LANGUAGE

EN

Dotazy? Volejte, mailujte..

+420 222 553 101

cz@tayllorcox.com

Hledáte řešení na míru? Rádi připravíme individulní řešení!
Submit >

PCI DSS | PAYMENT


PCI DSS

Payment Card Industry Data Security Standard

Chci získat PCI DSS certifikát Transfer k TAYLLORCOX

Nejrychlejší kontakt

Certifikaci připravíme na míru potřebám organizace.

Volejte: +420 222 553 101

 

PCI DSS = ISO 27001 pro platební systémy

PCI vyžaduje, aby všichni obchodníci, poskytovatelé služeb a banky obchodníků, kteří uchovávají, zpracovávají nebo přenášejí data o transakcích uskutečněných prostřednictvím platebních karet, podstoupili akreditaci v rámci normy PCI DSS. Audit založený na testování na místě musí být realizován jednou ročně, externí testování zranitelností musí být prováděno čtvrtletně.

PCI DSS jako norma pro bezpečnost v odvětví platebních karet byla oficiálně akceptována dvěma největšími asociacemi – společnostmi VISA a MasterCard. Později ji přijaly i další společnosti v tomto odvětví jako American Express, Dinners Club nebo JCB. Pro řízení celého programu bezpečnosti v odvětví platebních karet byla také založena společnost PCICo., jejímiž zakladateli a zároveň vlastníky jsou právě jednotlivé asociace.

Společně s normou PCI DSS byly vytvořeny dva kontrolní nástroje ověřující, zda je tato norma dodržována

  • a) audit založený na testování na místě;
  • b) externí testování zranitelností síťové infrastruktury a aplikací.

Certifikace PCI DSS ve třech krocích

Chcete znát přesný rozsah certifikace, včetně všech obvyklých kroků? Kontaktujte nás. Stručně řečeno, pro absolvování certifikačního auditu potřebujete připravit Interní Audit + odpovědného manažera pro realizaci certifikačního auditu.



  • Interní Audit

    Potřebujete získat kvalifikovaný odhad připravenosti spol. na ISO certifikaci? Assesment Vám ukáže vyspělost procesů!

  • Školení

    Nezapomeňte ustanovit novou roli Interního Auditora. Nemáte kvalifikaci? Přijďte k nám na oficiální kurz.

  • Certifikace

    Vedoucí Auditor TAYLLORCOX přezkoumá systém řízení + interview se zaměstnanci. Gratulujeme!

Fakta o PCI DSS certifikaci

Mezi klíčové přínosy patří pochopitelně posílení informační bezpečnosti a splnění standardů PCI DSS

> Mezinárodně uznávaný certifikát;

> Certifikovaný systém je bezpečný a držitelé platebních karet Vám mohou důvěřovat;

> PCI DSS je vstupenkou do platebního světa. Pro Odběratele, dodavatele, obchodní partnery i zákazníky budete důvěryhodnější.

> Praktický benefit je i snížení rizika mimořádných finančních výdajů (například v důsledku zneužití kartových údajů k podvodům a jiné trestní činnosti).



Ochrana údajů držitelů platebních karet představuje skutečný problém po celém světě. bezpečností se musí zabývat nejen banky, které platební karty vydávají, ale také obchodníci, kteří je přijímají. Údaje o platební kartě musí samozřejmě chránit také samotní držitelé platebních karet. Ať jste velkou mezinárodní společností nebo majitelem jediného obchodu, ať provozujete kamennou prodejnu nebo internetový obchod, pokud přijímáte platební karty, je zcela zásadní, aby Vaše obchodní činnost byla v souladu s bezpečnostními standardy PCI DSS.

Soulad s mezinárodními pravidly PCI DSS je povinný pro všechny obchodníky, kteří přijímají platební karty a je striktně a bez rozdílu vyžadován všemi bankami po celém světě. Jako obchodník, IT support nebo výrobce platebních systémů nesete odpovědnost za ochranu dat držitelů karet zejména v místě prodeje a za jejich bezpečný přenos do platebního systému.

Vaší odpovědností je nastavit a zabezpečit systémy, které používáte tak, aby nebyla ohrožena data Vašich klientů a to včetně systémů Vašich partnerů a subdodavatelů.

V současné době pachatelé zaměřují svou pozornost i na drobné obchodníky, jejichž systémy jsou mnohdy méně odolné proti napadení a jsou tedy snazším zdrojem kartových informací. I proto je dodržování standardů PCI DSS povinné pro všechny obchodníky přijímající platební karty.



TAYLLORCOX je mezinárodně certifikovaný orgán, který má mnohem širší rozsah, než stanovuje PCI DSS. Certifikujeme a školíme Ethical Hackery, řešíme informační bezpečnosti komplexně. Nejsme tedy slepý tvůrce jednoho certifikovaného systému, ale řešíme bezpečnost platebních systémů komplexně.



FAQ: PCI DSS standard 

  Jak souvisí PCI DSS a PA DSS
PA DSS – Payment Application Data Security Standard. Standard PCI DSS / PA DSS se vztahuje na dodavatele sw a další dodavatele, kteří vyvíjejí platební aplikace, které uchovávají, zpracovávají nebo přenášejí data držitelů karet jako součást autorizace nebo zúčtování, a kdy jsou tyto aplikace prodávány, distribuovány nebo licencovány třetím stranám.

PA DSS se nevztahuje na platební aplikace obvykle prodávané jako hotové, bez přizpůsobení softwaru dodavatelem, na platební aplikace vyvinuté a používané pouze in house, tyto jsou pokryty v rámci obvyklé shody s PCI DSS.
  Jaký je rozsah PCI DSS certifikace?

Požadavky PCI DSS se uplatňují na všechny komponenty systémů. Komponenty se rozumí síťové komponenty, servery nebo aplikace, které jsou začleněny do prostředí dat držitelů karet nebo jsou s tímto prostředím spojeny. Jsou to též virtuální komponenty jako virtuální stroje, vyrtuální přepínače/routery, virtuální zařízení, virtuální aplikace/pracovní stanice apod.

Prostředí dat držitelů karet sestává z pracovníků, procesů a technologie, která zpracovává data držitelů karet nebo citlivá autentizační data.
Při hodnocení PCI DSS je přesné určení rozsahu prověrky a před pravidelným ročním vyhodnocením musí hodnocený subjekt potvrdit přesnost PCI DSS rozsahu identifikováním všech míst a toků dat držitelů karet a zajistit, že jsou zahrnuty do do rozsahu PCI DSS.

  Jaké jsou nejčastější problémy při realizaci auditů?
Nezdokumentovaný informační systém
I druhá oblast souvisí s problémem ukládání citlivých dat. U řady našich klientů jsme se při provádění auditu setkali se stavem, kdy v důsledku toho, že různé části systému historicky vznikaly řadu let a jejich vývoj nebyl řádně dokumentován, nám klient často ani nebyl schopen vysvětlit, jaká konkrétní data různými částmi informačního systému vlastně procházejí.

Ukládání citlivých po autorizaci platební transakce
Citlivá data (například celé číslo karty) nesmí obchodníci po provedení autorizace platební transakce za žádných okolností ukládat, například v záznamech událostí (logy), zálohách nebo přímo v databázi.

Typické problémy z oblasti informační bezpečnosti
PCI DSS je norma z oblasti informační bezpečnosti a vyžaduje komplexní řešení této problematiky v rámci organizace. Nicméně u našich klientů se často setkáváme se stavem, kdy informační bezpečnost není dostatečně řešena. Typickými příklady mohou být chybějící nebo nedostatečné zaznamenávání událostí (logování a monitorování), neexistence procesu pro pravidelnou aktualizaci bezpečnostních záplat, nedostatečná kontrola nad řízením změn nebo nedostatečné povědomí o bezpečnosti mezi zaměstnanci společnosti.

 
 
 
 
 
 
 

Request a quote

Vyžádat nabídku
Případové studie
1
Certifikace *
 

2
E-mail *
*

3
Společnost

4
Orientační počet zaměstnanců?
+
-

5
Telefon

6
Stát
v
 

Captcha:
*
Odeslat
(*) Required Field