Switch to mobile version. Į viršų

Verslo klientams

Mokėjimo kortelių duomenų saugumas

Mokėjimo kortelių duomenų apsaugos standartas ir saugotini mokėjimo kortelių duomenys

Mokėjimo kortelių duomenų apsaugos standartas (angl. PCI DSS – Payment Card Industry Data Security Standard) yra pagrindinis dokumentas, nustatantis mokėjimo kortelių duomenų apsaugos reikalavimus. Tarptautinės mokėjimo kortelių organizacijos „VISA International“, „MasterCard Worldwide“, „American Express“, „Discover Financial Services“ ir „JCB International“, norėdamos apsaugoti mokėjimo kortelių duomenis nuo neteisėto panaudojimo, pvz., mokėjimo kortelės kopijos pagaminimo ar neteisėto mokėjimo kortelės panaudojimo atsiskaitant internetu, 2004 metais įkūrė Mokėjimo kortelių duomenų apsaugos tarybą (angl. PCI SSC – Payment Card Industry Security Standards Council) ir parengė Mokėjimo kortelių duomenų apsaugos standartą. Standartas yra nuolatos atnaujinamas. Naujausia standarto versija.

Tarptautinės mokėjimo kortelių organizacijos nustato, kad standarto privalo laikytis visos bendrovės (pvz., prekybos įmonės), priimančios atsiskaitymus pirmiau nurodytų Tarptautinių mokėjimo kortelių organizacijų išleistomis mokėjimo kortelėmis arba tvarkančios saugotinus mokėjimo kortelių duomenis.

Saugotini mokėjimo kortelių duomenys

  Duomenų tipas Ar leidžiama saugoti? Ar būtina apsaugoti?
Saugotini mokėjimo kortelės duomenys Visas mokėjimo kortelės numeris Taip Taip*
Kortelės turėtojo vardas ir pavardė Taip Ne
Kortelės tipo požymis (angl. Service code) Taip Ne
Kortelės galiojimo data Taip Ne
Atsiskaitymo metu perduodami saugotini
mokėjimo kortelės duomenys

(angl. Sensitive authentication data)
Visa kortelės informacija, (magnetinės juostelės, ekvivalenti lusto informacija ar kita informacija) (angl. Full track data) Ne
Kortelės saugos kodas (angl. CVV2/CVC2) Ne
PIN kodas/ šifruota PIN kodo reikšmė (angl. PIN/ PIN block) Ne

* Standarte nustatyta, kad jei bendrovė saugo visą mokėjimo kortelės numerį, jis turi būti saugomas taip, kad nebūtų įmanoma matyti tikrosios informacijos, t. y. užšifruojant mokėjimo kortelės numerį (angl. hashed, encrypted, tokenised).

Atsiskaitymo metu perduodami saugotini mokėjimo kortelės duomenys turi būti nesaugomi po autorizacijos, net jei šie duomenys yra šifruoti, net ir tokiu atveju, jei kortelės numeris nėra išsaugomas.

Mokėjimo duomenų apsaugos standartą sudaro dvylika pagrindinių reikalavimų (angl. requirements) grupių. Šiais reikalavimais siekiama šešių tikslų (angl. control objectives).

Standarto reikalavimai ir siektini tikslai

Siekiamas tikslas Reikalavimas
Nuolatos užtikrinti įmonės kompiuterinio tinklo saugumą 1. Įdiegti užkardas (angl. firewall) ir nuolat prižiūrėti (angl. maintain) jų nustatymus
2. Sukurti unikalius slaptažodžius ir nenaudoti įprastų, iš anksto gamintojo nustatytų slaptažodžių ir kitų kompiuterinių sistemų parametrų, galinčių lemti saugumą
Apsaugoti mokėjimo kortelių duomenis 3. Tinkamai apsaugoti saugotinus mokėjimo kortelių duomenis
4. Užšifruoti saugotinus  mokėjimo kortelių duomenis, siunčiamus viešaisiais (angl. public) kompiuterių tinklais
Įdiegti / sukurti kompiuterinių sistemų pažeidžiamų (angl. vulnerability) aptikimo ir jų valdymo procesą 5. Naudoti nuolatos atnaujinamas antivirusines programas visose sistemose, kuriose apdorojami saugotini mokėjimo kortelių duomenys
6. Kurti ir naudoti saugias kompiuterines sistemas ir aplikacijas
Vykdyti griežtą prieigos kontrolę 7. Apriboti galimybę elektroniniu būdu pasiekti saugotinus mokėjimo kortelių duomenis
8. Prieigos prie sistemos komponentų turi būti autentifikuotos ir patvirtinamos (identify and authenticate)
9. Apriboti galimybę fiziškai prieiti prie saugotinų mokėjimo kortelių duomenų
Reguliariai tikrinti ir stebėti (angl. monitor) organizacijos kompiuterinius tinklus ir saugos sistemas 10. Stebėti ir fiksuoti visus bandymus prisijungti prie įmonės kompiuterinio tinklo, sistemų ir bandymus gauti saugotinus mokėjimo kortelių duomenis
11. Nuolatos tikrinti (angl. test) saugos sistemas
Dokumentuoti informacijos saugos priemones ir procedūras 12. Turėti ir nuolat atnaujinti informacijos saugos politiką, taikomą visiems darbuotojams.

 

Kontaktai

  • „Skype“
  • Rašykite mums
  • Lizingo departamento kontaktai
S|E|B

Attention! Your web browser does not correspond to the requirements needed to visit SEB website. Please change web browser or device that you use for browsing the site.

Attention! Your web browser does not correspond to the requirements needed to visit SEB website. Please change web browser or device that you use for browsing the site.