Biztonság

A kártyaadatok nálunk biztonságban vannak

A kártyaadatokat a PCI DSS 1. szintű vault-unkban védjük: titkosítva, kizárólag európai adatközpontokban tárolva, minden hozzáférés naplójával. Ön soha nem érinti a kártyaszámot – kizárólag tokenekkel dolgozik.

Tanúsított PCI DSS Level 1 Csak EU

Titkosítás tárolás közben

AES-256 a vault-ban

EU adatközpontok

Kártyaadatok soha nem hagyják el az EU-t

Nyomkövetett hozzáférés

Minden kérés naplózva van

Tanúsítás

PCI DSS 1. szint

Ez a PCI legmagasabb megfelelőségi szintje. Azt jelenti, hogy a vault-unkat évente független értékelők auditálják, és Ön ennek a védelemnek a jelentős részét átveszi.

Éves audit

Akkreditált PCI értékelő (QSA) évente ellenőrzi az összes követelmény teljesítését. A jelentés elérhető a fizetési szervezetek és – kérésre – az Ön számára is.

Negyedéves vizsgálatok

Negyedévente szkenneljük az interneten elérhető infrastruktúrát. Ha bármit fejlesztendőt találunk, a következő vizsgálat előtt megoldjuk.

Kevesebb kötelezettség az Ön számára

Mivel a kártyaadatokat a vault-unkban tároljuk, az Ön PCI hatóköre jelentősen csökken. Sok esetben elegendő egy egyszerűsített kérdőív (SAQ A) az összes megfelelőség önálló kezelése helyett.

Csak Európa

A kártyaadatok soha nem hagyják el az EU-t

A kártyaadatokat kizárólag az Európai Unió területén tároljuk és dolgozzuk fel. Nincs európán kívüli másolat, nincs nem európai felhő a vault-műveletekhez.

GDPR-kompatibilis tervezés

Az adatfeldolgozási megállapodások, jogalapok és dokumentáció már készen állnak. Tudja, hol vannak az adatok és ki kezeli őket: mi, az EU-ban.

Adatközpontok Németországban és Hollandiában

Redundáns, magas rendelkezésre állású infrastruktúra. A katasztrófa-elhárítás szintén Európán belül marad.

Nincs határokon átnyúló adattovábbítás

A titkosítási kulcsok, token-leképezések és audit-naplók az EU joghatósága alatt maradnak. Nincs kockázat az EU-n kívüli adattovábbításból.

Mit garantálunk

Kártyaadatok kizárólag EU adatközpontokban tárolva

Titkosítási kulcsok az EU-ban generálva és tárolva

GDPR 28. cikk szerinti DPA-megállapodás – kérésre elérhető

Nincs nem EU-beli alvállalkozó a vault-hoz

Katasztrófa-elhárítás EU-n belül

Titkosítás

Titkosítva nyugalmi állapotban és átvitel közben

A kártyaadatok soha nem kerülnek nyílt szövegként továbbításra. Titkosítjuk mentéskor és a rendszereink közötti átvitel során.

AES-256 a vault-ban

Nyugalmi állapot

A vault-ban lévő minden kártyaszám AES-256 algoritmussal titkosított. A kulcsok dedikált hardveren (HSM) belül védve. Soha nem exportáljuk nyílt szövegként.

TLS 1.3 átvitel közben

Csak biztonságos kapcsolatok

Az API és a fizetési folyamatok kizárólag TLS 1.3-t használnak. A régebbi verziók letiltva. Még a forgalom lehallgatása sem teszi lehetővé az adatok visszafejtését.

Kulcsrotáció

Leállás nélkül

A főkulcsok évente rotálnak, a PCI DSS követelményeknek megfelelően. Az újratitkosítás a háttérben zajlik – Ön és ügyfelei számára semmi sem változik.

AES-256

Titkosítás nyugalmi állapotban

TLS 1.3

Rendszerek között

Éves

Kulcsrotáció

Dedikált hardver

Kulcsok HSM-ben tárolva

A HSM egy fizikai manipulációnak ellenálló hardvereszköz, amelyen belül generáljuk és tároljuk a titkosítási kulcsokat. A kártyaszámok soha nem hagyják el nyílt szövegként.

FIPS 140-2 3. szintű tanúsítvány

Elismert szabvány a hardveres biztonsághoz. Az eszköz fizikai kinyitására tett kísérlet automatikusan megsemmisíti a kulcsokat.

HSM-en belül generált kulcsok

A kulcsok generálása, rotálása és megsemmisítése kizárólag a HSM határain belül történik. A főkulcsokat soha nem tároljuk lemezeken vagy általános felhőerőforrásokon.

Manipulációnak ellenálló

Dedikált érzékelők és burkolatok észlelik a fizikai hozzáférési kísérleteket. Rendellenesség esetén a kriptográfiai anyag azonnal megsemmisül.

Hogyan zajlik egy kérés

Az Ön API-kérése (TLS 1.3)

PCI Proxy motor Fogadja a kártyaadatokat és létrehozza a tokent

HSM (FIPS 140-2 L3) Kulcsokat generál és titkosítja a kártyaadatokat

Titkosított vault (AES-256) Kártyaszám titkosítva, kulcsok kizárólag HSM-ben

Aktív védelem

Visszaélés elleni ellenőrzések

A titkosítás és a tokenizáción túl minden kérést monitorozunk. Ha valami gyanúsnak tűnik, blokkoljuk vagy megjelöljük, mielőtt problémává válna.

Kérési korlátok

Felismerjük a szokatlan kérés-ugrásokat ugyanarról a fiókból, IP-címről vagy API-kulcsból. Konfigurálható küszöbök ideiglenes blokkokat és biztonsági figyelmeztetéseket váltanak ki.

Gyanús minták

Elemezzük a forgalmat rendellenes viselkedés felderítéséhez: szekvenciális tesztek, szokatlan mennyiségek, földrajzi következetlenségek. A megjelölt kérések blokkolva az Ön házirendje szerint.

24/7 monitorozás

A biztonsági csapatunk monitorozza a hibákat, késleltetéseket és adathozzáférést. Ha az értékek eltérnek a normától, perceken belül reagálunk.

Külső tesztelés

Kívülről is teszteljük magunkat

Nem állunk meg a PCI-auditoknál: rendszeres behatolástesztek és független cégek vizsgálatai ellenőrzik, hogy a vault szilárd marad.

Behatolástesztek

Évente kétszer akkreditált cégek szimulálnak támadásokat a hálózatunk és az API ellen. Minden talált problémát javítunk és újra ellenőrzünk.

Sérülékenység-kezelés

Heti belső vizsgálatok az összes komponensre. A kritikus problémákat meghatározott határidőn belül oldjuk meg – a legsúlyosabbakat 24 órán belül.

SOC 2 Type II jelentés

Évente független auditorok ellenőrzik a biztonságot, rendelkezésre állást és titkosságot. Kérésre, NDA aláírása után az ügyfelek rendelkezésére bocsátjuk.

Biztonságos szoftverfejlesztés

Minden kódváltozás átmegy felülvizsgálaton és automatizált teszteken. Vault-módosítás előtt strukturált kockázatelemzést végzünk.

Ha valami történik

Incidenskezelés

Reméljük, soha nem lesz rá szükség. Ha azonban biztonsági esemény következik be, észleljük, megfékezjük és átláthatóan tájékoztatjuk.

24/7

Monitorozás

Mindig aktív

Valós idejű napló- és riasztás-korreláció az összes infrastruktúrán

<15p

Észlelés

Első reagálás

15 percen belül osztályozzuk az incidens súlyosságát és elindítjuk az elszigetelési eljárást

<72ó

Kommunikáció

Tájékoztatjuk Önt

Szükség esetén 72 órán belül értesítünk, a GDPR és PCI követelményeknek megfelelően

Után

Fejlesztés

Elemzés és javítás

Post-mortem helyesbítő intézkedésekkel az incidens megismétlődésének megelőzésére

Rendelkezésre állás: 99,95% uptime automatikus feladatátvétellel. Éles incidens esetén 5 percen belül a senior csapat értesül.

99,95% uptime

Tanúsítványok

Szabványok, amelyeknek megfelelünk

PCI DSS, GDPR, SOC 2 és tanúsított hardver: nem csak feliratok, hanem évente ellenőrzött kontrollok.

PCI DSS L1

Legmagasabb PCI szint

FIPS 140-2 L3

Tanúsított HSM hardver

SOC 2 Type II

Ellenőrzött kontrollok

GDPR

Adatok kizárólag az EU-ban

Éves PCI-audit

Teljes megfelelőségi jelentés

Negyedéves vizsgálatok

Külső sérülékenységek

Féléves behatolástesztek

Akkreditált harmadik felek

Szeretné tudni, hogyan védjük a fizetéseit?

Mi kezeljük a PCI vault-ot. Ön integrálja az API-t és tokenekkel dolgozik. Kisebb kockázat, kevesebb adminisztráció, ugyanazok a fizetések.

Hogyan működik PCI megfelelőség Integrációk Kapcsolat