Branżowe wymagania PCI DSS dla stosujących płatności kartowe

Standard Bezpieczeństwa w Branży Kart Płatniczych (PCI DSS) to zbiór wymogów, które mają na celu ochronę danych płatniczych. Zostały opracowane przez Radę ds. Standardów Bezpieczeństwa PCI powołaną przez Visa, Mastercard , JCB, Discover i American Express, aby wprowadzić spójne zasady ochrony danych właścicieli kart na całym świecie.

Wymogi bezpieczeństwa kart płatniczych obowiązują wszystkie firmy akceptujące płatności kartami niezależnie od wielkości firmy lub kwoty transakcji. Każda firma, która przechowuje, przetwarza, przesyła numery kart płatniczych, jest zobowiązana zapewnić zgodność z wymogami PCI DSS.

Brak zgodności ze standardem PCI DSS i naruszenie wymogów bezpieczeństwa kart płatniczych może skutkować dla Twojej firmy utratą reputacji i poważnymi konsekwencjami finansowymi. Mogą mieć negatywny wpływ na dalsze prowadzenie działalności, a nawet ją uniemożliwić, niezależnie od wielkości firmy.

Zrozumienie procesu transakcji

Poniżej znajduje się krótki opis podstawowych pojęć i tego jak działa proces transakcji.

  • Akceptant – praktycznie każda firma, która chce akceptować płatności kartą i która spełnia standardy kwalifikacyjne organizacji kartowej i agenta rozliczeniowego.
  • Agent rozliczeniowy – licencjonowana instytucja członkowska systemu kartowego, weryfikująca i przyjmując akceptantów do swojego programu przetwarzania transakcji.
  • Bank wydający kartę – instytucja finansowa posiadacza karty.
  • Posiadacz karty - osoba, której instytucja finansowa wydała kartę płatniczą
  • Mastercard, Visa – globalny system kart płatniczych udzielający licencji na wykorzystywanie swojej marki instytucjom finansowym, będącym jego członkami, w zamian za usługi dostarczane posiadaczom kart i akceptantom.

Poniżej przedstawiamy typowy przebieg transakcji kartą płatniczą:

  • Rozpoczęcie transakcji - posiadacz karty nabywa towar lub usługi od akceptanta
  • Autoryzacja - akceptant przekazuje transakcje agentowi rozliczeniowemu i otrzymuje od niego zapłatę pomniejszoną o opłatę akceptanta
  • Dostarczenie transakcji - agent rozliczeniowy przekazuje transakcję do banku wystawcy karty w celu uzyskania zapłaty
  • Płatność do akceptanta - bank wydawcy karty przekazuje płatność agentowi rozliczeniowemu, pomniejszoną o jego opłaty
  • Płatność posiadacza karty - posiadacz karty spłaca wystawcy należność za towar i usługi zakupione wcześniej od akceptanta

Na każdym z etapów przeprowadzanych transakcji kartowych wymagane jest przestrzeganie wytycznych Standardu Bezpieczeństwa w Branży Kart Płatniczych (PCI DSS). Standardy te są takie same dla wszystkich podmiotów biorących udział w procedowaniu transakcji. Podmioty będą jednak miał różnie rozbudowane systemy oraz w zależności od liczby przeprowadzanych transakcji muszą potwierdzać stosowanie standardów od samodzielnie wypełnionego potwierdzenia, do audytowanego procesu weryfikacji przeprowadzanego przez autoryzowane firmy.

Poziomy PCI DSS w zależności od liczby przeprowadzanych transakcji kartowych

  • Poziom 1 - dot. organizacji które przetwarzają ponad 6 milionów transakcji wykonanych kartami Visa lub Mastercard. Organizacje te obowiązuje coroczna weryfikacja, którą przeprowadza Qualified Security Assessor (QSA), oraz pozytywny wynik skanu sieci, który wykonuje Approved Scanning Vendor (ASV)
  • Poziom 2 - dot. organizacji które przetwarzają od 1 do 6 milionów transakcji wykonanych kartami Visa lub Mastercard. Organizacje te obowiązuje coroczne wypełnienie Kwestionariusza Samooceny (SAQ) oraz pozytywny wynik skanu sieci, który wykonuje Approved Scanning Vendor (ASV)
  • Poziom 3 - dot. organizacji które przetwarzają od 20.000 do miliona transakcji e-commerce wykonanych kartami Visa lub Mastercard. Organizacje te obowiązuje coroczne wypełnienie Kwestionariusza Samooceny SAQ oraz, jeśli systemy organizacji są dostępne przez internet, skan sieci który wykonuje Approved Scanning Vendor (ASV)
  • Poziom 4 - dot. organizacji, które przetwarzają mniej niż 20.000 transakcji e-commerce kartami Visa lub Mastercard. Organizacje te obowiązuje coroczne wypełnienie Kwestionariusza Samooceny SAQ oraz, jeśli systemy organizacji są dostępne przez internet, skan sieci który wykonuje Approved Scanning Vendor (ASV)

SAQ-A dla prowadzących sklepy IdoSell oraz przyjmujące płatności kartowe

Kwestionariusze Samooceny (SAQ) są dokumentami wypełnianymi samodzielnie przez firmy. Jest ich kilka rodzajów w zależności od tego jak działalność firmy ociera się o bezpieczeństwo kart. Dla sklepów korzystających z płatności kartowych przez system IdoSell przygotowaliśmy wygodny sposób uzupełniania dokumentów SAQ-A, które są przeznaczone dla firm, które przeprowadzają transakcje bez fizycznej obecności karty płatniczej (są to transakcje eCommerce lub MO/TO) i który w całości przetwarzanie danych kart płatniczych powierza zewnętrznemu dostawcy usług posiadającemu certyfikat PCI DSS (czyli IAI), przy czym firma nie przechowuje danych kart płatniczych w formie elektronicznej, nie przesyła ani nie przetwarza ich w swoich systemach informatycznych lub na swoim terenie. Jeśli te wytyczne nie dotyczą twojej firmy, skontaktuj się z nami w celu głębszej oceny twojej sytuacji.

Wymogi względem organizacji przyjmujących płatności kartowe

PCI DSS stworzyła listę 12 wymagań podzielonych na 6 grup, które musi spełniać każda firma biorąca udział w procedowaniu transakcji kartami płatniczymi.

Z listy 12 wymagań wyróżnione zostało 5, które musi spełniać każda kwalifikująca się do samodzielnego wypełnienia Kwestionariusza Samooceny SAQ-A firma

Oto lista wymagań:

1. Stwórz i utrzymuj bezpieczną sieć:

  • Zawsze zmieniaj domyślne hasła
  • Kontroluj domyślne ustawienia urządzeń, które instalujesz w swojej sieci

6. Stwórz i utrzymuj bezpieczne systemy i aplikacje:

  • Instaluj wszelkie aktualizacje w używanych aplikacjach oraz urządzeniach
  • Instaluj wszelkie aktualizacje nie później niż w ciągu miesiąca od ich pojawienia się

8. Identyfikuj i autoryzuj dostęp do swoich systemów:

  • Każdy użytkownik twoich systemów ma swój identyfikator na każdym z wykorzystywanych systemów
  • Natychmiast blokuj dostęp do swoich systemów użytkownikom, którzy przestali z tobą współpracować
  • Udostępniając użytkownikom swoich systemów dostępy pamiętaj by nadać im jakiekolwiek ograniczenia, jak co najmniej hasło
  • Zadbaj by hasła dostępu miały co najmniej 7 znaków i zawierały litery i cyfry
  • Nie stosuj grupowych kont dostępu

9. Ogranicz fizyczny dostęp do danych:

  • Ogranicz fizyczny dostęp do urządzeń i danych które zawierają dane o płatnikach, w tym dane ich kart
  • Kontroluj gdzie i jak przechowywane i przetwarzane są dane w twojej firmie
  • Niszcz wszelkie niezbędne nośniki danych

12. Utrzymuj instrukcje dotyczące bezpieczeństwa informacji dla całego personelu:

  • Udostępnij wszystkich swoim pracownikom informacje jak należy postępować z danymi kartowymi płatników

Pamiętaj: jeśli w twojej firmie lub sklepie stosowane są płatności kartami, to wypełniając Kwestionariusz Samooceny SAQ-A, potwierdzasz że jestem świadomym uczestnikiem systemu płatności kartami oraz możesz udostępniać w swoim sklepie IdoSell płatności kartowe.