A "PCI DSS mint szolgáltatás" (PCI DSS as a Service) az elmúlt évek egyik leggyakrabban félreértett koncepciója a fizetésbiztonság területén. Egyes kereskedők úgy gondolják, hogy ha PCI DSS-megfelelő szolgáltatóval dolgoznak, automatikusan ők is megfelelőek. Ez tévedés. Ez a cikk pontosan elmagyarázza, mi kiszervezett teljes mértékben, mi marad jogilag a kereskedőnél, és hogyan viszonyul a saját kezelés a menedzselt szolgáltatáshoz.
Mi a PCI DSS as a Service valójában?
A PCI DSS as a Service egy olyan modell, amelyben egy harmadik fél, tanúsított szolgáltató átveszi a PCI DSS-megfelelőség technikai legnehezebb részét: a kártyaadatok tárolását és kezelését. A szolgáltató fenntart egy PCI DSS Level 1 tanúsított vaultot, tokenizálja a kártyaadatokat, és lehetővé teszi a kereskedők számára, hogy tokencserékkel dolgozzanak valódi PAN-ok helyett. Amit ez a modell NEM jelent: a kereskedő teljes PCI DSS-mentességét.
Mit vesz át teljesen a szolgáltató?
Egy PCI DSS-megfelelő tokenizációs szolgáltató, mint a PCI Proxy EU, teljes egészében átveszi: a kártyaadatok fizikai tárolását PCI DSS Level 1 tanúsított vaultban; a titkosítási kulcsok kezelését FIPS 140-2 tanúsított HSM-ekben; a vault-infrastruktúra behatolásvizsgálatait és sebezhetőségi vizsgálatait; a kártyaadatokat tartalmazó komponensek PCI DSS-auditját; az AES-256 titkosítást és a tokenizációs algoritmust.
Mi marad a kereskedő felelőssége?
A kereskedőnél megmaradnak bizonyos kötelezettségek: az integráció megfelelő megvalósítása (hosted fields helyes beállítása, ne szivárogjon PAN a saját rendszerekbe); az alkalmazások és hálózatok biztonságossága (hozzáférés-ellenőrzés, naplózás); a személyzet képzése és háttérellenőrzése; a megfelelő SAQ kitöltése és benyújtása az acquirerhez; az incidensmegfelelési terv (IRP) fenntartása. A kereskedő soha nem mentesül teljesen a PCI DSS-kötelezettségek alól, csak azok hatóköre csökken jelentősen.
Saját kezelés vs. menedzselt szolgáltatás: költségek
Saját PCI Level 1 infrastruktúra éves költségei (közepes méretű kereskedőnél): hálózati szegmentáció és infrastruktúra 30–80 ezer euró, QSA-audit 20–50 ezer euró, behatolásvizsgálat és ASV-vizsgálatok 15–30 ezer euró, biztonsági szoftverek és eszközök 15–30 ezer euró, IT-biztonsági személyzet 80–150 ezer euró/év. Összesen: 160–340 ezer euró/év. A PCI Proxy EU tokenizációs szolgáltatás: 500–5000 euró/hó a tranzakciós volumentől függően (6–60 ezer euró/év). A megtakarítás 60–80%.
Ismerje meg, mit fed le a PCI DSS as a Service
Szakértőink részletesen bemutatják, mit tartalmaz a PCI Proxy EU tokenizációs szolgáltatása, és mi marad az Ön felelőssége.
Konzultáljon szakértőnkkel