PCI DSS (z ang. Payment Card Industry Data Security Standard) to standard, który pomaga firmom w opracowaniu procesów zapewniających bezpieczeństwo transakcji za pomocą kart płatniczych. Jego celem jest ochrona danych posiadaczy kart i danych uwierzytelniających. Wymogi PCI DSS pomagają zapobiegać incydentom bezpieczeństwa, wykrywać je i reagować na nie.

 

Pierwsza wersja PCI DSS została opublikowana w 2004 roku.

 

Zarządzaniem standardem PCI DSS zajmuje się PCI Security Standards Council (PCI SSC).

 

Dane kart objęte standardem PCI DSS to:

 

• numer karty płatniczej,
• imię i nazwisko posiadacza karty,
• data ważności karty,
• kod usługi.

 

Dane uwierzytelniające objęte standardem PCI DSS to z kolei:

 

• dane z paska magnetycznego lub chipu,
• kod CVV,
• numer PIN.

 

Wymagań standardu PCI DSS muszą przestrzegać wszyscy sprzedawcy na całym świecie, którzy akceptują karty płatnicze. Dotyczy to także firm, które korzystają z usług zewnętrznych podmiotów w zakresie przetwarzania transakcji.

   

Standard PCI DSS składa się z 12 podstawowych wymagań w 6 obszarach.

 

Co jest regulowane przez PCI DSS?

 

1. Budowa i utrzymanie bezpiecznej sieci i systemu:

• instalacja i utrzymanie mechanizmów ochrony sieci,
• stosowanie bezpiecznych konfiguracji we wszystkich komponentach systemu.

 

2. Ochrona danych:

• ochrona przechowywanych danych kart płatniczych,
• zabezpieczenie danych posiadaczy kart silnym szyfrowaniem podczas transmisji w otwartych, publicznych sieciach.

 

3. Utrzymanie programu zarządzania podatnościami:

• ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem,
• tworzenie i utrzymywanie bezpiecznych systemów i oprogramowania.

 

4. Wdrażanie silnych mechanizmów kontroli dostępu:

• ograniczenie dostępu do komponentów systemu i danych posiadaczy kart wyłącznie do osób, które muszą je znać,
• identyfikacja użytkowników i uwierzytelnianie dostępu do komponentów systemu,
• ograniczenie fizycznego dostępu do danych posiadaczy kart.

 

5. Regularne monitorowanie i testy sieci:

• rejestrowanie i monitorowanie dostępu do komponentów systemu oraz chronionych danych,
• regularne testowanie bezpieczeństwa systemów i sieci.

 

6. Utrzymywanie polityki bezpieczeństwa informacji:

• wspieranie bezpieczeństwa informacji poprzez polityki organizacyjne.

 

Wdrożenie standardu PCI DSS przekłada się bezpośrednio na sposób, w jaki organizacje chronią dane posiadaczy kart. Wymusza bowiem wdrożenie skutecznych rozwiązań technicznych i organizacyjnych, ograniczających ryzyko nieautoryzowanego dostępu do danych, które mogłyby później zostać wykorzystane do cardingu.

 

Ponieważ wymagania PCI DSS są kompleksowe, bezpieczeństwo staje się częścią kultury operacyjnej firmy. Standard wymaga również regularnych audytów, dzięki którym możliwe jest wykrycie nieprawidłowości, zanim wykorzystają je cyberprzestępcy.

   

Nilson Report szacuje, że w 2023 roku straty wynikające z oszustw związanych z kartami płatniczymi wyniosły 33,83 mld dolarów. Część z nich była możliwa właśnie dlatego, że firmy popełniają błędy naruszające zgodność z PCI DSS.

 

Do najczęstszych błędów należą:

 

• niewłaściwa segmentacja sieci – organizacja nie wydziela środowiska przetwarzania danych kart i tym samym zwiększa powierzchnię ataku,
• utrzymywanie przestarzałych systemów – środowisko zawiera komponenty bez aktualnych poprawek,
• brak kompleksowego monitorowania – system nie rejestruje wszystkich zdarzeń,
• nadmierne uprawnienia użytkowników – pracownicy mają dostęp do danych, których nie potrzebują,
• zbyt rzadkie testy bezpieczeństwa – firma nie wykonuje regularnych testów penetracyjnych ani skanów podatności.

 

Błędy naruszające zgodność z PCI DSS mogą wynikać m.in. z braku spójnego zarządzania środowiskiem, niewłaściwej interpretacji wymagań lub traktowania standardu jako jednorazowego zadania.

   

Proces wdrożenia PCI DSS wymaga spójnego podejścia, które połączy działania techniczne i organizacyjne. Warto zacząć od określenia, które systemy przetwarzają dane kart i jakie procesy należy zabezpieczyć. W praktyce wdrożenie rozpoczyna się od audytu wstępnego, który pozwala też określić luki i zdefiniować zakres działań.

 

Jednym z rozwiązań z zakresu cyberbezpieczeństwa, które wspiera standard PCI DSS, jest Managed WAF – zarządzany przez specjalistów Netii aplikacyjny firewall, chroniący aplikacje webowe przed atakami. Zapewnia on ochronę ruchu szyfrowanego i monitoring, a także zabezpiecza przed atakami hakerskimi.

 

Równolegle do rozwiązań technicznych należy prowadzić szkolenia dla pracowników, dostosowane do ich ról w organizacji. Błędy ludzkie to jedna z najczęstszych przyczyn incydentów cyberbezpieczeństwa. Sama wiedza o tym, co to jest PCI DSS i jakie są jego wymagania, jednak nie wystarczy. Pracownicy powinni mieć świadomość zagrożeń i technik używanych przez cyberprzestępców, żeby np. zauważyć urządzenie do skimmingu kart płatniczych.

 

Ważnym elementem bezpieczeństwa teleinformatycznego jest także zapewnienie bieżącego monitorowania infrastruktury firmy i możliwość natychmiastowej reakcji na incydenty. Zespół ekspertów Security Operations Center (SOC) od Netii dba o bezpieczeństwo biznesu przez całą dobę, 365 dni w roku. Firma może liczyć na profesjonalną obsługę oraz jakość potwierdzoną licznymi certyfikatami w tym:

 

• ISO 27001 (System Zarządzania Bezpieczeństwem Informacji)
• CISSP (Certified Information Systems Security Professional),
• CEH (Certified Ethical Hacker).

 

Wdrożenie nie kończy się na implementacji zabezpieczeń i przeszkoleniu pracowników. Należy także wykonywać regularne testy podatności (np. Aplikacji webowy), testy penetracyjne i audyty bezpieczeństwa. Ich celem jest nieustanne doskonalenie zabezpieczeń – jest to potrzebne, ponieważ narzędzia cyberprzestępców nieustannie ewoluują.