Certyfikat PCI DSS

eService posiada certyfikat PCI DSS (skrót z ang. Payment Card Industry Data Security Standard), będący światowym standardem normalizacyjnym ustalonym przez organizacje płatnicze w celu ochrony danych posiadaczy kart. Zgodnie z wymaganiami PCI DSS oraz regulacjami organizacji płatniczych, wszystkie przedsiębiorstwa i firmy przechowujące, przetwarzające i/lub przesyłające dane posiadaczy kart płatniczych powinny mieć udokumentowane i operacyjne potwierdzenie zgodności z tym standardem bezpieczeństwa.

Spełnienie wymagań PCI DSS oznacza, że dane karty płatniczej (a przede wszystkim numer karty) są przechowywane, przetwarzane i/lub przesyłane we wszystkich kanałach akceptacyjnych  z zachowaniem odpowiednich procedur i praktyk bezpieczeństwa. Minimalizuje to ryzyko kompromitacji tych danych w systemach płatniczych, ale też zapobiega dokonywaniu oszustw zarówno na posiadacza karty, jak i w punkcie przyjmującym płatność.

Co to jest PCI DSS i kto go ustanowił?

PCI DSS to międzynarodowy standard bezpieczeństwa danych w branży płatniczej, który określa zestaw wymagań technicznych i operacyjnych dotyczących ochrony danych posiadaczy kart płatniczych.

Standard został opracowany w 2004 roku przez największe organizacje płatnicze: Visa, Mastercard, American Express, Discover oraz JCB, które powołały w tym celu Payment Card Industry Security Standards Council (PCI SSC) – niezależny podmiot odpowiedzialny za rozwój, publikację i utrzymanie standardów bezpieczeństwa w branży płatniczej.

Cel PCI DSS:

  • zabezpieczenie danych posiadaczy kart przed kradzieżą i nadużyciami,
  • zwiększenie bezpieczeństwa procesów płatniczych (zarówno online, jak i w świecie fizycznym),
  • ujednolicenie wymagań wobec wszystkich podmiotów, które przechowują, przetwarzają lub transmitują dane kartowe.

Zakres stosowania PCI DSS obejmuje wszystkie organizacje – od dużych banków i operatorów płatności po sklepy internetowe i punkty sprzedaży, które w jakikolwiek sposób mają do czynienia z danymi kartowymi.

Standard definiuje m.in.:

  • wymagania dotyczące budowy i utrzymania bezpiecznej infrastruktury sieciowej,
  • zasady ochrony baz danych zawierających dane kartowe,
  • kontrolę dostępu do systemów i danych,
  • regularne testy bezpieczeństwa,
  • wdrażanie polityk i procedur w zakresie ochrony informacji.

Kogo dotyczy standard PCI DSS i dlaczego warto być zgodnym?

Standard PCI DSS dotyczy wszystkich firm, które przechowują, przetwarzają i/lub przesyłają dane kart płatniczych. Zgodność z PCI DSS minimalizuje ryzyko oszustw, kradzieży danych oraz potencjalne straty finansowe. Dla przedsiębiorstw oznacza to budowanie zaufania wśród klientów i partnerów biznesowych.

Jakie są metody walidacji zgodności z PCI DSS?

W celu potwierdzenia zgodności z PCI DSS firmy mogą wykorzystywać kilka metod walidacji. Należą do nich:

  • samoocena SAQ (Self-Assessment Questionnaire), która jest stosowana przez mniejsze organizacje,
  • audyty przeprowadzane przez certyfikowane firmy zewnętrznych typu QSA (Qualified Security Assessor) dla większych organizacji,

Jakie są poziomy zgodności i wymagania dla każdej wielkości przedsiębiorstwa?

Organizacje płatnicze określają cztery poziomy zgodności, które zależą od liczby transakcji przetwarzanych rocznie. Poziom 1 dotyczy organizacji przetwarzających ponad 6 mln transakcji rocznie i wymaga pełnego audytu. Poziomy 2, 3 i 4 dotyczą mniejszych podmiotów, które mogą przeprowadzać samoocenę przy wsparciu usług QSA.

Jakie korzyści i wyzwania wiążą się ze stosowaniem standardu PCI DSS?

Zgodność z PCI DSS zapewnia wysoki poziom ochrony danych i zmniejsza ryzyko incydentów związanych z bezpieczeństwem. Jednakże, wdrożenie i utrzymanie tego standardu może być dla firm wyzwaniem ze względu na konieczność adaptacji procesów i infrastruktury IT oraz związane z tym koszty.

Usługi eService związane z PCI DSS

eService oferuje szeroką gamę usług wspierających zgodność z PCI DSS. Firma zapewnia kompleksową obsługę płatności, nowoczesne terminale płatnicze i narzędzia analityczne umożliwiające monitorowanie transakcji. Dzięki eService, przedsiębiorcy mogą skupić się na rozwoju swojego biznesu, mając pewność, że ich dane są bezpieczne.
 
Wszystkie informacje o aktualnie obowiązującym standardzie PCI DSS oraz zasadach potwierdzania zgodności z wymaganiami PCI DSS odnajdą Państwo w lokalizacjach podanych w poniższym załączniku:

PCI DSS - Niezbędne informacje

Pytania związane z PCI DSS prosimy kierować ma adres: pcicompliance@eservice.com.pl

Poznaj eService

Udziałowcy

Zarząd i struktura spółki

Płatności mobilne BLIK