Our audit & training & consulting makes strongest!
Your Company, Product, Solutions...

 

 

Home - Menu - Expertní služby

PCI DSS Certifikace - Audit - poradenstvíPCI DSS 

Payment Card Industry Data Security Standard - PCI DSS je mezinárodní standard definující podmínky nakládání s údaji držitelů platebních karet, které jsou obsaženy na platebních kartách. Plnění bezpečnostních požadavků je vyžadováno kartovými asociacemi a společnostmi. Ty jsou určena pro organizace, které zpracovávají, přenášejí nebo uchovávají data držitelů platebních karet (z platebních karet a o kartových transakcích).


PCI DSS je komplexní sada požadavků na zvýšení zabezpečení platebních účetních údajů, čímž se pomůže adoptovat širší a konzistentní opatření pro zabezpečení dat na globálním základě. PCI DSS je mnohostranná standarda zabezpečení, která zahrnuje požadavky na bezpečnostní management, politiku, procedury, architekturu sítě, návrh software a jiná kritická ochranná opatření. Tato komplexní standarda je určena jako pomoc pro organizace, které se aktivně snaží o ochranu zákazníkových dat.

Služby v oblasti PCI DSS

  • Assesment audit - identifikace funkčních a chybějících částí PCI DSS v organizaci
  • Školení, workshopy a semináře s obecným či cíleným tématem
  • Uzavření smlouvní podpory, poskytování poradenství
  • implementační služby pro získání shody s PCI DSS


poradenství služby pci dssPCI DSS jako norma pro bezpečnost

v odvětví platebních karet byla oficiálně akceptována dvěma největšími asociacemi: společnostmi VISA a MasterCard. Později ji přijaly i další společnosti v tomto odvětví jako American Express, Dinners Club nebo JCB. Pro řízení celého programu bezpečnosti v odvětví platebních karet byla také založena společnost PCICo., jejímiž zakladateli a zároveň vlastníky jsou právě jednotlivé asociace.

PCI vyžaduje, aby všichni obchodníci, poskytovatelé služeb a banky obchodníků, kteří uchovávají, zpracovávají nebo přenášejí data o transakcích uskutečněných prostřednictvím platebních karet, podstoupili akreditaci v rámci normy PCI DSS. Úrovní bezpečnostních auditů, které je potřeba absolvovat, je několik. Záleží na velikosti organizace a počtu transakcí za rok. 

Společně s normou PCI DSS byly vytvořeny dva kontrolní nástroje ověřující, zda je tato norma dodržována - audit založený na testování na místě a externí testování zranitelností síťové infrastruktury a aplikací. Audit založený na testování na místě musí být realizován jednou ročně, externí testování zranitelností musí být prováděno čtvrtletně. Prověřovací činnosti požadované v rámci normy PCI DSS mohou vykonávat pouze auditoři, respektive auditorské firmy pověřené, otestované a akreditované asociacemi VISA a MasterCard.


AUDIT ZALOŽENÝ NA TESTOVÁNÍ NA MÍSTĚ

Audit je založen na principu testování souladu skutečného stavu informační bezpečnosti v dané organizaci s dvanácti bezpečnostními požadavky, které jsou publikovány v rámci normy PCI DSS.

V rámci každého z výše uvedených dvanácti bezpečnostních požadavků norma PCI DSS specifikuje řadu konkrétních detailních požadavků, k nimž je navíc vytvořena testovací procedura, kterou musí auditor realizovat a jejíž výsledky musí dokumentovat. Na základě provedených a dokumentovaných testů auditor rozhodne, zda je konkrétní bezpečnostní požadavek splněn, respektive zda daná technická nebo procedurální kontrola v auditované organizaci funguje správně. U organizací, jež nepodléhají povinnosti auditu prováděného na místě nezávislým akreditovaným auditorem, avšak zpracovávají určité množství platebních transakcí, je alternativou tohoto auditu vyplnění dotazníku (Self-Assessment Questionnaire) a jeho odeslání do asociací.


EXTERNÍ TESTOVÁNÍ ZRANITELNOSTÍ ANEB SIMULACE ÚTOKU HACKERA Master Card cz pci dss

Slabiny a bezpečnostní díry objevují hackeři (počítačově nadaní jedinci, kteří se snaží neoprávněně získat přístup k cizím informačním systémům prostřednictvím počítačové sítě) prakticky denně. Jedinou možnou obranou proti jejich útoku a kompromitaci informačních systémů je pravidelná instalace bezpečnostních záplat. Pro zajištění bezpečnosti systémů, které zpracovávají, uchovávají nebo přenášejí data o platebních transakcích, vyžaduje norma PCI DSS čtvrtletní externí testování zranitelností.

Testování zranitelností je založeno na principu simulace činnosti útočníka (hackera) z internetu. Testeři, kteří jsou pro tuto činnost akreditováni asociacemi platebních karet, se pokoušejí ze svých laboratoří připojených na internet „nabourat“ do sítě klienta a získat z jeho informačních systémů citlivá data.

MasterCard provádí každoročně opakované testování všech PCI auditorů akreditovaných pro externí testování zranitelností. Na testovacím prostředí sestaveném asociací MasterCard se zjišťuje, zda je daný auditor schopen v rámci 24hodinového testu identifikovat všechny známé bezpečnostní slabiny, jež se v testovacím prostředí vyskytují.


GLOBÁLNÍ PŘÍSTUP K PROVÁDĚNÍ PCI AKREDITACÍ A ZKUŠENOSTI Z PROVEDENÝCH AUDITŮ 

PCI DSS je globální norma, která je jednotná pro relevantní organizace v odvětví platebních karet na celém světě. Auditorské firmy se proto musí vypořádat s problémem, jak provádět audity v souladu s takovouto globální normou v různých zemích světa a zároveň zajistit konzistentní přístup a jednotnou kvalitu výstupů.

Audit na místě je realizován týmy z jednotlivých lokálních poboček auditora, neboť vyžaduje místní jazykovou znalost. V rámci auditu je totiž potřeba prověřit dokumentované postupy a směrnice, které mohou být v lokálním jazyce. Závěrečné zprávy ze všech auditů jsou před odesláním do asociací prověřeny globálním týmem – tím je zajištěna jednotná úroveň kvality výstupů na celosvětové úrovni.


TYPICKÉ PROBLÉMY BRÁNÍCÍ DOSAŽENÍ SOULADU S PCI DSS

Se kterými jsme se setkali při provádění auditů, by se daly shrnout do tří základních oblastí - ukládání citlivých dat po autorizaci platební transakce, nezdokumentovaný informační systém a typické problémy z oblasti informační bezpečnosti.

Ukládání citlivých dat po autorizaci platební transakce: Citlivá data (například celé číslo karty) nesmí obchodníci po provedení autorizace platební transakce za žádných okolností ukládat. Nicméně u řady našich klientů jsem se setkali s tím, že se tato data ukládají na různých místech informačního systému, například v záznamech událostí (logy), zálohách nebo přímo v databázi.

Nezdokumentovaný informační systém: I druhá oblast souvisí s problémem ukládání citlivých dat. U řady našich klientů jsme se při provádění auditu setkali se stavem, kdy v důsledku toho, že různé části systému historicky vznikaly řadu let a jejich vývoj nebyl řádně dokumentován, nám klient často ani nebyl schopen vysvětlit, jaká konkrétní data různými částmi informačního systému vlastně procházejí.


Typické problémy z oblasti informační bezpečnosti

PCI DSS je norma z oblasti informační bezpečnosti a vyžaduje komplexní řešení této problematiky v rámci organizace. Nicméně u našich klientů se často setkáváme se stavem, kdy informační bezpečnost není dostatečně řešena. Typickými příklady mohou být chybějící nebo nedostatečné zaznamenávání událostí (logování a monitorování), neexistence procesu pro pravidelnou aktualizaci bezpečnostních záplat, nedostatečná kontrola nad řízením změn nebo nedostatečné povědomí o bezpečnosti mezi zaměstnanci společnosti.




Kontaktní formulář

Společnost:

Kontaktní osoba:

* Telefon:

 * Email:

     * takto označená pole jsou povinná