PCI DSS

1. PCI DSS Payment Card Industry Data Security Standards

2. PCI DSS - Agenda • Způsoby získání dat o kartách • Krádeže dat • PCI DSS • Co je PCI DSS • Na koho se pravidla vztahují • PCI DSS v rámci SBK • Závěr

3. 1. Způsoby získání dat o kartách • Skimming • Mechanické zařízení na ATM nebo POS terminálu, které kopíruje data přímo z karty • Phishing • Získávání dat o kartě přímo od držitele karty formou dotazníků. Využívá nepozornosti a důvěřivosti držitelů karet • Krádeže dat • Získávání dat z databází obchodníků, Service providerů nebo bankovních domů

4. 2. Krádeže dat • USA • Rok:2009 • Počet ukradených dat: 100 mil. karet • Pokuta pro Heartland Payment Services: 12,5 mil. USD • Náklady dotčených společností: 600 mil. USD • Španělsko • Rok:2009 • Počet ohrožených klientů: stovky tisíc • Náklady spojené s takovou krádeží dat:1-5 mil. USD

5. 3.PCI DSS • Dohoda 5 globálních kartových společností (VISA, MC, AMEX, JCB, DISCOVER) na vytvoření pravidel pro zajištění bezpečnosti dat • PCI SSC • Payment Card Industry Security Standards Council • PCI DSS • Payment Card Industry Data Security Standards

6. 3. PCI DSS • PA-DSS (následník PABP) • PCI-PTS (Dříve PED) (UPT, EPP, POS, HSM) • Blízká budoucnost : PCI ATM PCI DSS v 1.3

7. 4. Co je PCI DSS • Soubor pravidel (platných od roku 2006) pro zajištění dostatečné bezpečnosti autentifikačních dat a dat o držitelích karet

8. 4. Co je PCI DSS • Pravidla jsou rozdělená do 12 sekcí

9. 4. Co je PCI DSS • Kompletní pravidla jsou k dispozici na www.pcistandard.cz • PCI DSS pravidla jsou aplikována na všechny systémové komponenty, kde se ukládají, procesují nebo přenáší data držitelů karet nebo citlivá autentifikační data • Servery • Aplikace • Jakékoliv síťové prvky

10. 5. Na koho se pravidla vztahují • Member Service Providers/Third Party processors • ACQ Banky (včetně ATM Bank) • Všechny obchodníky

11. 5. Na koho se pravidla vztahují MSP/TPP Je nutná certifikace PCI DSS compliant (QSA) Certifikace probíhá v několika fázích 1. Fáze – On Site Audit 2. Fáze – Odstranění nedostatků 3. Fáze – Finální certifikace Následuje pravidelný Annual On-site audit a pravidelný čtvrtletní Network Scan (ASV)

12. 5. Na koho se pravidla vztahují BANKY • Stejné certifikace jako u MSP/TPP • Součástí jsou pravidelné čtvrtletní reporty o stavu banky a jejích obchodníků v rámci PCI DSS

13. 5. Na koho se pravidla vztahují OBCHODNÍCI • PCI DSS pravidla se vztahují na všechny obchodníky • PCI-DSS definuje 4 úrovně, do kterých jsou obchodníci zařazeni dle typu a počtu transakcí za rok • Ke každé úrovni PCI-DSS definuje kritéria, které obchodník musí splňovat • Tyto úrovně jsou definovány následovně

14. 5. Na koho se pravidla vztahují

15. 6. PCI DSS v rámci SBK • Platforma jejímiž členy jsou všechny ACQ banky na českém trhu • Hlavní cíl skupiny • Sjednotit výklad PCI DSS pravidel v rámci českého trhu • Vytvořili jsme stránky www.pcistandard.cz kde jsou k dispozici kompletní pravidla + vysvětlení jednotlivých formulářů a také seznam QSA a QSV

16. 8. Závěr • PCI DSS je velmi komplikované, časově i finančně náročné téma • PCI DSS pravidla a jejich aplikace budou mít dopady i do dalšího businessu jednotlivých bank, MPP/TPP a obchodníků • Další bližší informace můžete zjistit na stránce www.pcistandard.cz