Az egyik leggyakoribb félreértés a PCI DSS kapcsán: a kereskedők azt hiszik, hogy ha PCI-megfelelő PSP-t vagy tokenizációs szolgáltatót használnak, automatikusan teljes mértékben megszabadulnak a PCI DSS-kötelezettségeiktől. A valóság árnyaltabb – bizonyos elemek kiszervezhetők, mások nem.
Mit lehet kiszervezni a PCI DSS-ben?
A kiszervezett tevékenységek, amelyek csökkenthetik a PCI DSS hatókörét: kártyaadat-tárolás (tokenizáció/vault) – a PCI Proxy EU végzi, nem a kereskedő; kártyaadat-feldolgozás (hosted fields, DTMF tokenizáció) – a PCI Proxy EU végzi, a kártyaadat soha nem érinti a kereskedő rendszereit; PCI DSS Level 1 tanúsítvány (a PCI Proxy EU rendelkezik vele, és a kereskedők hivatkozhatnak rá SAQ-juknál); negyedéves hálózati szkennelés (ASV vizsgálatok) – kiszervezett ASV-cégek végzik; penetrációtesztelés – kiszervezett biztonsági cégek végzik.
Mit nem lehet kiszervezni a PCI DSS-ben?
Nem delegálható elemek – ezek mindig a kereskedő felelőssége maradnak: a saját irodák és üzlethelyiségek fizikai biztonsága; a kereskedő munkavállalóinak biztonsági tudatossági képzése; a kereskedő hálózatának (Wi-Fi, irodai hálózat) karbantartása és szegmentálása; az incidens-elhárítási terv elkészítése és rendszeres tesztelése; a megfelelőség évenkénti dokumentálása (SAQ kitöltése); az acquirer bank felé történő éves megfelelőségi nyilatkozat benyújtása.
Hogyan működik a "shared responsibility" a PCI DSS-ben?
A PCI DSS szervizszolgáltatói modell (Requirement 12.8) alapján: a kereskedőnek listát kell vezetni minden PCI DSS-sel érintett szervizszolgáltatójáról (PSP, tokenizáló, cloud provider stb.); írásban rögzíteni kell, hogy az egyes PCI DSS-követelmények végrehajtásáért ki a felelős; évente ellenőrizni kell a szervizszolgáltatók PCI DSS-megfelelőségét (tanúsítvánnyal, Attestation of Compliance dokumentummal). A PCI Proxy EU minden ügyfele számára biztosítja az éves AoC (Attestation of Compliance) dokumentumot, amely az audit során felhasználható.
Optimalizálja PCI DSS-kötelezettségeit tokenizációval
Segítünk meghatározni, mit lehet biztonságosan kiszervezni, és hogyan minimalizálható a maradék PCI DSS-teher a szervezeten belül.
Konzultáljon szakértőnkkel