Mokėjimo kortelių duomenų apsaugos standartas ir saugotini mokėjimo kortelių duomenys
Mokėjimo kortelių duomenų apsaugos standartas (angl. PCI DSS – Payment Card Industry Data Security Standard) yra pagrindinis dokumentas, nustatantis mokėjimo kortelių duomenų apsaugos reikalavimus. Tarptautinės mokėjimo kortelių organizacijos „VISA International“, „MasterCard Worldwide“, „American Express“, „Discover Financial Services“ ir „JCB International“, norėdamos apsaugoti mokėjimo kortelių duomenis nuo neteisėto panaudojimo, pvz., mokėjimo kortelės kopijos pagaminimo ar neteisėto mokėjimo kortelės panaudojimo atsiskaitant internetu, 2004 metais įkūrė Mokėjimo kortelių duomenų apsaugos tarybą (angl. PCI SSC – Payment Card Industry Security Standards Council) ir parengė Mokėjimo kortelių duomenų apsaugos standartą. Standartas yra nuolatos atnaujinamas.
Tarptautinės mokėjimo kortelių organizacijos nustato, kad standarto privalo laikytis visos bendrovės (pvz., prekybos įmonės), priimančios atsiskaitymus pirmiau nurodytų Tarptautinių mokėjimo kortelių organizacijų išleistomis mokėjimo kortelėmis arba tvarkančios saugotinus mokėjimo kortelių duomenis.
Saugotini mokėjimo kortelių duomenys
| Duomenys | Duomenų tipas | Ar leidžiama saugoti? | Ar būtina apsaugoti? |
|---|---|---|---|
|
Saugotini mokėjimo kortelės duomenys |
Visas mokėjimo kortelės numeris | Taip | Taip* |
| Kortelės turėtojo vardas ir pavardė | Taip | Ne | |
| Kortelės tipo požymis (angl. Service code) | Taip | Ne | |
| Kortelės galiojimo data | Taip | Ne | |
|
Atsiskaitymo metu perduodami saugotini mokėjimo kortelės duomenys |
Visa kortelės informacija, (magnetinės juostelės, ekvivalenti lusto informacija ar kita informacija) (angl. Full track data) | Ne | – |
| Kortelės saugos kodas (angl. CVV2/CVC2) | Ne | – | |
| PIN kodas/ šifruota PIN kodo reikšmė (angl. PIN/ PIN block) | Ne | – |
* Standarte nustatyta, kad jei bendrovė saugo visą mokėjimo kortelės numerį, jis turi būti saugomas taip, kad nebūtų įmanoma matyti tikrosios informacijos, t. y. užšifruojant mokėjimo kortelės numerį (angl. hashed, encrypted, tokenised).
Atsiskaitymo metu perduodami saugotini mokėjimo kortelės duomenys turi būti nesaugomi po autorizacijos, net jei šie duomenys yra šifruoti, net ir tokiu atveju, jei kortelės numeris nėra išsaugomas.
Mokėjimo duomenų apsaugos standartą sudaro dvylika pagrindinių reikalavimų (angl. requirements) grupių. Šiais reikalavimais siekiama šešių tikslų (angl. control objectives).
Standarto reikalavimai ir siektini tikslai
| Siekiamas tikslas | Reikalavimas |
|---|---|
|
Nuolatos užtikrinti įmonės kompiuterinio tinklo saugumą |
1. Įdiegti užkardas (angl. firewall) ir nuolat prižiūrėti (angl. maintain) jų nustatymus |
| 2. Sukurti unikalius slaptažodžius ir nenaudoti įprastų, iš anksto gamintojo nustatytų slaptažodžių ir kitų kompiuterinių sistemų parametrų, galinčių lemti saugumą | |
|
Apsaugoti mokėjimo kortelių duomenis |
3. Tinkamai apsaugoti saugotinus mokėjimo kortelių duomenis |
| 4. Encrypt transmission of cardholder data across open, public networks | |
|
Įdiegti / sukurti kompiuterinių sistemų pažeidžiamų (angl. vulnerability) aptikimo ir jų valdymo procesą |
5. Naudoti nuolatos atnaujinamas antivirusines programas visose sistemose, kuriose apdorojami saugotini mokėjimo kortelių duomenys |
| 6. Kurti ir naudoti saugias kompiuterines sistemas ir aplikacijas | |
|
Vykdyti griežtą prieigos kontrolę |
7. Apriboti galimybę elektroniniu būdu pasiekti saugotinus mokėjimo kortelių duomenis |
| 8. Prieigos prie sistemos komponentų turi būti autentifikuotos ir patvirtinamos (identify and authenticate) | |
| 9. Apriboti galimybę fiziškai prieiti prie saugotinų mokėjimo kortelių duomenų | |
|
Reguliariai tikrinti ir stebėti (angl. monitor) organizacijos kompiuterinius tinklus ir saugos sistemas |
10. Stebėti ir fiksuoti visus bandymus prisijungti prie įmonės kompiuterinio tinklo, sistemų ir bandymus gauti saugotinus mokėjimo kortelių duomenis |
| 11. Nuolatos tikrinti (angl. test) saugos sistemas | |
|
Dokumentuoti informacijos saugos priemones ir procedūras |
12. Turėti ir nuolat atnaujinti informacijos saugos politiką, taikomą visiems darbuotojams. |
