14.05.2019
W tym artykule udzielimy szczegółowej odpowiedzi na jedno bardzo powszechne pytanie, które zadają nam klienci z Polski, Ukrainy, Europy i Azji. Pytanie brzmi: "Na naszej stronie internetowej nie przechowuje się danych kart płatniczych, czy nasza firma musi przeprowadzić certyfikację zgodnie ze standardem PCI DSS?"
Z takim pytaniem zwracają się do nas firmy, które sprzedają swoje produkty lub usługi za pośrednictwem stron internetowych. W takim przypadku płatności od klientów są przyjmowane w ten sposób: podczas płatności firma sprzedawcy przekierowuje klienta na stronę bramki płatności lub usługi płatniczej. Taką bramą może być strona internetowa banku lub dostawcy usług płatniczych. Klient wprowadza wymagane informacje i dane swojej karty płatniczej, a następnie następuje transakcja.
W podobnych sytuacjach dostawca towarów i usług w ogóle nie ma do czynienia z danymi kart płatniczych klientów. Dlatego bardzo naturalne jest, że przedstawiciele biznesu pytają o konieczność certyfikacji PCI DSS.
W rzeczywistości to, że na stronie sprzedawcy nie ma przetwarzania płatności i nie przechowuje się danych kart płatniczych, jest bardzo dobrym praktyką w zakresie podnoszenia poziomu bezpieczeństwa informacyjnego swojego biznesu!
Oto jeden z przykładów, który miał miejsce w 2018 roku. Hakerzy włamali się na stronę www.myheritage.com.ua. Bazy danych użytkowników zostały skradzione. Ponieważ ta strona oferuje swoje usługi klientom, pojawiły się obawy, że hakerzy mogą uzyskać dostęp również do danych kart płatniczych. Na szczęście przestępcy nie zdobyli tych danych, ponieważ wszystkie płatności przyjmowane były za pośrednictwem zewnętrznej usługi płatniczej.
Przypomnijmy, w jakich przypadkach konieczne jest spełnienie wymagań PCI DSS!
W standardzie PCI DSS napisano, że jego wymagania dotyczą wszystkich firm, które przechowują, przesyłają i przetwarzają dane kart płatniczych, a także mogą wpływać na ich bezpieczeństwo.
Oznacza to, że nawet jeśli strona internetowa jedynie przekierowuje klientów na zewnętrzną stronę płatności, wpływa to na bezpieczeństwo danych kart płatniczych. Należy zapewnić bezpieczeństwo takiego przekierowania. Ponieważ jeśli haker włamie się na stronę sprzedawcy, będzie mógł skonfigurować przekierowanie klientów nie na stronę płatności, a na stronę wskazaną przez hakera. Większość klientów nie zrozumie, co się dzieje, wprowadzą swoje dane, a w rezultacie pieniądze z kart zostaną skradzione przez przestępców.
Wychodząc z powyższego, można udzielić odpowiedzi na pytanie, które kierują do naszej firmy: jeśli na stronie nie przechowuje się danych kart płatniczych, to taka firma i tak musi przejść certyfikację zgodnie ze standardem PCI DSS!
Zrozumiałe jest, że przy korzystaniu z takiego modelu przyjmowania płatności nie ma szczególnego zagrożenia dla systemów płatniczych. Dlatego procedura uproszczonej certyfikacji PCI DSS jest maksymalnie uproszczona.
Algorytm przejścia przez taką uproszczoną certyfikację PCI DSS jest następujący: ● Należy przeprowadzić zewnętrzne skanowanie witryny w poszukiwaniu podatności. W tym celu należy skontaktować się z certyfikowaną firmą ASV, obsługującą region, w którym znajduje się firma posiadająca witrynę internetową. Możemy przeprowadzić wymagane prace dla firmy z dowolnego kraju, ponieważ mamy globalne pokrycie.● Należy odwiedzić stronę PCI DSS i pobrać formularz samoopisowej ankiety SAQ A. Ten formularz należy wypełnić i podpisać przez dyrektora firmy. ● Na tej samej stronie PCI DSS pobrać formularz Attestation of Compliance for Self-Assessment Questionnaire A. Ten dokument (świadectwo) również trzeba wypełnić i podpisać przez dyrektora. Ważne jest, aby informacje zawarte w świadectwie nie kwestionowały informacji wcześniej wypełnionego kwestionariusza samoopisowego.
Wypełnione świadectwo można przedstawiać systemom płatniczym i bankom. W wielu przypadkach to wystarczy. Jednakże często banki nie ufają samodzielnemu wypełnieniu i proszą o potwierdzenie od niezależnego audytora QSA. W zasadzie bank musi mieć pewność, że oba dokumenty zostały wypełnione poprawnie i bezbłędnie. Zazwyczaj uwaga przedstawicieli banków skupia się na świadectwie zgodności z PCI DSS.
Podobna sytuacja z certyfikacją PCI DSS występuje w przypadku centrów danych, które również nie pracują z danymi kart, ale są odpowiedzialne za przechowywanie serwerów swoich klientów, którzy przetwarzają takie dane.
Oprócz centrów danych, certyfikację PCI DSS muszą przechodzić także firmy, jeśli ich pracownicy potencjalnie mogą uzyskać dostęp do danych kart. Do takich firm należą centra telefoniczne, różne rodzaje wsparcia technicznego oraz różnego rodzaju usługi IT outsourcingu.
Firma „IT Specialist” opracuje optymalny plan dla twojego biznesu w celu uzyskania certyfikatu PCI DSS:● Wypełnimy kwestionariusze i świadectwo;● Przeprowadzimy skanowanie ASV;● Udzielimy podpisu audytora QSA;● Zapewnimy uzyskanie certyfikatu PCI DSS.
Czy twój biznes musi spełniać standard PCI DSS? Jesteś na właściwej drodze! Skorzystaj z formularza zwrotnego i uzyskaj pierwszą bezpłatną konsultację.