• Претрага за:

    Security Standards Council

    Standard za sigurnost podataka na platnim karticama (PCI DSS) je skup sigurnosnih standarda koje su 2004. godine formirali Visa, MasterCard, Discover Financial Services, JCB International i American Express. Šema usklađenosti koja je regulisano od strane Security Standards Council (PCI SSC), ima za cilj osigurati transakcije kreditnim i debitnim karticama od krađe podataka i prevara.

    PCI DSS nivo usklađenosti

    Usklađenost sa PCI-DSS podjeljena je u 4. nivoa, na osnovu godišnjeg broja transakcija kreditnim ili debitnim karticama koje poslovni procesi obavljaju. Nivo klasifikacije određuje šta organizacija treba da uradi da bi ostvarila usklađenost.

    Nivo 1: Odnosi se na trgovce koji godišnje obrađuju više od šest miliona transakcija sa kreditnim ili debitnim karticama. Sprovode ih ovlašćeni revizori PCI-DSS-a i oni moraju proći interni audit jednom godišnje. Pored toga, jednom kvartalno moraju se podvrgnuti PCI skeniranju od strane odobrenog dobavljača za skeniranje (ASV);

    Nivo 2: Primjenjuje se na trgovce koji obrađuju između jednog i šest miliona transakcija kreditnim ili debitnim karticama godišnje. Od njih se zahtjeva da sprovode procjenu jednom godišnje korišćenjem Upitnika za samoprocenu (SAQ). Pored toga, može biti potrebno i kvartalno PCI-DSS skeniranje od strane odobrenog dobavljača za skeniranje (ASV);

    Nivo 3: Odnosi se na trgovce koji obrađuju između 20.000 i milion transakcija godišnje. Oni moraju da urade godišnju procjenu koristeći relevantni SAK. Takođe će biti potrebno tromesečno skeniranje PCI-DSS-a;

    Nivo 4: Primjenjuje se na trgovce koji obrađuju manje od 20.000 transakcija e-trgovine godišnje ili na one koji obrađuju do milion transakcija. Godišnja procjena pomoću odgovarajućeg SAQ-a mora se izvršiti i možda će biti potrebno tromjesečno skeniranje PCI-DSS-a od strane odobrenog dobavljača za skeniranje (ASV).

    PCI DSS zahtjevi

    PCI SSC je izneo 12 zahtjeva za rukovanje podacima vlasnika kartica i održavanje bezbjedne mreže. Podeljeni između šest širih ciljeva, svi su neophodni da bi organizacija postala usaglašena.

    Bezbjedna mreža
    1. Konfiguracija zaštitnog zida mora biti instalirana i održavana; 
    2. Sistemske lozinke moraju biti originalne (ne isporučuju se od dobavljača);

    Bezbjedni podaci vlasnika kartica 
    3. Sačuvani podaci vlasnika kartica moraju biti zaštićeni; 
    4. Prenos podataka vlasnika kartice preko javnih mreža moraja biti kriptovan; 

    Upravljanje ranjivošću
    5. Antivirusni softver se mora koristiti i redovno ažurirati; 
    6. Bezbednost  sistemia i aplikacija mora se razvijati i održavati; 

    Kontrola pristupa
    7. Pristup podacima vlasnika kartice mora biti ograničen na osnovu poslovnih potreba; 
    8. Svakoj osobi sa pristupom računaru mora se dodjeliti jedinstveni ID; 
    9. Fizički pristup podacima vlasnika kartice mora biti ograničen; 

    Nadgledanje i testiranje mreže
    10. Pristup podacima vlasnika kartice i mrežnim resursima mora se pratiti i nadgledati ;
    11. Bezbednost sistema i procesa mora se redovno testirati; 

    Bezbednost informacija 
    12. Mora se održavati politika bezbjednosti informacija.