Încearcă acum

Glosar

PCI DSS

Ce este norma PCI-DSS?

Standardul de Securitate a Datelor pentru Industria Cardurilor de Plată (Payment Card Industry Data Security Standard sau PCI DSS) este un standard de securitate orientat spre protecția datelor titularilor de carduri, precum și a altor date sensibile de autentificare în timpul procesării, stocării și/sau transmiterii acestora. În prezent, acest standard este actualizat până la versiunea 4.0, publicată în martie 2022. Este obligatoriu să se respecte această normă pentru toate companiile care acceptă, procesează sau transmit date de carduri. În caz contrar, se pot confrunta cu amenzi mari sau cu pierderea permisiunii de procesare a plăților.

Contextul anterior PCI-DSS

Înainte de publicarea primei versiuni a standardului PCI DSS, fiecare companie emitentă de carduri de plată avea propriul program de securitate. Fiecare dintre aceste programe definea controalele de securitate pe care entitățile trebuiau să le implementeze, procesele de raportare a conformității și sancțiunile aplicabile în caz de neconformitate. Aceasta însemna că, dacă o entitate lucra cu datele cardurilor aparținând uneia dintre aceste mărci, trebuia să respecte programul de securitate respectiv, ceea ce putea duce la duplicări, incongruențe și suprapuneri în implementarea controalelor.

Cerințe pentru conformitatea PCI-DSS

Odată cu apariția PCI DSS, toate cerințele au fost unificate sub un standard de securitate. Acestea sunt cerințele necesare pentru protejarea informațiilor sensibile ale cardurilor și prevenirea fraudelor.
  • Utilizarea firewall-urilor pentru prevenirea accesului neautorizat.
  • Criptarea datelor pentru a asigura confidențialitatea.
  • Controale de acces pentru a limita accesul la personalul autorizat.
  • Monitorizarea rețelelor pentru a detecta activități suspecte.
  • Teste de securitate pentru identificarea vulnerabilităților.
  • Politici de gestionare a parolelor pentru a asigura parole robuste și sigure.
Aceste elemente formează un cadru integrat care protejează împotriva amenințărilor, cum ar fi furtul de date și frauda. În acest fel, se asigură securitatea informațiilor clienților și conformitatea cu norma PSD2.

Nivele de conformitate PCI DSS

Norma PCI DSS stabilește patru niveluri de conformitate în funcție de volumul tranzacțiilor anuale:
  • Nivelul 1: mai mult de 6 milioane de tranzacții.
  • Nivelul 2: între 1 și 6 milioane de tranzacții.
  • Nivelul 3: între 20.000 și un milion de tranzacții.
  • Nivelul 4: mai puțin de 20.000 de tranzacții.
Nivelele 2, 3 și 4 trebuie să respecte următoarele cerințe:
  • Completarea chestionarului de autoevaluare SAQ (Self-Assessment Questionnaire).
  • Efectuarea unui scanări trimestriale a rețelei, realizată de un furnizor de scanare aprobat (ASV - Approved Scanning Vendor).
  • Obținerea certificării de conformitate (AOC - Attestation of Compliance).
Pentru Nivelul 1 se aplică controale mai stricte și perioadele de auditare sunt, de obicei, mai mari. În plus față de cerințele menționate pentru nivelele anterioare, entitățile de Nivel 1 trebuie să prezinte un raport anual privind conformitatea (ROC - Report on Compliance), elaborat de un evaluator de securitate calificat (QSA - Qualified Security Assessor).

PaynoPain și PCI-DSS

La PaynoPain, ca furnizor de soluții de plăți, garantăm conformitatea cu norma PCI DSS de peste 13 ani, unul dintre cele mai ridicate standarde de securitate din industria actuală. În plus, respectăm și ISO 27001, care presupune implementarea unui sistem de management al securității informației (SGSI) ce respectă standardele internaționale stabilite pentru protejarea confidențialității, integrității și disponibilității informației.
< Newsletter />

Aboneaza-te la newsletter-ul nostru