fbpx

 

 

 

 

 

 

Security Standards Council

PCI DSS v3.2

 

 

 

 

 

 

 

 

 

 

 

 

PCI-DSS

Standard za sigurnost podataka na platnim karticama (PCI DSS) je skup sigurnosnih standarda koje su 2004. godine formirali Visa, MasterCard, Discover Financial Services, JCB International i American Express. Šema usklađenosti koja je regulisano od strane Security Standards Council (PCI SSC), ima za cilj osigurati transakcije kreditnim i debitnim karticama od krađe podataka i prevara.

PCIlogo

PCI DSS nivo usklađenosti

Usklađenost sa PCI-DSS podeljena je u 4. nivoa, na osnovu godišnjeg broja transakcija kreditnim ili debitnim karticama koje poslovni procesi obavljaju. Nivo klasifikacije određuje šta organizacija treba da uradi da bi ostvarila usklađenost.

Pci Dss Nivo Usklaenostifw

Nivo 1: Odnosi se na trgovce koji godišnje obrađuju više od šest miliona transakcija sa kreditnim ili debitnim karticama. Sprovode ih ovlašćeni revizori PCI-DSS-a i oni moraju proći interni audit jednom godišnje. Pored toga, jednom kvartalno moraju se podvrgnuti PCI skeniranju od strane odobrenog dobavljača za skeniranje (ASV);

Nivo 2: Primenjuje se na trgovce koji obrađuju između jednog i šest miliona transakcija kreditnim ili debitnim karticama godišnje. Od njih se zahteva da sprovode procenu jednom godišnje korišćenjem Upitnika za samoprocenu (SAQ). Pored toga, može biti potrebno i kvartalno PCI-DSS skeniranje od strane odobrenog dobavljača za skeniranje (ASV);

Nivo 3: Odnosi se na trgovce koji obrađuju između 20.000 i milion transakcija godišnje. Oni moraju da urade godišnju procenu koristeći relevantni SAK. Takođe će biti potrebno tromesečno skeniranje PCI-DSS-a;

Nivo 4: Primenjuje se na trgovce koji obrađuju manje od 20.000 transakcija e-trgovine godišnje ili na one koji obrađuju do milion transakcija. Godišnja procjena pomoću odgovarajućeg SAQ-a mora se izvršiti i možda će biti potrebno tromesečno skeniranje PCI-DSS-a od strane odobrenog dobavljača za skeniranje (ASV).

PCI DSS zahtevi

PCI SSC je izneo 12 zahteva za rukovanje podacima vlasnika kartica i održavanje bezbedne mreže. Podeljeni između šest širih ciljeva, svi su neophodni da bi organizacija postala usaglašena.

Bezbedna mreža
1. Konfiguracija zaštitnog zida mora biti instalirana i održavana; 
2. Sistemske lozinke moraju biti originalne (ne isporučuju se od dobavljača);

Bezbedni podaci vlasnika kartica 
3. Sačuvani podaci vlasnika kartica moraju biti zaštićeni; 
4. Prenos podataka vlasnika kartice preko javnih mreža moraja biti kriptovan; 

Upravljanje ranjivošću
5. Antivirusni softver se mora koristiti i redovno ažurirati; 
6. Bezbednost  sistemia i aplikacija mora se razvijati i održavati; 

Kontrola pristupa
7. Pristup podacima vlasnika kartice mora biti ograničen na osnovu poslovnih potreba; 
8. Svakoj osobi sa pristupom računaru mora se dodeliti jedinstveni ID; 
9. Fizički pristup podacima vlasnika kartice mora biti ograničen; 

Nadgledanje i testiranje mreže
10. Pristup podacima vlasnika kartice i mrežnim resursima mora se pratiti i nadgledati ;
11. Bezbednost sistema i procesa mora se redovno testirati; 

Bezbednost informacija 
12. Mora se održavati politika bezbednosti informacija.
 
 
 
U skladu sa članom 15. Zakona o zaštiti podataka o ličnosti Republike Srbije i članom 7. Opšte uredbe o zaštiti podataka o ličnosti (EU) 2016/679, dajem saglasnost da se podaci koji se nalaze u kolačićima koriste u svrhu boljeg korisničkog iskustva i analitike posetilaca veb sajta.