Maksekaartide turvastandardite nõukogu (edaspidi PCI SSC) on asutatud suurimate rahvusvaheliste kaardiorganisatsioonide Visa,
Mastercard, Amex, Diners, Discovery ja JCB poolt. PCI SSC on välja töötanud maksekaartide andmeturbestandardite nõuded ja
standardid (edaspidi PCI DSS), määratlemaks ja reguleerimaks kaardiandmeturbe põhimõtteid ja -poliitikat. PCI DSS juhiseid
peavad rakendama kõik ettevõtted, kes säilitavad, töötlevad või edastavad kaardiomanike andmeid (sh pangad, kaupmehed ja
maksete töötlejad). Reeglid sätestavad tehnilisi ja rakenduslikke nõudeid organisatsioonidele, kes võtavad vastu või
töötlevad maksetehinguid.
Nõuete ja standardite uusim versioon on saadaval siin.
Kõik kaupmehed, kes säilitavad, töötlevad või edastavad kaardiomanike andmeid, peavad järgima maksekaartide andmeturbestandardit.
Kaardi- ja tundlike autentimisandmete komponendid
|
Andmete komponendid |
Säilitamine lubatud |
Salvestatud andmete muutmine loetamatuks |
Kaardiomaniku andmed |
|
Täispikk kaardinumber (PAN) |
Jah |
Jah Standardi järgi tuleb kaardinumber muuta loetamatuks |
|
Kaardivaldaja nimi |
Jah |
Ei |
|
Teenuse kood |
Jah |
Ei |
|
Kehtivusaeg |
Jah |
Ei |
Tundlikud autentimisandmed Tundlikke autentimisandmeid ei tohi pärast autentimist säilitada isegi mitte krüpteeritult. |
|
Tehingu teostamisel saadud kaardiandmed Kogu magnetribal säilitatav infokogum, mis on võrdväärne kiibil või mujal säilitatava teabega. |
Ei |
Keelatud |
|
CVV2/CVC2 Kolme- või neljakohaline number, mis on trükitud maksekaardi esi- või tagaküljele. |
Ei |
Keelatud |
|
PIN/PIN-plokk PIN-kood, mille kaardiomanik sisestab tehingu ajal. See ei tohi.isegi krüpteeritud kujul salvestuda PIN-plokki. |
Ei |
Keelatud |
Kuidas saate olla kindel, et järgite maksekaardi andmeturbestandardi nõudeid?
Teenuse pakkuja annab kaupmeestele kord aastas teada, milliseid tegevusi peab tegema, et vastata maksekaardi
andmeturbestandardi nõuetele. Nõuded on toodud järgnevas tabelis. Kaupmehed jagatakse nelja kategooriasse vastavalt ühe
kaarditüübi alusel (nt Mastercard, Visa, Amex jne) tehtud kaarditehingute arvule ühel kalendriaastal.
1.–3. taseme kaupmehed peavad esitama PCI DSS nõuetele vastavuse aruanded otse oma kaardimakseid töötlevale teenusepakkujale.
4. taseme kaupmehed peavad täitma enesehindamise küsimustiku.
Kaupmehe tase |
Kaupmeeste tehingute kriteeriumid |
Kaupmeeste kohustuslikud tegevused |
Tegevuste sagedus |
1. tase |
Kaupmehed, kes aktsepteerivad aastas üle 6 miljoni Mastercardi või Visa tehingu |
Väline turvaaudit, mille teeb sertifitseeritud audiitor (Qualified Security Assessor – QSA) |
kord aastas |
Võrgukontroll, mille teeb sertifitseeritud andmekaitseettevõte (Approved Scanning Vendor – ASV) või sertifitseeritud audiitor (Qualified Security Assessor – QSA) |
kord kvartalis |
2. tase |
Kaupmehed, kes aktsepteerivad aastas 1-6 miljonit Mastercardi või Visa tehingut |
Sertifitseeritud audiitor (QSA) või ettevõttesisene audiitor (Internal Security Assessor – ISA)
2. taseme kaupmehed, kes valivad iga-aastase enesehindamisküsimustiku täitmise, peavad tagama, et enesehindamises
osalevad töötajad saavad maksekaartide turvastandardite nõukogu (PCI SSC) ettevõttesisese audiitori (ISA) koolituse
ja läbivad igal aastal sellega seotud akrediteerimisprogrammi, et jätkata enesehindamise kasutamist kinnitamaks
nõuetele vastavust. Enesehindamisküsimustiku täitmise asemel võivad 2. taseme kaupmehed läbida iga-aastase kohapealse
hindamise, mille viib läbi PCI SSC poolt heaks kiidetud sertifitseeritud audiitor (QSA).
|
kord aastas |
1. Kaupmehed, kes täidavad enesehindamise küsimustiku A, A-EP või D peavad iga-aastase vastavuskontrolli jaoks
kaasama sertifitseeritud audiitori (QSA) või ettevõttesisese audiitori (ISA).
2. Kaupmehed, kes täidavad enesehindamise küsimustiku SAQ B, B-IP, C-VT, C või P2PE võivad teha vastavuskontrolli
jaoks enesehindamisi sertifitseeritud audiitorit (QSA) või ettevõttesisest audiitorit (ISA) kasutamata.
|
kord aastas |
Võrgukontroll, mille teeb sertifitseeritud andmekaitseettevõte (Approved Scanning Vendor – ASV) või sertifitseeritud
audiitor (Qualified Security Assessor – QSA) |
kord kvartalis |
3. tase |
E-kaupmehed, kes aktsepteerivad aastas 20 000 kuni 1 miljonit Mastercardi või Visa tehingut |
Iga-aastane enesehindamise küsimustiku täitmine teenuse pakkuja nõudmisel |
kord aastas |
Võrgukontroll, mille teeb sertifitseeritud andmekaitseettevõte (Approved Scanning Vendor – ASV) või sertifitseeritud audiitor (Qualified Security Assessor – QSA) |
kord kvartalis |
4. tase |
Kõik teised kaupmehed (kuni 1 miljon tehingut ja e-kaupmehed kuni 20 000 tehingut aastas) |
Iga-aastane enesehindamise küsimustiku täitmine teenuse pakkuja nõudmisel |
kord kvartalis |
Võrgukontroll, mille teeb sertifitseeritud andmekaitseettevõte (Approved Scanning Vendor – ASV) või sertifitseeritud audiitor (Qualified Security Assessor – QSA) |
kord aastas |
Tähelepanu!
- Turvaauditeid teostavad sertifitseeritud audiitorid (QSA), kes on leitavad PCI DSSi ametlikul koduleheküljel.
- Võrgukontrolle teostavad sertifitseeritud võrgukontrolliettevõtted (ASV) füüsilistele- ja e-kaupmeestele. Sertifitseeritud audiitorid (QSA) võivad teostada nii võrgukontrolli kui ka läbi viia iga-aastaseid auditeid füüsilistele- ja e-kaupmeestele.
- Enesehindamise küsimustik (SAQ) täidetakse vastavalt tehnilisele lahendusele.
Maksekaardi andmeturbestandardi nõuded ja eesmärgid
Järgnevas tabelis kirjeldatud 12 nõuet annavad ülevaate tegevustest, mis on vajalikud maksekaardi andmeturbestandardi nõuete järgimiseks.
Eesmärgid |
Maksekaardi andmeturbestandardi nõuded |
Turvalise võrgu ja süsteemi loomine ning haldamine |
1. Paigaldage tulemüür, et kaitsta kaardiomanike andmeid ja hoidke seda töökorras.
2. Ärge kasutage tootjapoolseid süsteemi salasõnade ja muude turvaparameetrite vaikesätteid.
|
Kaitske kaardiomanike andmeid |
3. Kaitske säilitatavaid kaardiomanike andmeid.
4. Krüpteerige kaardiomanike andmed, mida edastatakse avalike võrkude kaudu.
|
Seadke süsteemide kaitseks sisse haldamise programm |
5. Kaitske kõiki süsteeme pahavara eest ja värskendage regulaarselt viirusetõrjetarkvara.
6. Töötage välja turvalised süsteemid ja rakendused ning hoidke need töökorras.
|
Rakendage rangeid ligipääsukontrolli meetmeid |
7. Piirake ligipääsu kaardiomanike andmetele vastavalt ärilistele vajadustele.
8. Tuvastage ja autentige ligipääs süsteemiosadele.
9. Piirake füüsilist juurdepääsu kaardiomanike andmete hoidlatele.
|
Jälgige ja kontrollige regulaarselt võrke |
10. Jälgige ligipääsu võrguallikatele ja kaardiomanike andmetele.
11. Kontrollige regulaarselt turvasüsteeme ja -protseduure.
|
Järgige andmeturbepõhimõtteid |
12. Kehtestage ettevõttesisene andmeturbepoliitika. |
Lisainfo: https://www.pcisecuritystandards.org/