====== PCI DSS: Standard zabezpečení plateb ====== **PCI DSS** je soubor požadavků vytvořený velkými karetními asociacemi (Visa, Mastercard, American Express, Discover a JCB). Nejedná se o zákon, ale o smluvní závazek – pokud chce obchodník přijímat platby kartou, musí tyto standardy splňovat. ===== 1. 12 hlavních požadavků ===== Standard je rozdělen do šesti logických skupin, které obsahují 12 specifických požadavků: ==== Budování a údržba bezpečné sítě ==== 1. Instalace a údržba [[it:sw:security_web|firewallu]] pro ochranu dat držitelů karet. 2. Nepoužívat výchozí hesla od výrobců pro systémová hesla a další bezpečnostní parametry. ==== Ochrana dat držitelů karet ==== 3. Ochrana uložených dat (šifrování dat na discích). 4. Šifrování přenosu dat držitelů karet přes otevřené, veřejné sítě. ==== Program správy zranitelností ==== 5. Používání a pravidelná aktualizace antivirového softwaru. 6. Vývoj a údržba bezpečných systémů a aplikací (pravidelné patchování). ==== Silná opatření pro řízení přístupu ==== 7. Omezení přístupu k datům pouze na ty osoby, které je nezbytně potřebují znát. 8. Přidělení unikátního ID každé osobě s přístupem k počítači. 9. Omezení fyzického přístupu k datům držitelů karet (zabezpečení serveroven). ==== Pravidelné monitorování a testování sítí ==== 10. Sledování a monitorování veškerého přístupu k síťovým zdrojům a datům o kartách. 11. Pravidelné testování bezpečnostních systémů a procesů (penetrační testy). ==== Politika informační bezpečnosti ==== 12. Udržování politiky, která řeší informační bezpečnost pro všechny zaměstnance. --- ===== 2. Úrovně shody (Compliance Levels) ===== Obchodníci jsou rozděleni do 4 úrovní podle objemu transakcí, které ročně zpracují: ^ Úroveň ^ Počet transakcí za rok ^ Požadavek na audit ^ | **Level 1** | Nad 6 milionů | Každoroční audit na místě (ROC) kvalifikovaným auditorem (QSA). | | **Level 2** | 1 až 6 milionů | Každoroční sebehodnotící dotazník (SAQ). | | **Level 3** | 20 000 až 1 milion | Každoroční sebehodnotící dotazník (SAQ). | | **Level 4** | Méně než 20 000 | Každoroční sebehodnotící dotazník (SAQ). | --- ===== 3. PCI DSS v modelu SaaS (Příklad Shopify) ===== Jednou z největších výhod modelů [[it:sw:shopify_saas|SaaS jako Shopify]] je přenesení odpovědnosti za PCI DSS na poskytovatele. * **U vlastního řešení:** Musíte zabezpečit [[it:sw:linux_kernel|jádro Linuxu]], databázi, aplikaci i síť. Každý rok podstupujete složitý audit. * **U SaaS (Shopify):** Platforma je certifikována jako **PCI DSS Level 1 compliant**. Obchodník používá jejich šifrovanou pokladnu (Checkout), takže data karet vůbec neprocházejí jeho servery. Tím se drasticky snižuje rozsah auditu pro samotného obchodníka. --- ===== 4. Co se stane při porušení? ===== Nedodržení standardů může mít pro firmu fatální následky: * **Vysoké pokuty:** Od karetních asociací (tisíce až miliony dolarů). * **Ztráta možnosti přijímat karty:** Banky mohou vypovědět smlouvu o zpracování plateb. * **Poškození reputace:** Únik dat zákazníků často vede ke krachu e-shopu. ---- //Související články:// * [[it:sw:security_web|Zabezpečení webových serverů]] * [[it:sw:shopify_saas|Shopify a bezpečnost v cloudu]] * [[it:sw:cryptography_basics|Základy kryptografie a šifrování]] //Tagy: {{tag>it security pci-dsx compliance finance e-commerce privacy}}//