Keisti kalbą:

Mokėjimo kortelių duomenų saugumas

Paragraphs

Mokėjimo kortelių duomenų apsaugos standartas ir saugotini mokėjimo kortelių duomenys

 

Mokėjimo kortelių duomenų apsaugos standartas (angl. PCI DSS – Payment Card Industry Data Security Standard) yra pagrindinis dokumentas, nustatantis mokėjimo kortelių duomenų apsaugos reikalavimus. Tarptautinės mokėjimo kortelių organizacijos „VISA International“, „MasterCard Worldwide“, „American Express“, „Discover Financial Services“ ir „JCB International“, norėdamos apsaugoti mokėjimo kortelių duomenis nuo neteisėto panaudojimo, pvz., mokėjimo kortelės kopijos pagaminimo ar neteisėto mokėjimo kortelės panaudojimo atsiskaitant internetu, 2004 metais įkūrė Mokėjimo kortelių duomenų apsaugos tarybą (angl. PCI SSC – Payment Card Industry Security Standards Council) ir parengė Mokėjimo kortelių duomenų apsaugos standartą. Standartas yra nuolatos atnaujinamas.

Naujausia standarto versija

Tarptautinės mokėjimo kortelių organizacijos nustato, kad standarto privalo laikytis visos bendrovės (pvz., prekybos įmonės), priimančios atsiskaitymus pirmiau nurodytų Tarptautinių mokėjimo kortelių organizacijų išleistomis mokėjimo kortelėmis arba tvarkančios saugotinus mokėjimo kortelių duomenis.

Saugotini mokėjimo kortelių duomenys

Duomenys Duomenų tipas Ar leidžiama saugoti? Ar būtina apsaugoti?

Saugotini mokėjimo kortelės duomenys

Visas mokėjimo kortelės numeris Taip Taip*
Kortelės turėtojo vardas ir pavardė Taip Ne
Kortelės tipo požymis (angl. Service code) Taip Ne
Kortelės galiojimo data Taip Ne

Atsiskaitymo metu perduodami saugotini mokėjimo kortelės duomenys
(angl. Sensitive authentication data)

Visa kortelės informacija, (magnetinės juostelės, ekvivalenti lusto informacija ar kita informacija) (angl. Full track data) Ne
Kortelės saugos kodas (angl. CVV2/CVC2) Ne
PIN kodas/ šifruota PIN kodo reikšmė (angl. PIN/ PIN block) Ne

* Standarte nustatyta, kad jei bendrovė saugo visą mokėjimo kortelės numerį, jis turi būti saugomas taip, kad nebūtų įmanoma matyti tikrosios informacijos, t. y. užšifruojant mokėjimo kortelės numerį (angl. hashed, encrypted, tokenised).

Atsiskaitymo metu perduodami saugotini mokėjimo kortelės duomenys turi būti nesaugomi po autorizacijos, net jei šie duomenys yra šifruoti, net ir tokiu atveju, jei kortelės numeris nėra išsaugomas.

Mokėjimo duomenų apsaugos standartą sudaro dvylika pagrindinių reikalavimų (angl. requirements) grupių. Šiais reikalavimais siekiama šešių tikslų (angl. control objectives).

Standarto reikalavimai ir siektini tikslai

Siekiamas tikslas Reikalavimas

Nuolatos užtikrinti įmonės kompiuterinio tinklo saugumą

1. Įdiegti užkardas (angl. firewall) ir nuolat prižiūrėti (angl. maintain) jų nustatymus
2. Sukurti unikalius slaptažodžius ir nenaudoti įprastų, iš anksto gamintojo nustatytų slaptažodžių ir kitų kompiuterinių sistemų parametrų, galinčių lemti saugumą

Apsaugoti mokėjimo kortelių duomenis

3. Tinkamai apsaugoti saugotinus mokėjimo kortelių duomenis
4. Encrypt transmission of cardholder data across open, public networks

Įdiegti / sukurti kompiuterinių sistemų pažeidžiamų (angl. vulnerability) aptikimo ir jų valdymo procesą

5. Naudoti nuolatos atnaujinamas antivirusines programas visose sistemose, kuriose apdorojami saugotini mokėjimo kortelių duomenys
6. Kurti ir naudoti saugias kompiuterines sistemas ir aplikacijas

Vykdyti griežtą prieigos kontrolę

7. Apriboti galimybę elektroniniu būdu pasiekti saugotinus mokėjimo kortelių duomenis
8. Prieigos prie sistemos komponentų turi būti autentifikuotos ir patvirtinamos (identify and authenticate)
9. Apriboti galimybę fiziškai prieiti prie saugotinų mokėjimo kortelių duomenų

Reguliariai tikrinti ir stebėti (angl. monitor) organizacijos kompiuterinius tinklus ir saugos sistemas

10. Stebėti ir fiksuoti visus bandymus prisijungti prie įmonės kompiuterinio tinklo, sistemų ir bandymus gauti saugotinus mokėjimo kortelių duomenis
11. Nuolatos tikrinti (angl. test) saugos sistemas

Dokumentuoti informacijos saugos priemones ir procedūras

12. Turėti ir nuolat atnaujinti informacijos saugos politiką, taikomą visiems darbuotojams.