Norma PA DSS (Payment Application Data Security Standard) taktéž spadá do skupiny standardů PCI. Je určena dodavatelům platebních aplikací, které uchovávají, zpracovávají nebo přenášejí údaje držitelů karet nebo jiná citlivá autentizační data. Obchodníci mají povinnost používat jen ty aplikace a softwary, které jsou certifikované na PA DSS.

Požadavky PCI DSS se vztahují na všechny komponenty systémů, jako jsou servery nebo aplikace, které vstupují do prostředí dat držitelů karet nebo jsou s tímto prostředím propojené. Patří mezi ně také virtuální komponenty jako virtuální stroje, přepínače, routery či zařízení, virtuální aplikace nebo pracovní stanice apod.

Prostředí dat držitelů karet zahrnuje pracovníky, procesy a technologie, které zpracovávají informace o držitelích karet nebo citlivá autentizační data.

Při hodnocení PCI DSS se nejprve přesně určí rozsah prověrky. Před pravidelným ročním auditem pak musí testovaný subjekt identifikovat všechna místa a toky dat držitelů karet a potvrdit, že jsou do stanoveného rozsahu PCI DSS zahrnuty.

Nezdokumentovaný informační systém

U řady našich klientů zjišťujeme, že různé části systému vznikaly několik let a jejich vývoj nebyl dostatečně zdokumentován. Často klient není schopen vysvětlit, která konkrétní data informačním systémem vlastně procházejí.

Ukládání citlivých dat po autorizaci platební transakce

Citlivá data (například celé číslo karty) nesmí obchodníci po provedení autorizace platební transakce za žádných okolností ukládat, například v záznamech událostí (logy), zálohách nebo přímo v databázi.

Nedostatečné řešení informační bezpečnosti

Často se u našich klientů setkáváme se stavem, kdy není informační bezpečnost řešena tak, jak by měla: zaznamenávání událostí (logování a monitorování) je nedostatečné nebo úplně chybí, neexistuje žádný proces pro pravidelnou aktualizaci bezpečnostních záplat, zaměstnanci nemají nutné povědomí o informační bezpečnosti a kontrola nad řízením změn je také nevyhovující.

Learn more about certification options