IT menedzsmentKiberbiztonságP betűs definíciók

PCI megfelelőség (PCI compliance): a fogalom jelentése és a követelmények definíciója

A PCI megfelelőség a bankkártya adatok biztonságos kezelésének kulcsa. Ha online értékesítesz vagy kártyás fizetést fogadsz el, a PCI DSS szabványok betartása kötelező. De mit is jelent ez pontosan, és milyen követelményeknek kell megfelelned? Cikkünk elmagyarázza a lényeget, hogy biztonságban tudd vállalkozásodat és ügyfeleidet.
itszotar
By itszotar
33 Min Read
Gyors betekintő

A PCI megfelelőség (PCI compliance) kulcsfontosságú a kártyabirtokos adatok védelmében. A PCI DSS (Payment Card Industry Data Security Standard) egy globális biztonsági szabvány, amelyet a legnagyobb hitelkártya társaságok (Visa, Mastercard, American Express, Discover, JCB) hoztak létre. Célja, hogy egységes követelményrendszert biztosítson a kártyás tranzakciók biztonságos lebonyolításához és a kártyabirtokos adatok védelméhez.

A PCI DSS követelményeinek betartása minden olyan szervezetre vonatkozik, amely kártyabirtokos adatokat kezel, tárol vagy továbbít. Ez magában foglalja a kereskedőket (üzleteket, webshopokat), a fizetési szolgáltatókat, a bankokat és minden más szervezetet, amely részt vesz a kártyás fizetési folyamatban. A megfelelőség biztosítása nem csupán egy egyszeri feladat, hanem egy folyamatos, rendszeres biztonsági tevékenység.

A PCI DSS nem egy törvény, hanem egy szerződéses kötelezettség, melyet a kereskedők a bankjukkal és a kártyatársaságokkal kötnek.

A PCI DSS követelményei 12 fő területre oszthatók, amelyek mindegyike a kártyabirtokos adatok védelmét szolgálja:

  1. Tűzfal konfiguráció fenntartása a kártyabirtokos adatok védelmére.
  2. Alapértelmezett rendszerjelszavak és egyéb biztonsági paraméterek lecserélése.
  3. A tárolt kártyabirtokos adatok védelme.
  4. A kártyabirtokos adatok titkosítása nyilvános hálózatokon történő továbbítás során.
  5. Vírusvédelmi szoftver használata és rendszeres frissítése.
  6. Biztonságos rendszerek és alkalmazások fejlesztése és karbantartása.
  7. A kártyabirtokos adatokhoz való hozzáférés korlátozása.
  8. Mindenki azonosítása és hitelesítése, aki hozzáfér a rendszerkomponensekhez.
  9. A kártyabirtokos adatokhoz való hozzáférés nyomon követése és naplózása.
  10. A biztonsági rendszerek és folyamatok rendszeres tesztelése.
  11. Információbiztonsági szabályzat fenntartása.
  12. A harmadik féltől származó szolgáltatók biztonságának kezelése.

A PCI megfelelés elmulasztása súlyos következményekkel járhat, beleértve a bírságokat, a kártyás fizetések elfogadásának felfüggesztését, valamint a vállalat hírnevének jelentős károsodását. A kártyabirtokos adatok védelme nem csak a jogszabályi előírásoknak való megfelelés miatt fontos, hanem az ügyfelek bizalmának megőrzése és a vállalat hosszú távú sikerének biztosítása szempontjából is elengedhetetlen.

A PCI DSS szabvány története és fejlődése

A PCI DSS (Payment Card Industry Data Security Standard) szabvány története szorosan összefonódik a hitelkártya-csalások elleni küzdelemmel. A 2000-es évek elején a kártyatársaságok – Visa, MasterCard, American Express, Discover és JCB – mindegyike saját, különálló biztonsági programot működtetett. Ez a széttagoltság azonban zavart okozott a kereskedők körében, akiknek nehéz volt megfelelni a különböző követelményeknek.

A probléma megoldására a kártyatársaságok 2004-ben összefogtak és létrehozták a PCI SSC (Payment Card Industry Security Standards Council) szervezetet. A PCI SSC feladata a PCI DSS szabvány kidolgozása, karbantartása és népszerűsítése lett. Az első verzió, a PCI DSS 1.0 2004 decemberében jelent meg, és a korábbi, különálló programok legjobb gyakorlatait egyesítette.

A PCI DSS szabvány célja, hogy biztosítsa a kártyabirtokosok adatainak védelmét a teljes fizetési ökoszisztémában, a kereskedőktől a szolgáltatókig. A szabvány 12 fő követelményt tartalmaz, amelyek több mint 200 alpontra bonthatók. Ezek a követelmények a hálózatbiztonságtól kezdve az adatok titkosításán át a hozzáférés-kezelésig terjednek.

A PCI DSS nem egy egyszeri megfelelés, hanem egy folyamatos, ciklikus folyamat.

A PCI DSS az évek során többször is frissítésre került, hogy lépést tartson a változó fenyegetésekkel és technológiákkal. A PCI DSS 3.0 2014-ben jelent meg, és a hangsúlyt a kockázatértékelésre és a biztonságos szoftverfejlesztésre helyezte. A PCI DSS 3.2 2016-ban került kiadásra, és további követelményeket vezetett be a szolgáltatók számára.

A legújabb verzió, a PCI DSS 4.0 2022 márciusában jelent meg, és jelentős változásokat hozott a szabványban. A 4.0-s verzió nagyobb hangsúlyt fektet a testreszabhatóságra, a rugalmasságra és a kockázatalapú megközelítésre. Célja, hogy a szervezetek hatékonyabban tudják kezelni a kártyabirtokosok adatainak biztonságát, miközben alkalmazkodnak a modern fizetési környezethez. A szervezeteknek 2025 márciusáig kell megfelelniük a PCI DSS 4.0 követelményeinek.

A PCI DSS tehát egy folyamatosan fejlődő szabvány, amely a hitelkártya-csalások elleni küzdelemben játszik kulcsfontosságú szerepet. A szabvány betartása nemcsak a kártyabirtokosok védelmét szolgálja, hanem a kereskedők és szolgáltatók hírnevét és üzleti stabilitását is.

A PCI SSC szerepe és felelőssége a szabványok kidolgozásában

A PCI Security Standards Council (PCI SSC) kulcsszerepet játszik a PCI DSS (Payment Card Industry Data Security Standard) és más kapcsolódó szabványok kidolgozásában és karbantartásában. Nem egy hatóság, amely büntetéseket szab ki a nem-megfelelésért; hanem egy globális fórum, amely különböző fizetési kártyatársaságok (Visa, Mastercard, American Express, Discover, JCB) által jött létre.

A PCI SSC elsődleges felelőssége a biztonsági szabványok létrehozása, kezelése, terjesztése és frissítése, amelyek célja a kártyabirtokosok adatainak védelme a fizetési tranzakciók során. A szervezet nem csak a PCI DSS-t felügyeli, hanem más szabványokat is, mint például a Payment Application Data Security Standard (PA-DSS), amely a fizetési alkalmazások biztonságára összpontosít.

A PCI SSC tehát nem a megfelelés ellenőrzéséért, hanem a szabványok kidolgozásáért és a tudatosság növeléséért felelős.

A szabványok fejlesztése egy folyamatos, iteratív folyamat, amely magában foglalja a biztonsági szakértők, kereskedők, fizetési szolgáltatók és más érdekelt felek visszajelzéseit. A PCI SSC figyelembe veszi az új fenyegetéseket, technológiákat és a piaci változásokat a szabványok naprakészen tartása érdekében. A szervezet rendszeresen frissíti a PCI DSS-t, hogy a legújabb biztonsági eljárásokat tükrözze.

Ezen felül, a PCI SSC képzéseket és tanúsításokat kínál a szervezeteknek és a biztonsági szakembereknek, hogy elősegítse a PCI szabványok mélyebb megértését és a megfelelő implementációt. A Qualified Security Assessor (QSA) és az Approved Scanning Vendor (ASV) tanúsítványok garantálják, hogy a szakemberek rendelkeznek a szükséges tudással és tapasztalattal a PCI megfelelőség értékeléséhez és a sebezhetőségi vizsgálatok elvégzéséhez.

A PCI DSS 12 fő követelményének részletes bemutatása

A PCI DSS 12 követelménye az adatok biztonságát garantálja.
A PCI DSS 12 fő követelménye a kártyaadatok biztonságát szolgálja, megakadályozva az adatlopás és csalás kockázatát.

A PCI DSS (Payment Card Industry Data Security Standard) 12 fő követelménye a hitelkártya adatok védelmének alapköveit képezik. Ezek a követelmények biztosítják, hogy a kereskedők és szolgáltatók, akik hitelkártya adatokat kezelnek, tárolnak vagy továbbítanak, szigorú biztonsági intézkedéseket alkalmazzanak.

A PCI DSS célja a kártyatulajdonosok adatainak védelme a csalásokkal és adatlopásokkal szemben. A megfelelőség elengedhetetlen a bizalom fenntartásához és a pénzügyi károk elkerüléséhez.

  1. 1. követelmény: Tűzfal telepítése és karbantartása a kártyatulajdonosok adatainak védelmére.

    A tűzfal egy védőfal a belső hálózat és a külső, nem megbízható hálózatok (például az internet) között. Megakadályozza a jogosulatlan hozzáférést a rendszerekhez, ahol a kártyatulajdonosok adatai tárolva vannak. A tűzfal szabályait rendszeresen felül kell vizsgálni és frissíteni kell, hogy hatékonyan védjenek a legújabb fenyegetések ellen.

    • A tűzfal konfigurációja legyen a lehető legszigorúbb, csak a szükséges portok legyenek nyitva.
    • A gyári alapértelmezett jelszavakat azonnal meg kell változtatni.
    • A tűzfal naplóit rendszeresen ellenőrizni kell a gyanús tevékenységek felderítése érdekében.

  2. 2. követelmény: Ne használja a szállítók által biztosított alapértelmezett rendszerjelszavakat és egyéb biztonsági paramétereket.

    A gyári alapértelmezett jelszavak közismertek, és könnyű célpontot jelentenek a hackerek számára. Minden rendszer és alkalmazás alapértelmezett jelszavát azonnal meg kell változtatni egy erős, egyedi jelszóra. Emellett a biztonsági beállításokat is optimalizálni kell a maximális védelem érdekében.

    • A jelszavak legyenek komplexek (legalább 12 karakter, kis- és nagybetűk, számok és speciális karakterek).
    • A jelszavakat rendszeresen cserélni kell.
    • A szükségtelen szolgáltatásokat és portokat le kell tiltani.

  3. 3. követelmény: Védje a tárolt kártyatulajdonosok adatait.

    A kártyatulajdonosok adatainak védelme érdekében titkosítási módszereket kell alkalmazni. A tárolt adatokat titkosítani kell, hogy még ha illetéktelen személy is hozzáférne, ne tudja elolvasni azokat. Emellett a kártyaadatok tárolásának szükségességét is minimalizálni kell, csak a feltétlenül szükséges adatokat szabad tárolni, és azokat is a lehető legrövidebb ideig.

    • A titkosításhoz erős algoritmusokat kell használni (pl. AES-256).
    • A titkosítási kulcsokat biztonságosan kell kezelni.
    • A kártyatulajdonosok adatainak tárolására vonatkozó szabályzatot kell kidolgozni.

  4. 4. követelmény: Titkosítsa a kártyatulajdonosok adatainak továbbítását a nyilvános, nyílt hálózatokon keresztül.

    Amikor a kártyatulajdonosok adatai a hálózaton keresztül kerülnek továbbításra, például a weboldal és a fizetési processzor között, az adatokat titkosítani kell. Ez megakadályozza, hogy az adatok lehallgatásra kerüljenek és illetéktelenek hozzáférjenek azokhoz. A titkosításhoz biztonságos protokollokat, például TLS (Transport Layer Security) vagy SSL (Secure Sockets Layer) kell használni.

    • Az SSL/TLS tanúsítványok legyenek érvényesek és helyesen konfigurálva.
    • A titkosításhoz erős titkosítási algoritmusokat kell használni.
    • A nem biztonságos protokollokat (pl. SSLv3) le kell tiltani.

  5. 5. követelmény: Használjon és rendszeresen frissítsen vírusirtó szoftvert.

    A vírusirtó szoftver védi a rendszereket a rosszindulatú programoktól, amelyek ellophatják a kártyatulajdonosok adatait. A vírusirtó szoftvert minden rendszeren telepíteni kell, és rendszeresen frissíteni kell a legújabb vírusdefiníciókkal. A vírusirtó szoftvernek képesnek kell lennie a valós idejű védelemre és a rendszeres vizsgálatokra.

    • A vírusirtó szoftver automatikus frissítése legyen bekapcsolva.
    • A rendszereket rendszeresen át kell vizsgálni a vírusirtó szoftverrel.
    • A vírusirtó szoftver naplóit rendszeresen ellenőrizni kell.

  6. 6. követelmény: Fejlesszen ki és tartson karban biztonságos rendszereket és alkalmazásokat.

    A szoftverek és alkalmazások sebezhetőségeit ki kell javítani, hogy a hackerek ne tudják kihasználni azokat a kártyatulajdonosok adatainak ellopására. A szoftvereket és alkalmazásokat rendszeresen frissíteni kell a legújabb biztonsági javításokkal. Emellett a biztonságos kódolási gyakorlatokat is alkalmazni kell a szoftverfejlesztés során.

    • A szoftvereket és alkalmazásokat rendszeresen frissíteni kell a legújabb biztonsági javításokkal.
    • A sebezhetőségi vizsgálatokat rendszeresen el kell végezni.
    • A biztonságos kódolási gyakorlatokat alkalmazni kell a szoftverfejlesztés során.

  7. 7. követelmény: Korlátozza a hozzáférést a kártyatulajdonosok adataihoz üzleti alapon.

    Csak azok a személyek férhetnek hozzá a kártyatulajdonosok adataihoz, akiknek erre szükségük van a munkájuk elvégzéséhez. A hozzáférést a legszigorúbb elvek szerint kell korlátozni (pl. „szükségesség elve”). A hozzáférési jogosultságokat rendszeresen felül kell vizsgálni és frissíteni kell.

    • A felhasználói fiókokat a legkisebb szükséges jogosultságokkal kell létrehozni.
    • A felhasználói fiókokat rendszeresen felül kell vizsgálni.
    • A hozzáférési naplókat rendszeresen ellenőrizni kell.

  8. 8. követelmény: Rendeljen egyedi azonosítót minden személyhez, aki hozzáfér a számítógéphez.

    Minden felhasználónak egyedi azonosítóval kell rendelkeznie, hogy a tevékenységeik nyomon követhetőek legyenek. Ez lehetővé teszi a felelősségre vonást és a biztonsági incidensek kivizsgálását. Az alapértelmezett felhasználói fiókokat le kell tiltani.

    • Az egyedi azonosítókat biztonságosan kell kezelni.
    • A felhasználói fiókokat rendszeresen ellenőrizni kell.
    • A hozzáférési naplókat rendszeresen ellenőrizni kell.

  9. 9. követelmény: Korlátozza a fizikai hozzáférést a kártyatulajdonosok adataihoz.

    A fizikai hozzáférést a kártyatulajdonosok adatainak tárolására szolgáló helyiségekhez korlátozni kell. Ez megakadályozza, hogy illetéktelen személyek fizikai hozzáférést szerezzenek az adatokhoz. A fizikai hozzáférés ellenőrzéséhez biztonsági intézkedéseket kell alkalmazni, például beléptető rendszereket, biztonsági kamerákat és őröket.

    • A beléptető rendszereket biztonságosan kell kezelni.
    • A biztonsági kamerákat rendszeresen ellenőrizni kell.
    • A látogatók belépését regisztrálni kell.

  10. 10. követelmény: Kövesse nyomon és figyelje az összes hálózati erőforráshoz és a kártyatulajdonosok adataihoz való hozzáférést.

    Minden hálózati erőforráshoz és a kártyatulajdonosok adataihoz való hozzáférést naplózni kell. Ez lehetővé teszi a gyanús tevékenységek felderítését és a biztonsági incidensek kivizsgálását. A naplókat rendszeresen ellenőrizni kell.

    • A naplókat biztonságosan kell tárolni.
    • A naplókat rendszeresen elemezni kell.
    • A gyanús tevékenységeket azonnal ki kell vizsgálni.

  11. 11. követelmény: Rendszeresen tesztelje a biztonsági rendszereket és folyamatokat.

    A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell, hogy megbizonyosodjunk arról, hogy hatékonyan védik a kártyatulajdonosok adatait. A teszteléshez sebezhetőségi vizsgálatokat és behatolástesztelést kell alkalmazni. A tesztek eredményeit ki kell értékelni, és a szükséges javításokat el kell végezni.

    A biztonsági tesztelés elengedhetetlen a PCI DSS megfelelőség fenntartásához.

    • A sebezhetőségi vizsgálatokat rendszeresen el kell végezni.
    • A behatolástesztelést rendszeresen el kell végezni.
    • A tesztek eredményeit ki kell értékelni és a szükséges javításokat el kell végezni.

  12. 12. követelmény: Tartson fenn egy információbiztonsági irányelvet az összes személyzet számára.

    Minden alkalmazott számára ki kell dolgozni és karban kell tartani egy átfogó információbiztonsági irányelvet. Az irányelvnek tartalmaznia kell a biztonsági eljárásokat, a felelősségi köröket és a szankciókat a szabályok megszegése esetén. Az alkalmazottakat rendszeresen oktatni kell a biztonsági irányelvekről és eljárásokról.

    • Az információbiztonsági irányelvet minden alkalmazottnak meg kell értenie és be kell tartania.
    • Az alkalmazottakat rendszeresen oktatni kell a biztonsági irányelvekről és eljárásokról.
    • Az információbiztonsági irányelvet rendszeresen felül kell vizsgálni és frissíteni kell.

A fenti 12 követelmény teljesítése komplex feladat, de elengedhetetlen a kártyatulajdonosok adatainak védelméhez és a PCI DSS megfelelőség eléréséhez és fenntartásához. A szervezeteknek rendszeresen felül kell vizsgálniuk és frissíteniük biztonsági intézkedéseiket, hogy lépést tartsanak a legújabb fenyegetésekkel.

A PCI DSS hatálya: kikre vonatkozik a megfelelés

A PCI DSS (Payment Card Industry Data Security Standard) megfelelés alapvető követelmény minden olyan szervezet számára, amely bankkártya adatokat kezel, tárol vagy továbbít. Ez magában foglalja a kereskedőket, szolgáltatókat és minden más entitást, amely részt vesz a kártyás fizetési folyamatban.

A megfelelés hatálya függ a tranzakciók volumenétől és a kezelés módjától. A kártyatársaságok (Visa, Mastercard, American Express, Discover, JCB) különböző szintekre osztják a kereskedőket a feldolgozott tranzakciók száma alapján. Minél magasabb a tranzakciószám, annál szigorúbbak a megfelelési követelmények.

A kereskedők mellett a szolgáltatók is a PCI DSS hatálya alá tartoznak. Ide tartoznak azok a cégek, amelyek a kereskedők nevében kezelnek kártyaadatokat, például fizetési átjárók, adatfeldolgozók, és felhőalapú szolgáltatók.

A PCI DSS célja, hogy védje a kártyatulajdonosok érzékeny adatait és csökkentse a kártyacsalások kockázatát.

A megfelelési követelmények nem csupán a nagyvállalatokra vonatkoznak. Még a legkisebb online boltnak is meg kell felelnie bizonyos előírásoknak, bár ezek kevésbé szigorúak lehetnek.

A megfelelés elmulasztása súlyos következményekkel járhat, beleértve a bírságokat, a kártyatársaságok általi korlátozásokat és a hírnév romlását. A megfelelés folyamatos felügyeletet és rendszeres értékelést igényel annak érdekében, hogy a biztonsági intézkedések hatékonyak maradjanak a változó fenyegetésekkel szemben.

Példák a PCI DSS hatálya alá tartozó szervezetekre:

  • Online kiskereskedők
  • Éttermek (akár online rendelés, akár helyszíni fizetés esetén)
  • Szállodák
  • Légi társaságok
  • Bármely vállalkozás, amely bankkártyás fizetést fogad el

A pontos megfelelési követelmények a szervezet méretétől és a feldolgozott tranzakciók számától függően változnak, de a cél mindig ugyanaz: a kártyatulajdonosok adatainak védelme.

A kereskedői szintek (Merchant Levels) és a megfelelési követelmények

A PCI DSS megfelelőség mértéke jelentősen függ a kereskedői szinttől (Merchant Level), amelyet a kártyatársaságok (Visa, Mastercard, American Express, Discover, JCB) határoznak meg. A szintek elsősorban az éves tranzakciók számán alapulnak.

A kereskedői szintek meghatározzák, hogy milyen mélységű megfelelési követelményeknek kell eleget tenniük a kereskedőknek. Minél magasabb a szint, annál szigorúbbak az elvárások.

A magasabb szintekhez általában külső, minősített biztonsági auditor (QSA) által végzett éves audit szükséges, míg az alacsonyabb szintek esetében elegendő lehet egy egyszerűbb, önértékelési kérdőív (SAQ) kitöltése.

A kereskedői szintek általános felosztása a következő (a pontos számok kártyatársaságonként eltérhetnek):

  • 1. szint: Évente több mint 6 millió Visa vagy Mastercard tranzakció, vagy ha a kártyatársaság így határoz.
  • 2. szint: Évente 1 millió és 6 millió közötti Visa vagy Mastercard tranzakció.
  • 3. szint: Évente 20 000 és 1 millió közötti e-kereskedelmi Visa vagy Mastercard tranzakció.
  • 4. szint: Évente kevesebb mint 20 000 e-kereskedelmi Visa vagy Mastercard tranzakció, vagy legfeljebb 1 millió tranzakció bármilyen csatornán.

A megfelelési követelmények szintén függnek a tranzakciók módjától. Például egy fizikai üzletben történő tranzakciók eltérő követelményeket támaszthatnak, mint egy online webshopban történő fizetések.

A megfelelési folyamat tipikusan a következő lépésekből áll:

  1. A kereskedő meghatározza a saját kereskedői szintjét.
  2. A kereskedő kiválasztja a megfelelő önértékelési kérdőívet (SAQ), amennyiben jogosult rá.
  3. A kereskedő kitölti az SAQ-t, vagy külső auditort (QSA) kér fel az audit elvégzésére.
  4. A kereskedő kijavítja a feltárt hiányosságokat és megfelelési jelentést készít.
  5. A kereskedő elküldi a megfelelési jelentést a bankjának (Acquirer Bank).

A nem megfelelés komoly következményekkel járhat, beleértve a bírságokat, a tranzakciós díjak emelését, vagy akár a kártyaelfogadási jogosultság elvesztését.

A szolgáltatók (Service Providers) PCI DSS megfelelési követelményei

A szolgáltatók, akik kártyatulajdonosi adatokat tárolnak, dolgoznak fel vagy továbbítanak a kereskedők nevében, különösen szigorú PCI DSS megfelelési követelményeknek kell eleget tenniük. Ez azért van, mert ők jelentik a legnagyobb kockázatot a kártyaadatok biztonságára nézve, hiszen egyszerre több kereskedő adatát kezelik.

A szolgáltatók számára a PCI DSS megfelelés nem csupán egy kötelezettség, hanem üzleti kritérium is. A kereskedők ugyanis csak olyan szolgáltatókkal hajlandóak együttműködni, akik bizonyítottan megfelelnek a PCI DSS előírásainak.

A szolgáltatóknak évente legalább egyszer, egy minősített biztonsági auditor (QSA) által elvégzett auditon kell átesniük, hogy igazolják a megfelelőségüket.

A szolgáltatók PCI DSS megfelelési követelményei a következők:

  • Erős jelszavak és egyéb hitelesítési módszerek alkalmazása a rendszerekhez való hozzáféréshez.
  • A kártyatulajdonosi adatok titkosítása tárolás és továbbítás során.
  • Rendszeres biztonsági tesztek és sebezhetőségi vizsgálatok elvégzése.
  • Biztonsági incidensek gyors és hatékony kezelése.
  • Hozzáférés-szabályozás a kártyatulajdonosi adatokhoz.

A szolgáltatóknak dokumentált eljárásokkal kell rendelkezniük a PCI DSS követelményeknek való megfelelés biztosítására. Ezek az eljárások magukban foglalják a kockázatértékelést, a biztonsági szabályzatokat és a rendszeres képzéseket a munkatársak számára.

A PCI DSS megfelelés nem egy egyszeri dolog, hanem folyamatos erőfeszítés. A szolgáltatóknak folyamatosan monitorozniuk és fejleszteniük kell a biztonsági intézkedéseiket, hogy lépést tartsanak a változó fenyegetésekkel és technológiákkal.

Az önértékelési kérdőívek (SAQ-k) típusai és alkalmazásuk

Az SAQ-k segítik a vállalatokat a PCI megfelelőség önellenőrzésében.
Az önértékelési kérdőívek segítik a vállalatokat a PCI szabványoknak való megfelelés önellenőrzésében és fejlesztésében.

A PCI DSS (Payment Card Industry Data Security Standard) megfelelés egyik kulcsfontosságú eleme az önértékelési kérdőívek (SAQ-k) használata. Ezek a kérdőívek segítenek a kereskedőknek és szolgáltatóknak felmérni, hogy mennyire felelnek meg a PCI DSS követelményeinek. A megfelelő SAQ kiválasztása kritikus fontosságú a helyes megfelelőség eléréséhez.

Több különböző típusú SAQ létezik, amelyek a szervezet kártyaadat-kezelési módjától függenek. A leggyakoribb SAQ típusok a következők:

  • SAQ A: Azok a kereskedők használják, akik teljesen kiszervezik a kártyaadatok kezelését harmadik félnek, és nem tárolnak, dolgoznak fel vagy továbbítanak kártyaadatokat a saját rendszereiken. Ez általában azokra a webshopokra vonatkozik, amelyek a fizetést egy külső fizetési oldalon keresztül bonyolítják le (pl. redirect).
  • SAQ A-EP: Azok a webshopok használják, amelyek a fizetési folyamat egy részét a saját weboldalukon kezelik, de a kártyaadatokat közvetlenül a fizetési szolgáltatónak továbbítják (pl. iframe használatával). Szigorúbb követelményeket támaszt, mint az SAQ A.
  • SAQ B: Azok a kereskedők használják, akik csak bevésett kártyákat fogadnak el önálló, fizikai POS terminálokon keresztül, amelyek nem kapcsolódnak más rendszerekhez.
  • SAQ B-IP: Azok a kereskedők használják, akik csak IP-alapú, jóváhagyott POS terminálokat használnak, amelyek nem kapcsolódnak más rendszerekhez.
  • SAQ C: Azok a kereskedők használják, akik önálló fizikai POS terminálokat használnak, de a terminál valamilyen módon kapcsolódik más rendszerekhez (pl. egy hálózaton keresztül).
  • SAQ C-VT: Azok a kereskedők használják, akik virtuális terminált használnak a kártyaadatok manuális bevitelére egy számítógépen keresztül.
  • SAQ P2PE: Azok a kereskedők használják, akik validált P2PE (Point-to-Point Encryption) megoldást alkalmaznak. Ez a megoldás titkosítja a kártyaadatokat a POS terminálnál, és csak a fizetési szolgáltató tudja visszafejteni.
  • SAQ D: Ezt a kérdőívet használják a legnagyobb és legkomplexebb szervezetek, valamint azok a kereskedők, akik nem felelnek meg a többi SAQ kritériumainak.

A helyes SAQ kiválasztásához a szervezetnek alaposan fel kell mérnie a kártyaadat-kezelési folyamatait. A helytelen SAQ használata a megfelelőségi folyamat érvénytelenségéhez vezethet.

A szervezetnek gondosan át kell tekintenie a PCI DSS követelményeit és a különböző SAQ típusok leírásait, hogy a legmegfelelőbbet válassza ki.

A SAQ kitöltésekor a szervezetnek őszintén és pontosan kell válaszolnia a kérdésekre. Amennyiben egy kérdésre nemleges a válasz, a szervezetnek intézkedéseket kell hoznia a megfelelőség eléréséhez.

A SAQ kitöltése és a megfelelőség igazolása után a szervezetnek rendszeresen felül kell vizsgálnia a kártyaadat-kezelési folyamatait és a SAQ-t, hogy biztosítsa a folyamatos megfelelést. A PCI DSS követelmények időről időre változhatnak, ezért fontos, hogy a szervezet naprakész legyen a legújabb előírásokkal.

A minősített biztonsági értékelő (QSA) szerepe és a helyszíni auditok

A minősített biztonsági értékelő (QSA) kulcsszerepet játszik a PCI DSS megfelelőség elérésében és fenntartásában. A QSA egy olyan szervezet, amelyet a PCI SSC (Payment Card Industry Security Standards Council) minősített arra, hogy helyszíni biztonsági értékeléseket végezzen a kártyaadatokat kezelő szervezeteknél.

A QSA fő feladata az, hogy független értékelést végezzen a szervezet biztonsági infrastruktúrájáról, folyamatairól és eljárásairól a PCI DSS követelményeinek való megfelelés szempontjából. Ez magában foglalja a hálózatok, rendszerek, alkalmazások és adatok védelmének felülvizsgálatát, valamint a biztonsági szabályzatok és eljárások hatékonyságának ellenőrzését.

A QSA a helyszíni audit során megvizsgálja, hogy a szervezet megfelel-e a PCI DSS összes követelményének, és azonosítja a hiányosságokat.

A helyszíni auditok általában a következő lépésekből állnak:

  • Dokumentáció áttekintése: A QSA áttekinti a szervezet biztonsági szabályzatait, eljárásait, hálózati diagramjait és egyéb releváns dokumentumait.
  • Interjúk: A QSA interjúkat készít a szervezet különböző munkatársaival, akik a kártyaadatok kezelésében részt vesznek, hogy megértsék a biztonsági folyamatokat és eljárásokat.
  • Technikai tesztelés: A QSA technikai teszteket végez, például sebezhetőségi vizsgálatokat és behatolási teszteket, hogy azonosítsa a rendszerekben lévő biztonsági réseket.
  • Megfelelőségi ellenőrzés: A QSA ellenőrzi, hogy a szervezet megfelel-e a PCI DSS követelményeinek, és azonosítja a hiányosságokat.

Az audit végén a QSA részletes jelentést készít, amely tartalmazza az audit eredményeit, a feltárt hiányosságokat és a javaslatokat a megfelelőség elérésére. A QSA emellett segít a szervezetnek a helyreigazítási terv kidolgozásában és a hiányosságok megszüntetésében.

A QSA által kiadott megfelelőségi igazolás (Report on Compliance – ROC) bizonyítja, hogy a szervezet megfelel a PCI DSS követelményeinek. Ez az igazolás szükséges a kártyatársaságok számára a PCI DSS megfelelőség igazolásához.

Fontos megjegyezni, hogy a QSA nem tanácsadó. Feladata az, hogy független értékelést végezzen, és ne az, hogy a szervezetnek segítsen a megfelelőség elérésében. Azonban a QSA segítséget nyújthat a szervezetnek a hiányosságok megszüntetésében és a helyreigazítási terv kidolgozásában.

A QSA kiválasztásakor fontos figyelembe venni a QSA tapasztalatát, szakértelmét és jó hírnevét. A PCI SSC honlapján megtalálható a minősített QSA-k listája.

A sérülékenységvizsgálat és a behatolástesztelés (penetration testing) követelményei

A PCI DSS (Payment Card Industry Data Security Standard) megfelelőség elengedhetetlen része a rendszeres sérülékenységvizsgálat és behatolástesztelés (penetration testing). Ezek a tevékenységek célja, hogy azonosítsák és kihasználják a rendszerekben található biztonsági réseket, mielőtt a rosszindulatú szereplők megtehetnék azt.

A sérülékenységvizsgálat egy automatizált folyamat, amely a rendszereket ismert sebezhetőségek után kutatja. Ez a folyamat általában szoftveres eszközökkel történik, és a vizsgálat eredménye egy lista a potenciális kockázatokról. A sérülékenységvizsgálatokat legalább negyedévente el kell végezni, valamint minden jelentős rendszerfrissítés vagy változtatás után.

A behatolástesztelés (penetration testing) egy szimulált támadás, amelyet etikus hackerek hajtanak végre, hogy valós körülmények között próbálják feltörni a rendszereket.

A behatolástesztelés sokkal átfogóbb, mint a sérülékenységvizsgálat, mivel manuális erőfeszítéseket is igényel. A tesztelők a rendelkezésre álló információkat felhasználva (nyílt forrású intelligencia, nyilvános adatok, stb.) próbálnak bejutni a rendszerbe, kihasználva a talált sérülékenységeket. A behatolástesztelés célja, hogy felmérje a rendszerek valódi biztonsági szintjét, és azonosítsa azokat a területeket, ahol javításra van szükség. A behatolástesztelést évente legalább egyszer el kell végezni.

Mindkét folyamat során azonosított sérülékenységeket haladéktalanul javítani kell. A javítások után a rendszereket újra kell vizsgálni, hogy megbizonyosodjunk a probléma megoldásáról. A vizsgálatok és tesztek eredményeit dokumentálni kell, és a dokumentációt meg kell őrizni a PCI DSS auditokhoz.

A PCI DSS előírja, hogy a sérülékenységvizsgálatokat és a behatolásteszteléseket képzett szakemberek végezzék, akik rendelkeznek a szükséges tudással és tapasztalattal. A tesztelés során használt eszközöknek és módszereknek naprakésznek kell lenniük, hogy hatékonyan tudják azonosítani a legújabb fenyegetéseket.

Az adatok titkosításának fontossága és a megfelelő titkosítási módszerek

A PCI DSS (Payment Card Industry Data Security Standard) megfelelőség egyik legkritikusabb eleme az adatok titkosítása. A kártyabirtokos adatainak védelme érdekében a titkosítás nem csupán ajánlott, hanem kötelező követelmény.

A titkosítás célja, hogy az adatokat olvashatatlanná tegye illetéktelenek számára. Ez különösen fontos a kártyaszámok, lejárati dátumok és a CVV/CVC kódok esetében, mind tároláskor, mind pedig a hálózaton történő átvitel során.

A titkosítás az egyetlen módja annak, hogy megvédjük az adatokat abban az esetben is, ha a rendszerünk valamilyen módon kompromittálódik.

A PCI DSS több különböző titkosítási módszert is elfogad, de a legfontosabb a megfelelő algoritmus kiválasztása és a kulcsok biztonságos kezelése. A gyenge vagy elavult titkosítási módszerek nem nyújtanak elegendő védelmet a modern támadásokkal szemben.

Néhány elfogadott titkosítási módszer:

  • Szimmetrikus titkosítás: AES (Advanced Encryption Standard)
  • Aszimmetrikus titkosítás: RSA (Rivest-Shamir-Adleman), ECC (Elliptic-curve cryptography)
  • Hash algoritmusok: SHA-256, SHA-3 (a jelszavak tárolására)

A titkosításon kívül a PCI DSS előírja a tokenizáció alkalmazását is, amely egy olyan technológia, amely a kártyaszámokat egyedi, visszafordíthatatlan tokenekkel helyettesíti. Ezáltal a valódi kártyaszámok sosem kerülnek tárolásra a rendszerben, jelentősen csökkentve a biztonsági kockázatot.

A titkosítási kulcsok kezelése kiemelt figyelmet igényel. A kulcsokat biztonságos helyen kell tárolni, és a hozzáférést szigorúan korlátozni kell. A kulcsokat rendszeresen cserélni kell, és a régi kulcsokat biztonságosan meg kell semmisíteni.

A PCI DSS megfelelőség eléréséhez a titkosítási stratégia kidolgozása és implementálása kritikus fontosságú. A megfelelő titkosítási módszerek alkalmazása nem csak a kártyabirtokosok adatainak védelmét szolgálja, hanem a vállalkozás hírnevét és a pénzügyi stabilitását is biztosítja.

A naplózás és a monitorozás szerepe a megfelelőség fenntartásában

A naplózás segít az adatvédelmi szabályok betartásában.
A naplózás és monitorozás segít azonosítani a biztonsági eseményeket, így megelőzve a PCI szabályszegéseket.

A PCI DSS megfelelőség fenntartásában a naplózás és monitorozás kulcsszerepet játszik. Ezek a folyamatok biztosítják a tranzakciós adatokkal kapcsolatos biztonsági események nyomon követését és elemzését, ami elengedhetetlen a potenciális biztonsági rések azonosításához és a gyors reagáláshoz.

A megfelelő naplózás magában foglalja a rendszernaplók, alkalmazásnaplók és adatbázisnaplók rendszeres gyűjtését és elemzését. Ezek a naplók értékes információkat szolgáltatnak a felhasználói tevékenységekről, a rendszer konfigurációs változásairól és a biztonsági incidensekről. A naplóknak tartalmazniuk kell legalább a felhasználói azonosítót, a dátumot és időpontot, az esemény típusát és a kapcsolódó adatokat.

A monitorozás pedig a valós idejű események figyelését jelenti, hogy a biztonsági incidensek azonnal észlelhetőek legyenek. Ez magában foglalhatja a hálózati forgalom elemzését, a behatolásérzékelő rendszerek (IDS) riasztásainak figyelését és a rendszer erőforrásainak használatának monitorozását.

A naplózási és monitorozási adatoknak védetteknek kell lenniük a jogosulatlan hozzáférés és módosítás ellen.

A PCI DSS 10. követelménye részletesen foglalkozik a naplózással és a monitorozással. Előírja, hogy minden hozzáférés a kártyabirtokos adatokhoz naplózva legyen, és hogy ezek a naplók legalább egy évig megőrzésre kerüljenek, és rendszeresen felülvizsgálatra kerüljenek.

A hatékony naplózás és monitorozás elengedhetetlen a PCI DSS megfelelőséghez. Segít azonosítani a biztonsági réseket, megakadályozni a csalást és bizonyítani a megfelelőséget az auditok során. A rendszeres felülvizsgálat és a naplók elemzése biztosítja, hogy a biztonsági intézkedések hatékonyak és naprakészek legyenek. A naplók elemzése során különös figyelmet kell fordítani a következőkre:

  • Sikertelen bejelentkezési kísérletek
  • Jogosulatlan hozzáférési kísérletek
  • Rendszer konfigurációs változásai
  • Vírusfertőzések
  • Adatszivárgási kísérletek

A nem megfelelés kockázatai és a lehetséges szankciók

A PCI DSS szabványnak való meg nem felelés súlyos következményekkel járhat a vállalkozások számára. Ezek a következmények nem csupán pénzügyi jellegűek, hanem a hírnévre és az ügyfélbizalomra is negatív hatással lehetnek.

A legsúlyosabb kockázat a szankciók kivetése a bankkártya társaságok (Visa, Mastercard, American Express, stb.) által. Ezek a szankciók a tranzakciós díjak emelésétől kezdve a kártyaelfogadás felfüggesztéséig terjedhetnek. A díjemelés jelentős mértékű lehet, ami jelentősen csökkentheti a nyereségességet.

A kártyaelfogadás felfüggesztése katasztrofális lehet egy olyan vállalkozás számára, amely nagymértékben függ a bankkártyás fizetésektől. Ez lényegében lehetetlenné teheti a működést, különösen az online kereskedelemben.

A nem megfelelő adatvédelem miatt bekövetkező adatvédelmi incidensek, mint például egy adatszivárgás, jogi következményeket vonhatnak maguk után.

Az adatvédelmi törvények (pl. GDPR) megsértése miatt bírságok szabhatók ki, melyek összege a vállalkozás éves forgalmának jelentős százaléka is lehet. Ezen felül, a vállalkozásnak kártérítést kell fizetnie az érintett ügyfeleknek, ami tovább növeli a költségeket.

A hírnév romlása talán a legnehezebben helyrehozható következmény. Egy adatszivárgás komoly bizalomvesztést okozhat az ügyfelek körében, akik kevésbé valószínű, hogy a jövőben is igénybe veszik a vállalkozás szolgáltatásait. A negatív sajtóvisszhang tovább rontja a helyzetet.

Végül, a PCI DSS megfelelés hiánya megnehezítheti a biztosítási szerződések megkötését, vagy magasabb díjakat eredményezhet. A biztosítótársaságok kockázatosabbnak ítélhetik meg azokat a vállalkozásokat, amelyek nem felelnek meg a biztonsági előírásoknak.

TAGGED:
Share This Article
Leave a comment

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük