AES (Advanced Encryption Standard)
Solidny algorytm szyfrowania wykorzystywany do zabezpieczania wrażliwych danych płatniczych przy użyciu kluczy symetrycznych.
ANSI (American National Standards Institute)
Amerykańska organizacja opracowująca standardy techniczne, w tym te stosowane w kryptografii i bezpieczeństwie danych.
AOC (Attestation of Compliance)
Oficjalny dokument potwierdzający status zgodności z PCI dostawcy usług lub sprzedawcy.
APOs (Associate Participating Organizations)
Członkowie PCI SSC bez prawa głosu, którzy przyczyniają się do rozwoju i przeglądu standardów bezpieczeństwa.
ASV (Approved Scanning Vendor)
Certyfikowany dostawca zewnętrzny upoważniony do przeprowadzania skanowania luk w zabezpieczeniach w celu identyfikacji ryzyk.
Atak brute force
Zautomatyzowane odgadywanie haseł, kluczy lub wartości kryptograficznych aż do znalezienia właściwej.
Atak przepełnienia bufora (Buffer Overflow)
Luka w zabezpieczeniach, w której nadmiar danych nadpisuje sąsiadującą pamięć, potencjalnie umożliwiając wykonanie złośliwego kodu.
Aplikacja
Dowolne oprogramowanie lub platforma cyfrowa w zakresie PCI, w tym aplikacje internetowe, mobilne lub desktopowe obsługujące dane płatnicze.
Audyt logów
Szczegółowy, opatrzony znacznikami czasowymi zapis aktywności systemu wykorzystywany do wspierania dochodzeń kryminalistycznych i audytów zgodności.
Autoryzacja
Proces udzielania uprawnień do wykonywania działań po pomyślnej autentykacji lub zatwierdzanie transakcji płatniczej.
BAU (Business as Usual)
Ciągłe działania z zakresu bezpieczeństwa i zgodności utrzymywane podczas regularnych operacji.
Biometria behawioralna
Wykorzystanie wzorców zachowań, takich jak dynamika pisania lub ruchy myszy, do weryfikacji użytkownika i zapobiegania oszustwom.
BoA (Board of Advisors)
Grupa zapewniająca doradztwo strategiczne dla rozwoju standardów PCI SSC.
CDE (Cardholder Data Environment)
Środowisko obejmujące systemy, które przechowują, przetwarzają lub przesyłają dane posiadacza karty oraz powiązane informacje wrażliwe.
CERT (Computer Emergency Response Team)
Wyspecjalizowany zespół zajmujący się incydentami cyberbezpieczeństwa i reagowaniem na naruszenia.
CIS (Center for Internet Security)
Organizacja publikująca najlepsze praktyki branżowe i benchmarki bezpieczeństwa dla systemów w zakresie PCI.
CASB (Cloud Access Security Broker)
Punkt egzekwowania polityki bezpieczeństwa umieszczony między konsumentami a dostawcami usług w chmurze, zapewniający zgodność i bezpieczeństwo danych w środowiskach chmurowych.
Controla zmian (Change Control)
Ustrukturyzowany proces przeglądania, testowania i zatwierdzania modyfikacji systemu z analizą wpływu na bezpieczeństwo.
DMZ (Demilitarized Zone)
Segment sieci zaprojektowany do bezpiecznego hostowania systemów dostępnych z zewnątrz.
DNS (Domain Name System)
System tłumaczący nazwy domen na adresy IP.
DORA (Digital Operational Resilience Act)
Rozporządzenie UE mające na celu poprawę odporności cyberbezpieczeństwa sektora finansowego.
Dane w postaci czystego tekstu (Cleartext Data)
Nieszyfrowane dane w ruchu lub w magazynie, podatne na ataki, jeśli nie są chronione.
Diagram przepływu danych (Data-Flow Diagram)
Reprezentacja wizualna pokazująca, jak dane przemieszczają się przez systemy, uwydatniając punkty podatności.
Dostawca usług (Service Provider)
Podmiot zewnętrzny zaangażowany w obsługę lub wpływający na bezpieczeństwo danych posiadacza karty w imieniu sprzedawców lub innych dostawców usług.
Dualna kontrola (Dual Control)
Praktyka operacyjna wymagająca udziału dwóch upoważnionych osób do wykonania funkcji krytycznych, takich jak zarządzanie kluczami kryptograficznymi.
ECC (Elliptic Curve Cryptography)
Metoda kryptograficzna łącząca wydajność i bezpieczeństwo, odpowiednia dla środowisk mobilnych lub o ograniczonych zasobach.
EDR (Endpoint Detection and Response)
Rozwiązanie bezpieczeństwa, które stale monitoruje i reaguje na zagrożenia na urządzeniach końcowych.
Encryption Algorithm
Matematyczny proces używany do bezpiecznego szyfrowania i deszyfrowania danych.
Exploit Kit
Zapakowany zestaw złośliwych narzędzi zaprojektowanych do identyfikacji luk w zabezpieczeniach i wdrażania złośliwego oprogramowania.
FIM (File Integrity Monitoring)
Technologia bezpieczeństwa, która wykrywa nieautoryzowane zmiany, dodania lub usunięcia krytycznych plików systemowych i alarmuje o nich, wspomagając zapobieganie i badanie incydentów bezpieczeństwa.
FTP (File Transfer Protocol)
Starszy protokół do transferu plików przez sieć, często niezabezpieczony, chyba że jest połączony z warstwami szyfrowania takimi jak SSH.
Firewall
Sprzęt lub oprogramowanie kontrolujące ruch sieciowy na podstawie zestawu reguł bezpieczeństwa, chroniące systemy przed nieautoryzowanym dostępem i atakami.
Forensics
Zastosowanie metod śledczych do gromadzenia i analizy dowodów cyfrowych związanych z naruszeniami bezpieczeństwa lub kompromitacją danych.
HSM (Hardware Security Module)
Bezpieczne fizyczne urządzenie używane do generowania, przechowywania i zarządzania kluczami kryptograficznymi, chroniąc je przed manipulacją i nieautoryzowanym dostępem.
Hashing
Jednokierunkowa funkcja kryptograficzna przekształcająca dane w ciąg o stałej długości, powszechnie używana do weryfikacji integralności danych bez ujawniania oryginalnych danych.
Honeypot
Celowo podatny system zaprojektowany do przyciągania atakujących, dostarczający wglądu w metody zagrożeń i wspierający środki obronne.
IDS (Intrusion Detection System)
System, który monitoruje aktywność sieci lub systemu pod kątem złośliwych działań lub naruszeń polityki i alertuje administratorów po ich wykryciu.
IPS (Intrusion Prevention System)
Aktywny system bezpieczeństwa, który wykrywa i automatycznie podejmuje działania w celu zablokowania złośliwych aktywności, zanim wpłyną one na system.
IRP (Incident Response Plan)
Udokumentowana strategia określająca role, obowiązki i procedury zarządzania incydentami bezpieczeństwa i odzyskiwania po nich.
ISA (Internal Security Assessor)
Osoba przeszkolona i kwalifikowana do wewnętrznej oceny zgodności swojej organizacji z PCI DSS.
ISO (International Organization for Standardization)
Globalny podmiot opracowujący i publikujący międzynarodowe standardy techniczne, w tym te wpływające na praktyki bezpieczeństwa płatności.
JWT (JSON Web Token)
Kompaktowy, bezpieczny dla adresu URL sposób reprezentowania żądań do przesłania między dwiema stronami, często używany w systemach uwierzytelniania i autoryzacji do bezpiecznego przesyłania informacji o użytkowniku.
Karta płatnicza (Payment Card)
Instrument płatniczy, fizyczny lub wirtualny, przestrzegający standardów marki i wymagający ochrony zgodnie z PCI DSS.
Kerberos
Protokół uwierzytelniania sieciowego, który wykorzystuje kryptografię klucza tajnego do bezpiecznej weryfikacji użytkownika w zaufanych domenach, zmniejszając ryzyko ujawnienia poświadczeń.
Kod usługi (Service Code)
Kod osadzony w danych ścieżki karty wskazujący ograniczenia użytkowania lub atrybuty usługi.
Kontrola dostępu fizycznego (Physical Access Control)
Środki bezpieczeństwa ograniczające fizyczne wejście do wrażliwych obszarów, w których znajdują się systemy lub dane istotne dla PCI.
Kryptanaliza (Crypt analysis)
Badanie polegające na analizowaniu algorytmów kryptograficznych w celu identyfikacji luk lub słabości.
LAN (Local Area Network)
Sieć ograniczona do określonego obszaru geograficznego, takiego jak budynek lub kampus, używana do łączenia systemów i urządzeń w celu wewnętrznej komunikacji zabezpieczonej zgodnie z wymaganiami PCI.
LDAP (Lightweight Directory Access Protocol)
Protokół ułatwiający pobieranie i organizowanie informacji katalogowych, powszechnie używany do scentralizowanego uwierzytelniania i autoryzacji użytkowników w środowiskach PCI.
Least Privilege (Zasada najniższych uprawnień)
Zasada bezpieczeństwa opowiadająca się za przyznawaniem minimalnego poziomu dostępu lub uprawnień niezbędnych użytkownikom lub procesom do pełnienia ich ról, minimalizując potencjalne nadużycie lub kompromitację.
MAC (Message Authentication Code)
Kryptograficzna suma kontrolna używana do weryfikacji integralności i autentyczności wiadomości lub danych, zapewniająca, że nie zostały one zmienione podczas transmisji.
MFA (Multi-Factor Authentication)
Metoda uwierzytelniania, która wymaga dwóch lub więcej czynników weryfikacji z niezależnych kategorii (wiedza, posiadanie, inherentność) w celu potwierdzenia tożsamości, znacząco zwiększając bezpieczeństwo dostępu.
Maskowanie (Masking)
Częściowe zaciemnianie elementów wrażliwych danych, takich jak wyświetlanie tylko ostatnich czterech cyfr PAN, w celu ochrony informacji o posiadaczu karty przy zachowaniu użyteczności.
NAC (Network Access Control)
Rozwiązanie bezpieczeństwa zapewniające, że tylko autoryzowane i zgodne urządzenia mogą uzyskać dostęp do zasobów sieciowych, odgrywające kluczową rolę w redukcji zakresu i ryzyk PCI.
NAT (Network Address Translation)
Metoda używana w sieciowaniu do ponownego mapowania adresów IP, często stosowana w celu ukrycia wewnętrznych struktur sieci i zwiększenia bezpieczeństwa w środowiskach PCI.
NIST (National Institute of Standards and Technology)
Amerykańska agencja federalna, która opracowuje standardy i wytyczne cyberbezpieczeństwa powszechnie przywoływane w ramach zgodności PCI i najlepszych praktykach.
NTP (Network Time Protocol)
Protokół używany do synchronizacji zegarów urządzeń sieciowych, niezbędny do precyzyjnego logowania i śladów audytowych w środowiskach PCI.
OWASP (Open Worldwide Application Security Project)
Otwarta społeczność i centrum zasobów dostarczające wytyczne, narzędzia i świadomość w zakresie bezpieczeństwa aplikacji internetowych, często przywoływane w kontrolach PCI DSS związanych z siecią web.
P2PE (Point-to-Point Encryption)
Technologia bezpieczeństwa szyfrująca dane posiadacza karty od punktu interakcji bezpośrednio do bezpiecznego punktu końcowego, minimalizując narażenie wrażliwych danych w środowisku sprzedawcy.
PAN (Primary Account Number)
Unikalny numeryczny identyfikator drukowany na kartach płatniczych, stanowiący główny element danych posiadacza karty chronionych zgodnie z PCI DSS.
PCI DSS (Payment Card Industry Data Security Standard)
Globalnie uznany zestaw wymagań bezpieczeństwa zaprojektowany w celu ochrony danych kart płatniczych we wszystkich organizacjach przetwarzających takie dane.
PIN (Personal Identification Number)
Tajny numer używany jako czynnik uwierzytelniania do weryfikacji tożsamości posiadacza karty podczas transakcji.
POS (Point of Sale System)
Środowisko sprzętowe i programowe używane przez sprzedawców do prowadzenia działań związanych z akceptacją płatności.
Posiadacz karty (Cardholder)
Osoba fizyczna, która jest właścicielem lub jest upoważniona do korzystania z karty płatniczej.
Procesor płatności (Payment Processor)
Podmiot ułatwiający przetwarzanie transakcji płatniczych w imieniu sprzedawców i nabywców, podlegający kontrolom PCI DSS.
QIR (Qualified Integrator or Reseller)
Specjaliści upoważnieni przez PCI do bezpiecznej instalacji i konfiguracji rozwiązań płatniczych, zapewniający zgodność z PCI.
QPA (Qualified PIN Assessor)
Certyfikowany podmiot odpowiedzialny za walidację wdrożenia zabezpieczeń PIN.
QSA (Qualified Security Assessor)
Organizacja zatwierdzona przez PCI SSC do weryfikacji zgodności z wymaganiami PCI DSS.
REB (Regional Engagement Board)
Organ ułatwiający regionalną współpracę i zapewniający wytyczne dotyczące wdrożeń PCI.
ROC (Report on Compliance)
Szczegółowy raport dokumentujący wyniki oceny PCI DSS podmiotu.
Rozdział obowiązków (Separation of Duties)
Podział odpowiedzialności między personel w celu zmniejszenia ryzyka oszustw i błędów.
SAQ (Self-Assessment Questionnaire)
Narzędzie używane przez sprzedawców i dostawców usług do samooceny ich statusu zgodności z PCI DSS.
SAD (Sensitive Authentication Data)
Wysoce poufne informacje, takie jak pełne dane ścieżki i PINy, używane podczas autoryzacji transakcji, których nie należy przechowywać po autoryzacji.
Secure Coding (Bezpieczne programowanie)
Praktyki programistyczne mające na celu wyeliminowanie luk w zabezpieczeniach w kodzie aplikacji.
Segmentation (Segmentacja)
Podział sieci w celu odizolowania systemów istotnych dla PCI od innych części, redukując ryzyko i zakres.
SNMP (Simple Network Management Protocol)
Protokół do zarządzania urządzeniami w sieciach IP, który musi być zabezpieczony w środowiskach PCI, aby zapobiec nieautoryzowanemu dostępowi.
SQL (Structured Query Language)
Język programowania używany do zarządzania relacyjnymi bazami danych i wykonywania na nich zapytań, często będący celem ataków typu injection, jeśli nie jest właściwie zabezpieczony.
SSH (Secure Shell)
Protokół sieciowy zapewniający zaszyfrowaną komunikację i bezpieczne możliwości zdalnego logowania.
SSL (Secure Sockets Layer)
Starszy protokół zabezpieczający komunikację internetową, w dużej mierze zastąpiony przez TLS.
TAB (Technical Advisory Board)
Grupa ekspercka doradzająca PCI SSC w kwestiach technicznych dotyczących standardów i wymagań bezpieczeństwa.
TDES (Triple Data Encryption Standard)
Standard kryptograficzny stosujący trzykrotne szyfrowanie DES w celu zwiększonej ochrony danych.
TELNET
Protokół sieciowy do zdalnego dostępu do interfejsu wiersza poleceń, ogólnie uważany za niezabezpieczony bez dodatkowych warstw szyfrowania.
TGG (Technology Guidance Group)
Komitet PCI SSC, który opracowuje materiały instruktażowe i wyjaśnienia dotyczące implementacji.
TLS (Transport Layer Security)
Nowoczesny protokół kryptograficzny zapewniający bezpieczną komunikację przez sieci, standard w PCI DSS do szyfrowania danych podczas przesyłania.
Token
Wartość zastępcza zastępująca wrażliwe dane w transakcjach, zmniejszająca narażenie rzeczywistych danych karty.
TPSP (Third-Party Service Provider)
Zewnętrzna organizacja świadcząca usługi, które obejmują przetwarzanie danych płatniczych lub wpływ na bezpieczeństwo PCI.
Truncation (Skracanie)
Usuwanie części PAN w celu uczynienia go nieczytelnym poza tym, co jest konieczne dla potrzeb biznesowych, uzupełniając maskowanie.
Uwierzytelnianie (Authentication)
Proces weryfikacji tożsamości podmiotu za pomocą poświadczeń i czynników bezpieczeństwa.
Uwierzytelnianie biometryczne (Biometric Authentication)
Wykorzystanie cech fizycznych lub behawioralnych — takich jak odcisk palca, rozpoznawanie twarzy lub głos — do weryfikacji tożsamości.
Uwierzytelnianie odporne na phishing (Phishing Resistant Authentication)
Mechanizmy uwierzytelniania zaprojektowane w celu zapobiegania kradzieży poświadczeń poprzez ataki phishingowe, często wykorzystujące kryptograficzny sprzęt lub klucze asymetryczne.
Wydawca (Issuer)
Instytucja finansowa wydająca karty płatnicze konsumentom, odpowiedzialna za autoryzację transakcji i zarządzanie kontami posiadaczy kart.
Wymuszanie aplikacji (Application Hardening)
Techniki zabezpieczania aplikacji przed manipulacją, inżynierią wsteczną lub wykorzystaniem.