Maksekaartide turvastandardite nõukogu (edaspidi PCI SSC) on asutatud suurimate rahvusvaheliste kaardiorganisatsioonide Visa, MC, Amex, Diners, Discovery ja JCB poolt. PCI SSC on välja töötanud maksekaartide andmeturbestandardite nõuded ja standardid (edaspidi PCI DSS), määratlemaks ja reguleerimaks kaardiandmeturbe põhimõtteid ja -poliitikat. PCI DSS juhiseid peavad rakendama kõik ettevõtted, kes säilitavad, töötlevad või edastavad kaardiomanike andmeid (sh pangad, kaupmehed ja maksete töötlejad). Reeglid sätestavad tehnilisi ja rakenduslikke nõudeid organisatsioonidele, kes võtavad vastu või töötlevad maksetehinguid.
Nõuete ja standardite uusim versioon on saadaval siin.
Kõik kaupmehed, kes säilitavad, töötlevad või edastavad kaardiomanike andmeid, peavad järgima maksekaartide andmeturbestandardit.
Kaardi- ja tundlike autentimisandmete komponendid
|
Andmete komponendid |
Säilitamine lubatud |
Salvestatud andmete muutmine loetamatuks |
|
Täispikk kaardinumber (PAN) |
Jah |
Jah |
|
Kaardivaldaja nimi |
Jah |
Ei |
|
Teenuse kood |
Jah |
Ei |
|
Kehtivusaeg |
Jah |
Ei |
|
Tehingu teostamisel saadud kaardiandmed |
Ei |
Keelatud |
|
CVV2/CVC2 |
Ei |
Keelatud |
|
PIN/PIN-plokk |
Ei |
Keelatud |
Kuidas saate olla kindel, et järgite maksekaardi andmeturbestandardi nõudeid?
Pank annab kaupmeestele kord aastas teada, milliseid tegevusi peab tegema, et vastata maksekaardi andmeturbestandardi nõuetele. Nõuded on toodud järgnevas tabelis. Kaupmehed jagatakse nelja kategooriasse vastavalt ühe kaarditüübi alusel (nt MC, Visa, Amex jne) tehtud kaarditehingute arvule ühel kalendriaastal.
1.–3. taseme kaupmehed peavad esitama PCI DSS nõuetele vastavuse aruanded otse oma kaardimaksete töötleja pangale. 4. taseme kaupmehed peavad täitma enesehindamisküsimustiku.
Kaupmehe tase |
Kaupmeeste tehingute kriteeriumid |
Kaupmeeste kohustuslikud tegevused |
Tegevuste sagedus |
1. tase |
Kaupmehed, kes aktsepteerivad aastas üle 6 miljoni MasterCardi või Visa tehingu |
Väline turvaaudit, mille teeb sertifitseeritud audiitor (Qualified Security Assessor – QSA) |
kord aastas |
Võrgukontroll, mille teeb sertifitseeritud andmekaitseettevõte (Approved Scanning Vendor – ASV) või sertifitseeritud audiitor (Qualified Security Assessor – QSA) |
kord kvartalis |
2. tase |
Kaupmehed, kes aktsepteerivad aastas 1-6 miljonit MasterCardi või Visa tehingut |
Sertifitseeritud audiitor (QSA) või ettevõttesisene audiitor (Internal Security Assessor – ISA) |
kord aastas |
Võrgukontroll, mille teeb sertifitseeritud andmekaitseettevõte (Approved Scanning Vendor – ASV) või sertifitseeritud audiitor (Qualified Security Assessor – QSA) |
kord kvartalis |
3. tase |
E-kaupmehed, kes aktsepteerivad aastas 20 000 kuni 1 miljonit MasterCardi või Visa tehingut |
Iga-aastane enesehindamisküsimustiku täitmine panga nõudmisel |
kord aastas |
Võrgukontroll, mille teeb sertifitseeritud andmekaitseettevõte (Approved Scanning Vendor – ASV) või sertifitseeritud audiitor (Qualified Security Assessor – QSA) |
kord kvartalis |
4. tase |
Kõik teised kaupmehed (kuni 1 miljon tehingut ja e-kaupmehed kuni 20 000 tehingut aastas) |
Iga-aastane enesehindamisküsimustiku täitmine panga nõudmisel |
kord kvartalis |
Võrgukontroll, mille teeb sertifitseeritud andmekaitseettevõte (Approved Scanning Vendor – ASV) või sertifitseeritud audiitor (Qualified Security Assessor – QSA) |
kord aastas |
Tähelepanu!
- Turvaauditeid teostavad sertifitseeritud audiitorid (QSA), kes on leitavad PCI DSSi ametlikul koduleheküljel.
- Võrgukontrolle teostavad sertifitseeritud võrgukontrolliettevõtted (ASV) füüsilistele- ja e-kaupmeestele.
- Sertifitseeritud audiitorid (QSA) võivad teostada nii võrgukontrolli kui ka läbi viia igaaastaseid auditeid füüsilistele- ja e-kaupmeestele.
- Enesehindamisküsimustik (SAQ) täidetakse vastavalt tehnilisele lahendusele.
Maksekaardi andmeturbestandardi nõuded ja eesmärgid
Järgnevas tabelis kirjeldatud 12 nõuet annavad ülevaate tegevustest, mis on vajalikud maksekaardi andmeturbestandardi nõuete järgimiseks.
Eesmärgid |
Maksekaardi andmeturbestandardi nõuded |
Turvalise võrgu ja süsteemi loomine ning haldamine |
1. Paigaldage tulemüür, et kaitsta kaardiomanike andmeid ja hoidke seda töökorras.
2. Ärge kasutage tootjapoolseid süsteemi salasõnade ja muude turvaparameetrite vaikesätteid.
|
Kaitske kaardiomanike andmeid |
3. Kaitske säilitatavaid kaardiomanike andmeid.
4. Krüpteerige kaardiomanike andmed, mida edastatakse avalike võrkude kaudu.
|
Seadke süsteemide kaitseks sisse haldamise programm |
5. Kaitske kõiki süsteeme pahavara eest ja värskendage regulaarselt viirusetõrjetarkvara.
6. Töötage välja turvalised süsteemid ja rakendused ning hoidke need töökorras.
|
Rakendage rangeid ligipääsukontrolli meetmeid |
7. Piirake ligipääsu kaardiomanike andmetele vastavalt ärilistele vajadustele.
8. Tuvastage ja autentige ligipääs süsteemiosadele.
9. Piirake füüsilist juurdepääsu kaardiomanike andmete hoidlatele.
|
Jälgige ja kontrollige regulaarselt võrke |
10. Jälgige ligipääsu võrguallikatele ja kaardiomanike andmetele.
11. Kontrollige regulaarselt turvasüsteeme ja -protseduure.
|
Järgige andmeturbepõhimõtteid |
12. Kehtestage ettevõttesisene andmeturbepoliitika. |
Lisainfo: https://www.pcisecuritystandards.org/