Blog space

Zakres certyfikacji PCI DSS – od czego zacząć i jak go określić?

W tym artykule znajdziesz:

  • Czym jest PCI DSS i kiedy sie stosuje
  • Jak ustalić zakres certyfikacji
  • Jak udokumentować zakres certyfikacji
zakres,PCI DSS,ograniczenie zakresu,PCI

Czym jest standard PCI DSS i jaka jest jego istota?

PCI DSS (Payment Card Industry Data Security Standard) to międzynarodowy standard bezpieczeństwa, który definiuje 12 wymogów bezpieczeństwa dla

a) akceptantów transakcji płatniczych (zarówno retailowych jak i m/e-commerce) oraz
b) dostawców usług.

Istotą standardu jest ochrona danych kartowych (numer karty, data wygaśnięcia karty, imię i nazwisko posiadacza karty, kod PIN/CVV) jednakże praktyka PCI DSS skupia się na ochronie danych kartowych – przede wszystkim:

a) pełnego numeru karty kredytowej (wszystkich 16 lub więcej cyfr),
b) danych autoryzacyjnych (kod PIN, pasek magnetyczny i/lub kod CVV/CVC).

W przypadku, kiedy organizacja procesuje albo dane niepełne (np. w formie 5543 – 21** – **** – 1234 lub **** – **** – **** – 1234) albo tokeny płatnicze albo dane zaszyfrowane (bez posiadania dostępu do kluczy deszyfrujących) – takie organizacje najczęściej nie są w zakresie certyfikacji PCI DSS (zobacz FAQ).

Co wchodzi w zakres certyfikacji (4P certyfikacji)

Ustalenie zakresu certyfikacji jest pierwszym krokiem, który musi wykonać każda organizacja podchodząca do certyfikacji PCI DSS. Poprzez zakres certyfikacji rozumie się

a) Technologie (ang Product),
b) Ludzi (ang. People),
c) Podwykonawców (ang. Partners),
d) Procesy zarządzania (ang. Process),

które przesyłają, przetwarzają lub przechowują pełne numery kart lub mają dostęp do tych komponentów lub mogą wpłynąć na bezpieczeństwo danych kartowych. Zgodnie z wymogiem 12.5.2 standardu PCI DSS v4.0 zakres musi być udokumentowany oraz minimum raz do roku przeglądany i aktualizowany.

Jak samodzielnie ustalić zakres Twojej certyfikacji PCI DSS?

Określenie zakresu certyfikacji PCI DSS to pierwszy i najtrudniejszy element, kiedy podchodzisz do tematu certyfikacji PCI DSS. Metodę opisaną poniżej stosuję z powodzeniem od ponad 15 lat i bazuje ona na pochodzącym z 2012 roku dokumencie (PCI DSS Scoping toolkit).

Jak samodzielnie ustalić zakres certyfikacji PCI DSS ? 3 kategorie urządzeń w zakresie PCI DSS

Krok 1 – ustalmy procesy biznesowe, które są zaprojektowane do przetwarzania, przesyłania lub przechowywania danych kartowych. Bardzo ważne jest tutaj rozróżnienie pomiędzy procesami, gdzie dostęp do danych kartowych jest zaplanowany (np. strona www procesująca płatności online). Z tego kroku musimy usunąć wszystkie systemy, gdzie numer karty może pojawić się incydentalnie (np. system mailowy) – te systemy zwykle nie są w zakresie certyfikacji PCI DSS.

Krok 2 – Wprowadzamy trzy kategorie urządzeń i przypisujemy kategorię do każdego urządzenia wspierającego procesy biznesowe opisane w kroku 1:

Kategoria 1
są to systemy, urządzenia sieciowe, komponenty chmurowe, stacje robocze które przesyłają, przechowują lub przetwarzają dane kartowe w postaci jawnej. Najczęściej będą to serwery bazodanowe, serwery aplikacji, routery, switche, urządzenia typu firewall i/lub WAF lub inne aplikacje biznesowe, stacje robocze użytkowników pracujących na tych aplikacjach etc.
W ramach kategorii 1 są także urządzenia, które nie mają dostępu do danych kartowych, ale nie są od nich oddzielone (np. przez segmentację). Określa się je jako urządzenia Kategorii 1a (urządzenia „pobrudzone” danymi kartowymi). O ile segmentacja nie jest wymogiem PCI DSS, jest ona zwykle zalecana do ograniczenia zakresu a co za tym idzie kosztów uzyskania i utrzymania certyfikatu PCI DSS.
Urządzenia kategorii 1 stanowią tzw. Środowisko przetwarzania kart (ang. Cardholder data environment lub CDE)

Kategoria 2
są to systemy, urządzenia sieciowe, komponenty chmurowe, stacje robocze, które nie mają dostępu do danych kartowych, są oddzielone od urządzeń kategorii 1 (np. znajdują się w innym VLANie), ale odpowiadają za ich bezpieczeństwo. Są to najczęściej wszelkiego rodzaju „managementy” – stacje administracyjne, serwery czasu, serwery autoryzacyjne (np. Active Directory), stacje do skanowania sieci, systemy logów etc.

Kategoria 3
są to systemy, urządzenia sieciowe, komponenty chmurowe, stacje robocze, które nie mają dostępu do danych kartowych, są od nich odseparowane sieciowo oraz naruszenie ich bezpieczeństwa nie skutkuje naruszeniem bezpieczeństwa urządzeń kategorii 1. Są to najczęściej urządzenia efektywnie odseparowane od środowiska kartowego – np. stacje robocze podpięte do tego samego kontrolera domeny.

Krok 3 – posiadając ustalone środowisko informatyczne oraz biznesowe – do tego dokładamy pozostałe elementy 4 P – czyli

a) Podwykonawców którzy mają dostęp do naszego środowiska przetwarzania kart lub 
z którymi możemy bezpośrednio lub pośrednio współdzielić dane kartowe. Pośrednie współdzielenie danych kartowych to np. hosting lub zarządzanie bezpieczeństwem 
fizycznym – bezpośrednio Ci dostawcy nie mają dostępu do danych kartowych, ale mogą wpłynąć na dane kartowe

b) Ludzi, którzy zarządzają danymi komponentami, tworzą, testują i wdrażają kod. Dotyczy to także pracowników lub współpracowników którzy akceptują płatności, zarządzają procesami HR, relacjami z dostawcami, bezpieczeństwem informacji. Standard PCI DSS nie wymaga, aby mieć dedykowane zespoły do obsługi środowiska CDE.

c) Procesy zarządzania – takie jak zarządzanie zmianami, ryzykiem, podatnościami, proces rozwoju oprogramowania i wiele innych.

Jak udokumentować zakres PCI DSS - 5 kroków do spełnienia nowego wymogu PCI DSS

Masz pytania jeśli chodzi o Twój zakres certyfikacji, lub nie masz pomysłu jak go ograniczyć  – odezwij się do nas. Mamy ponad 15 lat doświadczeń pracy ze standardem PCI DSS – znajdziemy rozwiązanie także i na Twój problem.

Nie kupuj kota w worku -
umów się na bezpłatną konsultację i sprawdź, jak możemy Ci pomóc

Bezpłatna konsultacja
Formularz kontaktowy
zakres,PCI DSS,ograniczenie zakresu,PCI

Skorzystaj z formularza kontaktowego lub skontaktuj się z nami bezpośrednio.

Patronusec Sp z o. o.

Biuro:
ul. Święty Marcin 29/8
61-806 Poznań, Polska

KRS: 0001039087
REGON: 525433988
NIP: 7831881739
D-U-N-S: 989454390
LEI: 259400NAR8ZOX1O66C64

To top