OVH Payment infrastructure

  • Dostawca usług płatniczych (PSP) Poziom 1
  • PCI DSS V3.2
  • QSA Provadys
  • Opcja PCI DSS dostępna w ramach OVH Payment Infrastructure. Upgrade możliwy z wykorzystaniem każdej infrastruktury SDDC.
  • Zakres: obszar odpowiedzialności OVH (patrz Matryca odpowiedzialności)

Schemat

Poniżej przedstawiamy dwa uproszczone przykłady łańcuchów płatności elektronicznych ukazujące zależności między poszczególnymi stronami oraz wymagania dotyczące zgodności z PCI DSS. Każdy przypadek jest szczególny i wymaga pogłębionej analizy, jednak większość sytuacji będzie zbliżona do jednego z dwóch przedstawionych schematów.

Jesteś akceptantem hostującym swoją platformę w infrastrukturze OVH PCI DSS:

Jesteś Dostawcą usług płatniczych (ang. PSP) hostującym systemy w infrastrukturze OVH PCI DSS. Twoimi klientami są akceptanci.