Certyfikacja PCI DSS

Kompleksowe usługi z zakresu certyfikacji dla Twojej firmy

PCI DSS v4.0

nowa wersja standardu. Co należy wiedzieć, by nie utracić certyfikatu:

Certyfikat PCI DSS

Standard PCI DSS (Payment Card Industry Data Security Standard) – to zbiór wymagań dotyczących zapewnienia bezpieczeństwa danych posiadaczy kart płatniczych, gdy dane te są przechowywane, przesyłane i/lub przetwarzane w infrastrukturze informatycznej organizacji.
Głównym celem standardu PCI DSS jest zapewnienie bezpieczeństwa infrastruktury sieciowej i ochrona przechowywanych danych posiadaczy kart płatniczych, ponieważ elementy te są najbardziej narażone na bezpośrednie ryzyko utraty poufności, a w konsekwencji utraty środków.
Aby zagwarantować bezpieczeństwo środków swoich klientów, firmy takie jak VISA i MasterCard wymagają zgodności ze standardem PCI DSS od przedsiębiorstw handlowych i usługodawców przyjmujących płatności od klientów za pośrednictwem tych systemów płatniczych.
Standard PCI DSS reguluje zasady użytkowania systemów płatniczych, a także procesy ich tworzenia i kontroli.
Wymagania standardu PCI DSS dotyczą przedsiębiorstw handlowych, banków, dostawców różnego rodzaju usług, sklepów detalicznych, centrów obsługi telefonicznej, bramek płatniczych oraz innych firm i organizacji, których działalność wiąże się z przetwarzaniem, przesyłaniem i przechowywaniem danych posiadaczy kart płatniczych.
Standard obejmuje 12 precyzyjnych, szczegółowych wymagań:

    Ochrona sieci lokalnej;
    Konfiguracja elementów infrastruktury informatycznej;
    Ochrona przechowywanych danych posiadaczy kart;
    Ochrona przesyłanych danych posiadaczy kart;
    Ochrona antywirusowa infrastruktury informatycznej;
    Rozwój i wsparcie systemów informatycznych;
    Zarządzanie dostępem do danych posiadaczy kart;
    Mechanizmy uwierzytelniania;
    Fizyczna ochrona infrastruktury informatycznej;
    Zarządzanie bezpieczeństwem informacji;
    Logowanie zdarzeń i procesów;
    Kontrola bezpieczeństwa infrastruktury informatycznej.

Zalety PCI DSS


Ochrona poufnych danych

W dobie zaciekłej konkurencji kradzież istotnych danych może wywołać skrajnie negatywne skutki dla firmy. Zgodność ze standardem PSI DSS pozwala zminimalizować ryzyko

Zgodność ze standardami międzynarodowymi

Standard PCI DSS jest powszechnie stosowany we wszystkich krajach UE i jest niezbędny do prowadzenia legalnej działalności

Zmniejszenie ryzyka dla reputacji

Bezpieczeństwo danych i pieniędzy klientów jest bezpośrednio związane z reputacją firmy. Jeśli klient straci pieniądze z powodu zaniedbania firmy związanego z brakiem zgodności ze standardem PCI DSS, to ucierpi na tym przede wszystkim reputacja tej firmy

Komu potrzebny jest certyfikat PCI DSS?

Certyfikacja PCI DSS dla banków i centrów przetwarzania danych

Banki i centra przetwarzania danych są bezpośrednio połączone z międzynarodowymi systemami płatniczymi. Aby zagwarantować bezpieczeństwo środków swoich klientów, liderzy rynku systemów płatniczych, tacy jak Visa i MasterCard, obowiązkowo wymagają od banków i centrów przetwarzania danych zgodności ze standardem PCI DSS.Wiele banków tworzy własne systemy przetwarzania transakcji, co wymaga czasu i solidnego finansowania. Inne banki wybierają prostszy sposób — podłączenie do istniejącego już na rynku, zewnętrznego, niezależnego centrum przetwarzania danych. Oczywiście bezpieczeństwo danych kart płatniczych jest dla takich instytucji niezwykle ważne, a złamanie zabezpieczeń może doprowadzić do ogromnych strat finansowych i spadku ogólnego zaufania do płatności kartą. Dlatego też muszą być spełnione wymagania standardu PCI DSS. W przypadku banków i centrów przetwarzania danych wymagania standardu PCI DSS są najbardziej rozbudowane i rygorystyczne. Proces rozliczania pieniądza elektronicznego wymaga szczególnych, stałych zabezpieczeń. Taki poziom bezpieczeństwa mogą zagwarantować tylko organizacje spełniające wszystkie wymagania standardu PCI DSS.

Certyfikacja PCI DSS dla agencji turystycznych

Każdy pracownik branży turystycznej zdaje sobie sprawę z istnienia Międzynarodowego Zrzeszenia Przewoźników Powietrznych IATA. W 2016 roku wprowadzono nowe wymaganie wobec wszystkich firm z branży turystycznej wykorzystujących internetowy system rezerwacji IATA.
Wymóg ten był bardzo prosty: do 01.03.2018 r. wszyscy uczestnicy systemu IATA musieli mieć obowiązkowy certyfikat zgodności ze standardem PCI DSS. Mówiąc prościej, certyfikat PCI DSS jest niezbędny dla Twojego biura podróży, aby zagwarantować bezpieczeństwo danych i środków Twoich klientów podczas płatności kartami — Visa, MasterCard itp.
Bez tego certyfikatu istnieje bardzo duże prawdopodobieństwo przejęcia danych Twoich klientów przez przestępców w celu kradzieży środków pieniężnych.
Jeśli agencja turystyczna lub biuro podróży przejdzie certyfikację PCI DSS, wówczas może rezerwować i sprzedawać bilety.
Po 01.03.2018 r. stowarzyszenie IATA przestało świadczyć swoje usługi wszelkim firmom, które nie przeszły certyfikacji PCI DSS. Konsekwencje niespełnienia wymagań stowarzyszenia IATA są negatywne: kary i podwyższone opłaty za usługi lub całkowite zablokowanie możliwości rezerwacji online.
Jest jeden, bardzo prosty wniosek — wszystkie agencje turystyczne i biura podróży powinny posiadać certyfikat zgodności ze standardem PCI DSS. Nawet jeśli Twoja firma jest niewielka, ale dokonuje rezerwacji biletów lotniczych dla swoich klientów, musi spełnić wymagania IATA i uzyskać certyfikat zgodności ze standardem PCI DSS.

Certyfikacja PCI DSS dla sieci handlowych

Jeśli Twój sklep zrealizuje choćby jedną transakcję, musi mieć zapewnioną zgodność ze standardem PCI DSS. Wymóg ten dotyczy zarówno sklepów fizycznych, jak i internetowych. Jeżeli sieć handlowa spełnia wymagania standardu PCI DSS, wówczas ani klienci, ani kierownictwo nie muszą się martwić, że coś stanie się z pieniędzmi lub danymi osobowymi przy opłacie kartą płatniczą. Przed uzyskaniem certyfikatu zgodności ze standardem PCI DSS sieć handlowa musi wdrożyć wszystkie procedury wymagane przez ten standard. Przykładowo personel musi postępować zgodnie z instrukcjami: nie odbierać klientowi karty, nie pozostawiać terminala POS bez nadzoru. Ponadto cały personel przejdzie weryfikację pod kątem rzetelności. Wprowadzona zostanie również stała kontrola terminali POS. Każdy terminal będzie monitorowany przez kamerę.Certyfikat zgodności PCI DSS to bezpieczeństwo dla klienta i doskonała reputacja dla sieci handlowej.

Certyfikacja PCI DSS dla handlu elektronicznego

Można powiedzieć, że firma zajmuje się handlem elektronicznym, jeśli jej klienci kupują produkty lub usługi za pośrednictwem strony internetowej, bez połączeń telefonicznych ani wizyt w biurze.
Jeśli Twoja firma będzie mieć certyfikat zgodności ze standardem PCI DSS, klienci będą mogli, nie obawiając się oszustwa, śmiało płacić za towary i usługi za pomocą kart płatniczych bezpośrednio na stronie internetowej firmy.
Bez certyfikatu PCI DSS banki nie będą świadczyć Twojej firmie usług przyjmowania płatności kartami płatniczymi. Oznacza to, że klienci nie będą mogli zapłacić za Twój produkt lub usługę bezpośrednio na stronie internetowej, co będzie dla nich niedogodnością, a w efekcie może doprowadzić do utraty części klientów.
Twoja firma, mając certyfikat zgodności ze standardem PCI DSS, może bez problemów zostać podłączona do bankowego systemu płatniczego.
Banki dbają o pieniądze swoich klientów i swoją reputację. Dlatego też wymagają, aby sklepy internetowe miały certyfikaty zgodności ze standardem PCI DSS.
Dla banku niezwykle ważne jest bezpieczeństwo przepływu pieniędzy na wszystkich etapach. Tylko uzyskanie przez firmę certyfikatu PCI DSS może zagwarantować to bezpieczeństwo. Certyfikat PCI DSS otwiera przed Twoją firmą drzwi do świata handlu elektronicznego. Gwarantuje również bezpieczeństwo Twoim klientom.

Certyfikacja PCI DSS dla restauracji i hoteli

Głównym celem standardu PCI DSS jest zapewnienie bezpieczeństwa infrastruktury sieciowej i ochrona przechowywanych danych posiadaczy kart płatniczych, ponieważ elementy te są najbardziej narażone na bezpośrednie ryzyko utraty poufności, a w konsekwencji utraty środków.
Wszystkie firmy z branży gastronomicznej (HoReCa) bardzo aktywnie przyjmują płatności za swoje usługi i produkty za pomocą kart płatniczych, ponieważ jest to wygodne dla klientów. Przykładowo: korzystając z karty płatniczej, można zarezerwować pokój w hotelu bez wychodzenia z domu lub biura, zapłacić za obiad w restauracji czy zamówić przez Internet dostawę jedzenia.
Wniosek jest jeden — kawiarnie, restauracje, hotele i inne firmy z branży HoReCa, które chcą zapewnić satysfakcję swoim klientom, muszą przejść certyfikację i spełnić wszystkie wymagania standardu PCI DSS.
Oferujemy szybką certyfikację zarówno dla małych, jak i dużych firm z branży HoReCa.

Certyfikacja PCI DSS dla centrów danych

Centra danych to ośrodki, które przetwarzają, przechowują i dystrybuują informacje. Centra danych pomagają dużym korporacjom, które są ich głównymi klientami, realizować zadania biznesowe poprzez świadczenie usług informatycznych. Każde centrum danych jest zainteresowane stałym rozwojem biznesu i pozyskiwaniem klientów korporacyjnych z sektora bankowego lub handlowego. Aby pozyskać takich klientów, centra danych przechodzą coroczną certyfikację na zgodność z wymaganiami standardu PCI DSS.
W dzisiejszych czasach informacje wymagają niezawodnej ochrony. Jeśli centrum danych zapewnia zgodność ze standardem PCI DSS, oznacza to, że informacje są w nim dobrze chronione.
Popularne na całym świecie centra danych, takie jak AWS (oddział firmy Amazon), Microsoft Azure czy DigitalOcean, mają certyfikaty zgodności ze standardem PCI DSS. Ponadto firmy te przechodzą coroczny audyt na zgodność z tym standardem.

3 800 000 USD

Średnia wartość strat w przypadku kradzieży danych

24%

Odsetek firm, które były ofiarami włamań

200 000 USD

Maksymalna kara za naruszenie wymagań PCI DSS

8 kroków do otrzymania certyfikatu PCI DSS

1

  • Ankieta

    Wypełnienie wstępnego kwestionariusza jest niezbędne do wyboru i oceny procedury certyfikacji. Pomaga to specjalistom naszej firmy dokładnie zrozumieć Twoje potrzeby i oszacować koszt certyfikacji. 
    Wynikiem pierwszego kroku jest wybór procedury certyfikacji na zgodność ze standardem PCI DSS, podanie ostatecznej ceny oraz etapów i terminów realizacji.

2

  • Umowa

    Do przejścia procedury certyfikacji na zgodność ze standardem PCI DSS konieczne jest podpisanie umowy pomiędzy Twoją firmą a firmą IT Specialist.

3

  • Analiza techniczna

    Analiza techniczna obejmuje wiele różnych działań. Jej wynikiem jest szczegółowy raport. Zawiera on listę niezgodności ze standardem PCI DSS. Ponadto raport ten zawiera też zalecenia dotyczące eliminacji niezgodności.

4

  • Eliminacja niezgodności

    Eliminacja wszelkich niezgodności wskazanych w raporcie.
    Odbywa się ona przy ścisłej współpracy specjalistów zarówno Twojej, jak i naszej firmy. Aby ułatwić przejście tego etapu, opracowany zostanie elastyczny harmonogram współpracy.

5

  • Audyt certyfikacyjny

    Na podstawie wyników tej kontroli Twoja firma otrzymuje szczegółowy raport w formie elektronicznej, a także zaświadczenie potwierdzające spełnienie wszystkich wymagań standardu PCI DSS.

6

  • Opłata

    Uprawniony audytor przygotowuje oficjalny certyfikat PCI DSS. 

7

  • Certyfikat 

    Otrzymujesz certyfikat zgodności ze standardem PCI DSS. Jest on wydawany w formie papierowej z pieczęciami i podpisami. 

8

  • Dalsza współpraca

    Certyfikat PCI DSS jest ważny przez 12 miesięcy. Po 10 miesiącach, czyli 2 miesiące przed datą wygaśnięcia certyfikatu, należy skontaktować się z nami w celu odnowienia certyfikatu PCI DSS na kolejny rok. Przy ponownym zgłoszeniu procedura jest uproszczona, a koszt usługi jest niższy.

Czas i koszt procesu uzyskania certyfikatu zgodności ze standardem PCI DSS

Czas trwania procesu certyfikacji PCI DSS:
Od 1 do 3 miesięcy

Czas trwania procesu certyfikacji na zgodność ze standardem PCI DSS zależy w dużej mierze od działań pracowników Twojej firmy: jak szybko będą w stanie wyeliminować wszystkie aspekty niezgodne z wymaganiami standardu PCI DSS. 
Zależy nam tym, by Twoja firma jak najszybciej uzyskała certyfikat zgodności ze standardem PCI DSS, i ze swojej strony dołożymy wszelkich starań, by tak się stało.

Koszt uzyskania certyfikatu PCI DSS:

Od 1000 USD do 50 000 USD

Przed obliczeniem dokładnego kosztu certyfikacji PCI DSS nasi specjaliści muszą uzyskać informacje o Twoich procesach biznesowych:

Jaki jest wymagany poziom lub kategoria zgodności?
Jakie sposoby przyjmowania płatności są wykorzystywane?
Sposób przetwarzania danych płatniczych (rodzaj kwestionariusza samooceny SAQ).
Liczba miejsc działalności, platform internetowych lub biur.
Liczba zewnętrznych (dostępnych w Internecie) adresów IP.
Liczba serwerów, stacji roboczych, terminali.

Przykład wydanego certyfikatu

PCI DSS sertificate

Przeprowadzanie pentestu przed audytem PCI DSS 4.0

Przydatne artykuły

Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration

Firma IT Specialist szybko, sprawnie i rzetelnie przeprowadzi proces certyfikacji na zgodność z wymaganiami standardu PCI DSS dla Twojej firmy.

Zamów certyfikację PCI DSS lub zadaj nam pytanie. Nasi specjaliści skontaktują się z Tobą tak szybko, jak to możliwe!

Thank you!

We will contact you shortly

Can't send form.

Please try again later.

Made with