Outsourcing zgodności PCI DSS jest popularną strategią dla organizacji, które chcą zredukować koszty i złożoność compliance. Jednak istotne jest zrozumienie granic tego outsourcingu: PCI DSS nie pozwala na pełną delegację odpowiedzialności – zawsze istnieje residualna odpowiedzialność organizacji. Ten artykuł wyjaśnia, co można delegować i co musi pozostać wewnątrz.
Co można delegować certyfikowanemu dostawcy PCI DSS
Elementy delegowalne do certyfikowanego service providera PCI DSS obejmują: bezpieczne przechowywanie i tokenizację numerów PAN, zarządzanie kluczami kryptograficznymi (HSM, KEK, DEK), monitorowanie bezpieczeństwa środowiska vault, skanowanie podatności komponentów infrastruktury vault, testy penetracyjne środowiska vault, utrzymanie dokumentacji polityk bezpieczeństwa dla komponentów dostawcy, obsługę audytów PCI DSS dla komponentów w zakresie dostawcy.
Co zawsze pozostaje odpowiedzialnością sprzedawcy
Niezależnie od stopnia outsourcingu, sprzedawca zawsze zachowuje odpowiedzialność za: bezpieczeństwo własnych aplikacji i systemów kontaktujących się z dostawcą tokenizacji, ochronę terminali płatniczych i interfejsów klientów, zarządzanie dostępem użytkowników do systemów płatności i narzędzi tokenizacji, szkolenia personelu w zakresie ochrony danych kart i reagowania na incydenty, coroczną samoocenę SAQ lub audyt QSA dla zakresu rezydualnego sprzedawcy.
Model odpowiedzialności shared vs. fully managed
PCI DSS różnicuje dwa modele: shared responsibility (wspólna odpowiedzialność) – dostawca i sprzedawca dzielą zakres PCI DSS, każdy odpowiada za swoje komponenty; fully managed – dostawca przejmuje pełen zakres CDE, sprzedawca operuje wyłącznie poza CDE. Model fully managed jest możliwy tylko przy pełnej tokenizacji: sprzedawca nie przetwarza, nie przechowuje i nie przesyła żadnych danych kart w postaci jawnej.
AOC i umowy z dostawcami: kluczowe dokumenty
Przy outsourcingu PCI DSS kluczowe dokumenty to: Attestation of Compliance (AOC) dostawcy – weryfikuje aktualną certyfikację PCI DSS Level 1, umowa z dostawcą (ISMS Agreement lub podobna) – musi jasno określać zakresy odpowiedzialności, right-to-audit clause – sprzedawca musi mieć prawo do audytu dostawcy (lub dostępu do jego AOC), mechanizm powiadomień – dostawca musi informować sprzedawcę o istotnych zmianach w swoim środowisku PCI DSS.
Pułapki outsourcingu PCI DSS: czego unikać
Typowe błędy przy outsourcingu PCI DSS: założenie, że certyfikat dostawcy automatycznie pokrywa sprzedawcę – to nieprawda, zakres AOC musi obejmować konkretne usługi używane przez sprzedawcę; brak formalnej umowy z dostawcą definiującej zakresy odpowiedzialności; niedopełnienie obowiązku monitorowania statusu certyfikacji dostawcy – certyfikacja może wygasnąć lub zmienić zakres; brak procedury powiadamiania przy incydentach bezpieczeństwa u dostawcy.
Outsourcing tokenizacji z pełnym AOC
PCI Proxy EU dostarcza certyfikowaną tokenizację z jasnym zakresem odpowiedzialności i aktualnym AOC. Skontaktuj się z nami.
Porozmawiaj z ekspertem