Zpracování plateb a shoda s PCI: Globální průvodce

V dnešním propojeném světě je bezpečné zpracování plateb pro podniky všech velikostí prvořadé. Jelikož počet online transakcí celosvětově stále roste, ochrana údajů držitelů karet před krádeží a podvody je důležitější než kdy jindy. Tento komplexní průvodce poskytuje přehled shody s normou Payment Card Industry (PCI), což je soubor bezpečnostních standardů navržených k ochraně citlivých platebních informací.

Co je shoda s PCI?

Shoda s PCI (PCI compliance) znamená dodržování bezpečnostního standardu pro data v odvětví platebních karet (PCI DSS), což je soubor požadavků stanovených hlavními společnostmi vydávajícími kreditní karty – Visa, Mastercard, American Express, Discover a JCB – s cílem zajistit bezpečné nakládání s údaji držitelů karet. PCI DSS se vztahuje na jakoukoli organizaci, která přijímá, zpracovává, ukládá nebo přenáší informace o kreditních kartách, bez ohledu na její velikost nebo sídlo.

Hlavním cílem PCI DSS je snížit podvody s kreditními kartami a úniky dat tím, že nařizuje specifické bezpečnostní kontroly a postupy. Shoda není ve všech jurisdikcích zákonným požadavkem, ale je smluvní povinností pro obchodníky, kteří zpracovávají platby kreditními kartami. Nedodržení může vést k významným sankcím, včetně pokut, zvýšených transakčních poplatků a dokonce i ke ztrátě možnosti přijímat platby kreditními kartami.

Proč je shoda s PCI důležitá?

Shoda s PCI nabízí podnikům řadu výhod:

• Zvýšená bezpečnost: Implementace požadavků PCI DSS posiluje vaši bezpečnostní pozici a snižuje riziko úniku dat a kybernetických útoků.
• Důvěra zákazníků: Prokázání shody s PCI buduje důvěru u vašich zákazníků a ujišťuje je, že jejich platební údaje jsou v bezpečí.
• Řízení reputace: Únik dat může vážně poškodit vaši pověst a narušit důvěru zákazníků. Shoda s PCI pomáhá chránit vaši značku a udržovat pozitivní image.
• Snížení nákladů: Prevence úniku dat vám může ušetřit značné náklady spojené s pokutami, právními poplatky a nápravnými opatřeními.
• Právní a smluvní povinnosti: Shoda s PCI DSS je často smluvním požadavkem u zpracovatelů plateb a nabývajících bank.

Představte si malého online prodejce se sídlem v jihovýchodní Asii, který se zaměřuje na prodej místních řemeslných výrobků po celém světě. Dodržováním PCI DSS poskytuje své mezinárodní zákaznické základně jistotu, že údaje o jejich kreditních kartách jsou chráněny, což podporuje důvěru a opakované obchody. Bez toho by zákazníci mohli váhat s nákupem, což by vedlo ke ztrátě příjmů a poškození pověsti značky. Podobně i velký evropský hotelový řetězec musí dodržovat tuto normu, aby zajistil bezpečnost informací o kreditních kartách svých hostů z celého světa.

Kdo musí být ve shodě s PCI?

Jak již bylo zmíněno, jakákoli organizace, která nakládá s údaji o kreditních kartách, musí být ve shodě s PCI. To zahrnuje:

• Obchodníky: Maloobchodníky, restaurace, hotely, e-commerce podniky a jakýkoli jiný podnik, který přijímá platby kreditními kartami.
• Zpracovatele plateb: Společnosti, které zpracovávají transakce kreditními kartami jménem obchodníků.
• Poskytovatele služeb: Třetí strany, které poskytují služby související se zpracováním plateb, jako je ukládání dat, bezpečnostní poradenství a vývoj softwaru.

I když svěříte zpracování plateb externímu poskytovateli, stále jste v konečném důsledku zodpovědní za zajištění ochrany dat vašich zákazníků. Je klíčové ověřit, že vaši poskytovatelé služeb jsou ve shodě s PCI a mají zavedena příslušná bezpečnostní opatření.

12 požadavků PCI DSS

PCI DSS se skládá z 12 základních požadavků, seskupených do šesti kontrolních cílů:

1. Vybudovat a udržovat bezpečnou síť a systémy

• Požadavek 1: Nainstalujte a udržujte konfiguraci firewallu k ochraně dat držitelů karet. Firewally fungují jako bariéra mezi vaší interní sítí a internetem a brání neoprávněnému přístupu k citlivým datům.
• Požadavek 2: Nepoužívejte výchozí nastavení od dodavatelů pro systémová hesla a další bezpečnostní parametry. Výchozí hesla mohou hackeři snadno uhodnout. Změňte je ihned po instalaci a poté pravidelně.

2. Chránit data držitelů karet

• Požadavek 3: Chraňte uložená data držitelů karet. Minimalizujte množství ukládaných dat držitelů karet a používejte šifrování, tokenizaci nebo maskování k ochraně citlivých informací.
• Požadavek 4: Šifrujte přenos dat držitelů karet přes otevřené, veřejné sítě. Používejte silné šifrovací protokoly jako TLS/SSL k ochraně dat přenášených přes internet.

3. Udržovat program řízení zranitelností

• Požadavek 5: Chraňte všechny systémy proti malwaru a pravidelně aktualizujte antivirový software nebo programy. Udržujte svůj antivirový software aktuální a pravidelně skenujte své systémy na přítomnost malwaru.
• Požadavek 6: Vyvíjejte a udržujte bezpečné systémy a aplikace. Pravidelně aplikujte bezpečnostní záplaty a aktualizace na váš software a hardware, abyste řešili známé zranitelnosti. To zahrnuje jak na zakázku vyvinuté aplikace, tak software třetích stran.

4. Implementovat silná opatření pro řízení přístupu

• Požadavek 7: Omezte přístup k datům držitelů karet na základě principu „vědět jen to nejnutnější“. Udělujte přístup k datům držitelů karet pouze zaměstnancům, kteří jej potřebují k výkonu svých pracovních povinností.
• Požadavek 8: Identifikujte a ověřujte přístup ke komponentám systému. Implementujte silná opatření pro ověřování, jako je vícefaktorová autentizace, k ověření identity uživatelů přistupujících k vašim systémům.
• Požadavek 9: Omezte fyzický přístup k datům držitelů karet. Zabezpečte své fyzické prostory a omezte přístup do oblastí, kde jsou data držitelů karet ukládána nebo zpracovávána.

5. Pravidelně monitorovat a testovat sítě

• Požadavek 10: Sledujte a monitorujte veškerý přístup k síťovým zdrojům a datům držitelů karet. Implementujte systémy pro logování a monitorování, abyste sledovali aktivitu uživatelů a detekovali podezřelé chování.
• Požadavek 11: Pravidelně testujte bezpečnostní systémy a procesy. Provádějte pravidelné skenování zranitelností a penetrační testy k identifikaci a řešení bezpečnostních slabin.

6. Udržovat politiku informační bezpečnosti

• Požadavek 12: Udržujte politiku, která řeší informační bezpečnost pro veškerý personál. Vypracujte a implementujte komplexní politiku informační bezpečnosti, která popisuje bezpečnostní postupy a procedury vaší organizace. Tato politika by měla být pravidelně revidována a aktualizována.

Každý požadavek má podrobné podpožadavky, které poskytují specifické pokyny, jak danou kontrolu implementovat. Úroveň úsilí potřebného k dosažení shody se bude lišit v závislosti na velikosti a složitosti vaší organizace a objemu transakcí kartami, které zpracováváte.

Úrovně shody s PCI DSS

Rada pro bezpečnostní standardy PCI (PCI SSC) definuje čtyři úrovně shody na základě ročního objemu transakcí obchodníka:

• Úroveň 1: Obchodníci zpracovávající více než 6 milionů transakcí kartou ročně.
• Úroveň 2: Obchodníci zpracovávající mezi 1 milionem a 6 miliony transakcí kartou ročně.
• Úroveň 3: Obchodníci zpracovávající mezi 20 000 a 1 milionem e-commerce transakcí ročně.
• Úroveň 4: Obchodníci zpracovávající méně než 20 000 e-commerce transakcí ročně nebo až 1 milion celkových transakcí ročně.

Požadavky na shodu se liší v závislosti na úrovni. Obchodníci úrovně 1 obvykle vyžadují roční hodnocení na místě provedené kvalifikovaným bezpečnostním posuzovatelem (QSA) nebo interním bezpečnostním posuzovatelem (ISA), zatímco obchodníci na nižších úrovních mohou provádět sebehodnocení pomocí dotazníku sebehodnocení (SAQ).

Jak dosáhnout shody s PCI

Zde je postup krok za krokem, jak dosáhnout shody s PCI:

1. Určete svou úroveň shody: Identifikujte svou úroveň shody s PCI DSS na základě objemu transakcí.
2. Zhodnoťte své současné prostředí: Proveďte důkladné posouzení vaší současné bezpečnostní pozice k identifikaci mezer a zranitelností.
3. Napravte zranitelnosti: Řešte všechny identifikované zranitelnosti implementací nezbytných bezpečnostních kontrol.
4. Vyplňte dotazník sebehodnocení (SAQ) nebo zapojte QSA: V závislosti na vaší úrovni shody buď vyplňte SAQ, nebo zapojte QSA k provedení hodnocení na místě.
5. Předložte potvrzení o shodě (AOC): Předložte svůj SAQ nebo zprávu o shodě (ROC) od QSA vaší nabývající bance nebo zpracovateli plateb.
6. Udržujte shodu: Průběžně monitorujte své prostředí, provádějte pravidelná bezpečnostní hodnocení a aktualizujte své bezpečnostní kontroly podle potřeby, abyste udrželi trvalou shodu.

Výběr správného dotazníku SAQ

Pro obchodníky, kteří mohou použít SAQ, je výběr správného dotazníku klíčový. Existuje několik různých typů SAQ, každý přizpůsobený specifickým metodám zpracování plateb. Mezi běžné typy SAQ patří:

• SAQ A: Pro obchodníky, kteří všechny funkce týkající se dat držitelů karet outsourcují na poskytovatele služeb třetích stran, kteří jsou ve shodě s PCI DSS.
• SAQ A-EP: Pro e-commerce obchodníky s plně outsourcovanou platební stránkou.
• SAQ B: Pro obchodníky používající pouze imprintery nebo samostatné terminály s vytáčeným připojením (dial-out).
• SAQ B-IP: Pro obchodníky používající samostatné, PTS schválené platební terminály s IP připojením.
• SAQ C: Pro obchodníky s platebními aplikačními systémy připojenými k internetu.
• SAQ C-VT: Pro obchodníky používající virtuální terminál (např. přihlášení do webového terminálu ke zpracování plateb).
• SAQ P2PE: Pro obchodníky používající schválená zařízení Point-to-Point Encryption (P2PE).
• SAQ D: Pro obchodníky, kteří nesplňují kritéria pro žádný jiný typ SAQ.

Výběr nesprávného SAQ může vést k nepřesnému posouzení vaší bezpečnostní pozice a potenciálním problémům se shodou. Konzultujte se svou nabývající bankou nebo zpracovatelem plateb, abyste určili vhodný SAQ pro váš podnik.

Běžné problémy při dosahování shody s PCI

Mnoho podniků čelí při snaze dosáhnout a udržet shodu s PCI výzvám. Mezi běžné problémy patří:

• Nedostatek povědomí: Mnoho malých podniků si jednoduše neuvědomuje požadavky PCI DSS a své povinnosti.
• Složitost: PCI DSS může být složitý a obtížně srozumitelný, zejména pro netechnický personál.
• Náklady: Implementace nezbytných bezpečnostních kontrol může být nákladná, zejména pro malé podniky s omezenými rozpočty.
• Omezené zdroje: Mnoho podniků postrádá interní zdroje a odborné znalosti k efektivnímu řízení svých snah o shodu s PCI.
• Udržování shody: Shoda s PCI není jednorázová událost. Vyžaduje neustálé monitorování, testování a aktualizace k udržení shody v průběhu času.

Tipy pro zjednodušení shody s PCI

Zde je několik tipů, které vám pomohou zjednodušit shodu s PCI:

• Minimalizujte data držitelů karet: Snižte množství ukládaných dat držitelů karet používáním tokenizace nebo jiných technik maskování dat.
• Outsourcujte zpracování plateb: Zvažte outsourcing zpracování plateb na poskytovatele třetí strany, který je ve shodě s PCI DSS.
• Používejte hardware a software ve shodě s PCI DSS: Ujistěte se, že veškerý hardware a software používaný pro zpracování plateb je ve shodě s PCI DSS.
• Implementujte silná opatření pro řízení přístupu: Omezte přístup k datům držitelů karet pouze na ty zaměstnance, kteří jej potřebují k výkonu svých pracovních povinností.
• Automatizujte bezpečnostní procesy: Automatizujte bezpečnostní procesy, jako je skenování zranitelností a správa záplat, abyste snížili manuální úsilí a zlepšili efektivitu.
• Vyhledejte odbornou pomoc: Zapojte konzultanta pro shodu s PCI, který vám pomůže zorientovat se v požadavcích PCI DSS a implementovat nezbytné bezpečnostní kontroly.

Budoucnost shody s PCI

PCI DSS se neustále vyvíjí, aby řešil nově vznikající hrozby a změny v platebním prostředí. PCI SSC pravidelně aktualizuje standard, aby zahrnoval nové osvědčené postupy a technologie v oblasti bezpečnosti. Jak se budou platební metody dále vyvíjet, jako je vzestup mobilních plateb a kryptoměn, PCI DSS se pravděpodobně přizpůsobí, aby řešil bezpečnostní výzvy spojené s těmito novými technologiemi.

Globální aspekty shody s PCI

Ačkoli je PCI DSS globálním standardem, je třeba mít na paměti určité regionální a národní aspekty:

• Zákony o ochraně osobních údajů: Mnoho zemí má zákony o ochraně osobních údajů, jako je Obecné nařízení o ochraně osobních údajů (GDPR) v Evropě, které se mohou překrývat s požadavky PCI DSS. Ujistěte se, že dodržujete všechny platné zákony o ochraně osobních údajů kromě PCI DSS.
• Požadavky platebních bran: Různé platební brány mohou mít různé požadavky na shodu s PCI. Ověřte si specifické požadavky vašeho poskytovatele platební brány.
• Jazykové a kulturní rozdíly: Při komunikaci se zákazníky a zaměstnanci o shodě s PCI mějte na paměti jazykové a kulturní rozdíly. V případě potřeby poskytněte školení a dokumentaci ve více jazycích.
• Preference měny a platebních metod: Různé země mají různé preference měny a platebních metod. Zvažte nabídku různých platebních možností, abyste uspokojili svou globální zákaznickou základnu.

Například společnost expandující do Brazílie by si měla být vědoma zákona „LGPD“ (Lei Geral de Proteção de Dados), což je brazilský ekvivalent GDPR, vedle PCI DSS. Stejně tak společnost expandující do Japonska bude chtít porozumět místním preferencím pro platební metody jako Konbini (platby v samoobsluhách) kromě kreditních karet a zajistit, že jakékoli řešení, které implementuje, zůstane ve shodě s PCI.

Příklady shody s PCI z reálného světa v praxi

• E-commerce platforma: Globální e-commerce platforma implementuje tokenizaci k ochraně dat kreditních karet zákazníků. Skutečná čísla kreditních karet jsou nahrazena unikátními tokeny, které jsou uloženy v bezpečném trezoru. Platforma používá tyto tokeny ke zpracování transakcí, aniž by kdy odhalila citlivá data kreditních karet.
• Řetězec restaurací: Velký řetězec restaurací implementuje end-to-end šifrování (E2EE) na svých pokladních (POS) systémech. E2EE šifruje data držitelů karet v místě vstupu a dešifruje je až v bezpečném prostředí zpracovatele plateb. To chrání data před zachycením během přenosu.
• Hotelový řetězec: Globální hotelový řetězec implementuje vícefaktorovou autentizaci (MFA) pro všechny zaměstnance, kteří mají přístup k datům držitelů karet. MFA vyžaduje, aby uživatelé poskytli dva nebo více faktorů ověření, jako je heslo a jednorázový kód zaslaný na jejich mobilní telefon, k ověření jejich identity.
• Dodavatel softwaru: Dodavatel softwaru, který vyvíjí software pro zpracování plateb, prochází pravidelným penetračním testováním k identifikaci a řešení bezpečnostních zranitelností. Penetrační testování zahrnuje simulaci útoků z reálného světa k posouzení bezpečnosti softwaru a identifikaci slabin, které by mohly být zneužity hackery.

Závěr

Shoda s PCI je zásadním požadavkem pro každý podnik, který nakládá s daty kreditních karet. Implementací požadavků PCI DSS můžete chránit citlivé informace svých zákazníků, budovat důvěru a vyhnout se nákladným únikům dat. Ačkoli dosažení a udržení shody s PCI může být náročné, je to cenná investice, která ochrání váš podnik i vaše zákazníky. Pamatujte, že shoda s PCI je nepřetržitý proces, nikoli jednorázová událost. Neustále monitorujte své prostředí, aktualizujte své bezpečnostní kontroly a zůstaňte informováni o nejnovějších hrozbách a osvědčených postupech, abyste si udrželi silnou bezpečnostní pozici. Konzultace s odborníky na kybernetickou bezpečnost, kteří se dobře orientují v normách shody, může celý proces výrazně zjednodušit.