Revista si suplimente
MarketWatch
Inapoi Inainte

Cinci īntrebări privind standardul de securitate PCI DSS (continuare)

15 Martie 2010



În articolul de luna trecută, am realizat o scurtă descriere a standardului PCI DSS şi au fost enumerate entităţile care cad sub incidenţa acestuia. În continuare, ne propunem să arătăm cum este promulgată şi validată alinierea la cerinţele PCI DSS, precum şi care este termenul limită de aliniere la cerinţele acestui standard. În următorul articol, şi ultimul din serie, vom discuta ce trebuie făcut pentru alinierea la cerinţele standardului PCI DSS.

Cum este promulgată şi validată alinierea la cerinţele standardului PCI DSS?

Marii jucători pe piaţa plăţilor cu carduri (VISA, MasterCard etc.) şi-au dezvoltat programe proprii de promulgare şi validare a implementării cerinţelor standardului PCI DSS.


În cazul American Express, JCB etc., promulgarea şi validarea alinierii la cerinţele standardului este realizată de către brandurile respective prin comunicarea directă cu toate entităţile implicate. Totodată, VISA şi MasterCard monitorizează alinierea la cerinţele standardului doar a entităţilor ce sunt direct conectate la reţelele lor de plăţi, delegând Băncilor Emitente/Beneficiare responsabilitatea de promulgare şi validare a alinierii Comercianţilor şi Furnizorilor de servicii de plăţi.


Modalitatea de validare a alinierii este în funcţie de nivelul de clasificare a entităţii, care depinde de numărul de tranzacţii cu carduri procesate anual de către entitate. VISA, de exemplu, impune pentru Comercianţi de nivel 1 (procesează mai mult de 6 milioane tranzacţii VISA anual) şi Furnizori de servicii de nivel 1 (conectaţi direct la reţeaua VISA şi/sau procesează mai mult de 300.000 tranzacţii VISA anual) ca validarea să se realizeze prin intermediul unui audit extern efectuat de către un PCI QSA (PCI Qualifyed Security Assessor). Pentru restul Comercianţilor şi Funizorilor de servicii se cere completarea anuală a unui chestionar de autoevaluare SAQ (Self-Assessment Questionnaire), iar responsabilitatea de validare a acestuia revine Băncii Emitente/Beneficiare cu care respectiva entitate are încheiat contract de procesare. MasterCard, la rândul său, cere şi Comercianţilor de nivel 2 (procesează anual între 1 milion şi 6 milioane de tranzacţii MasterCard şi Maestro) să treacă printr-un proces de audit de validare efectuat de către un QSA. Totodată procesul de validare impune entităţilor implicate în procesarea plăţilor efectuarea trimestrială a scanărilor de securitate a infrastructurii lor IT prin intermediul unei companii terţe acreditate ca PCI Approved Scanner Vendor.


Care este termenul limită de aliniere la cerinţele standardului PCI DSS?

Termenele limită de aliniere sunt stabilite de fiecare brand în parte şi sunt comunicate direct entităţilor care au relaţii contractuale cu brandurile respective.


Recent, VISA a făcut publice următoarele termene limită ce se aplică Comercianţilor şi Băncilor Emitente/Beneficiare:

30 septembrie 2009
– termenul limită până la care Băncile Emitente/Beneficiare trebuie să confirme că Comercianţii de nivel 1 şi 2 nu păstrează informaţii senzitive utilizate în procesul de plăţi cu carduri: Margnetic Stripe, PIN, CVV.

30 septembrie 2010
- termenul limită până la care Băncile Emitente/Beneficiare trebuie să confirme că Comercianţii de nivel 1 au trecut cu succes auditul de validare la cerinţele standardului PCI DSS.


Similar, MasterCard a stabilit termenul limită de 31 decembrie 2010 până când Băncile Emitente/Beneficiare trebuie să confirme că Comercianţii de nivel 1 şi 2 au trecut cu succes auditul de validare a conformării la cerinţele standardului PCI DSS.


După expirarea termenelor stabilite, VISA şi MasterCard vor aplica penalităţi Băncilor Emitente/Beneficiare care nu vor reuşi să confirme îndeplinirea condiţiilor respective.


Endava este o companie de servicii IT cu peste 500 de angajaţi şi operaţiuni în Marea Britanie, USA, România şi R. Moldova. Endava are experienţă în consultanţă IT, dezvoltarea, implementarea şi managementul unor aplicaţii critice de business pentru unele dintre cele mai mari companii din lume din domeniile: servicii financiare, telecomunicaţii, media. Endava are competenţe pentru a furniza servicii de consultanţă în domeniul securităţii informaţiei, incluzând consultanţă şi suport pentru implementarea standardului PCI DSS , precum şi servicii de audit pentru validarea alinierii la cerinţele acestui standard.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite