Revista si suplimente
MarketWatch
Inapoi Inainte

Cinci īntrebări privind standardul de securitate PCI DSS

26 Septembrie 2009



Piaţa plăţilor cu carduri este în continuă creştere în România şi, pe lângă aspectele pozitive determinate de această tendinţă, este de aşteptat, din păcate, ca şi numărul fraudelor realizate în procesul de plăţi să fie în creştere. În aceste condiţii, alinierea entităţilor ce îşi desfăşoară activitatea pe piaţa plăţilor cu carduri la cerinţele PCI DSS (Payment Card Industry Data Security Standard) se transformă într-un “must have”.

PCI DSS, fiind un standard nou, generează întrebări la care ne propunem să oferim răspunsuri pertinente într-o serie de articole consacrate acestui standard.


În acest articol, primul din această serie, vom clarifica ce este standardul PCI DSS, precum şi cine cade sub incidenţa acestui standard, urmând ca în următoarele articole sa abordăm întrebări cum ar fi:


Cum este promulgată şi validată alinierea la cerinţele standardului PCI DSS?
Care este termenul limită de aliniere la cerinţele standardului PCI DSS?
Ce trebuie făcut pentru alinierea la cerinţele standardului PCI DSS?


Ce este standardul PCI DSS?

PCI DSS este un standard de securitate apărut ca reacţie la numărul tot mai mare de furturi realizate în procesul de plăţi cu carduri bancare. Acest standard este dezvoltat de către PCI Security Standards Council, fondat de MasterCard Worldwide, VISA Inc., International American Express.


Standardul conţine un set de 12 cerinţe care se referă atât la securitatea soluţiilor de procesare a plăţilor, cât şi la securitatea fizică şi electronică a datelor, realizate prin diferite metode, cum ar fi:
· Construirea şi menţinerea unei reţele IT securizate;
· Implementarea măsurilor de control al accesului la datele posesorilor de carduri;
· Implementarea unui program de management al vulnerabilităţilor;
· Monitorizarea şi testarea regulată a reţelelor IT.


O asemenea abordare multilaterală permite crearea unei infrastructuri de securitate ce are drept scop prevenirea accesului neautorizat la datele posesorilor de carduri în domeniul plăţilor.


Cine trebuie să se alinieze la cerinţele standardului PCI DSS?

Cerinţele standardului PCI DSS se aplică tuturor entităţilor, inclusiv celor din România, care sunt implicate în procesarea datelor referitoare la plăţile cu carduri, cum ar fi:


Comercianţi (Merchants) - entităţi care acceptă spre plată carduri bancare şi care utilizează soluţii proprii pentru procesarea, stocarea şi transmiterea informaţiilor privind plăţile efectuate. În cazul în care comercianţii apelează la servicii de procesare a plăţilor livrate de părţi terţe şi nu stochează datele posesorilor de carduri, ei nu sunt obligaţi să se alinieze la cerinţele PCI DSS.


Bănci Eminente/Benificiare (Acquirer/Issuer Bank) - entităţi membre ale reţelelor de plăţi VISA, MasterCard etc. care emit spre utilizare carduri bancare de tip VISA, MasterCard etc., au încheiat contract de procesare a plăţilor prin intermediul cardurilor cu comercianţii şi, eventual, operează propriile ATM-uri. Aceste entităţi sunt obligate să se alinieze la cerinţele standardului PCI DSS în cazul în care au centre proprii de procesare a plăţilor. Totodată, în cadrul reţelelor VISA şi MasterCard,
entităţile respective au responsabilitatea să asigure alinierea la cerinţele PCI DSS a comercianţilor şi a altor părţi terţe cu care au contract de procesare a plăţilor cu cardurilor.

Furnizori de servicii de procesare a plăţilor
(Third Party Processors) – în această categorie sunt incluse atât centrele de procesare externe, care oferă servicii de procesare băncilor, cât şi furnizorii de servicii Payment Gateway, care realizează conexiunea dintre comercianţi şi centrele de procesare.


Veaceslav I. Puşcaşu
Information Security Consultant, PCI QSA
Consultancy Division - Endava

Endava este o companie de servicii IT cu peste 500 de angajaţi şi operaţiuni în Marea Britanie, USA, România şi R. Moldova. Endava are experienţă în consultanţă IT, dezvoltarea, implementarea şi managementul unor aplicaţii critice de business pentru unele dintre cele mai mari companii din lume din domeniile: servicii financiare, telecomunicaţii, media. Endava are competenţe pentru a furniza servicii de consultanţă în domeniul securităţii informaţiei, incluzând consultanţă şi suport pentru implementarea standardului PCI DSS , precum şi servicii de audit pentru validarea alinierii la cerinţele acestui standard.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite