Posted on

PCI DSS SAQ D kortinhaltijatietoja sähköisesti tallentaville kauppiaille

, Author

SAQ-kyselylomakkeet (Self-Assessment Questionnaires, itsearviointikyselylomakkeet) ovat yksi tapa, jolla kauppiaat voivat vahvistaa PCI DSS -vaatimustenmukaisuutensa vastaanottaville pankeille ja PCI Security Standard Councilille (PCI SSC). Saatavilla on kahdeksan SAQ-kyselyä, jotka ovat uskomattoman tärkeitä kortinhaltijoiden tietojen suojaamisen kannalta: A, A-EP, B, B-IP, C, C-VT, D ja P2PE.

Kun olet tähän mennessä käynyt läpi kuusi nykyistä itsearviointikyselylomaketta, seuraavaksi on vuorossa PCI DSS SAQ D.

Tämä itsearviointikyselylomake sattuu olemaan laajin, jonka organisaatio voi tehdä (kaikkien muiden SAQ-kyselyjen kysymykset on otettu tästä kyselylomakkeesta), joten on uskomattoman tärkeää, että olet täysin varma siitä, että sinun pitäisi tehdä se. Et halua käyttää tunteja sen täyttämiseen nyt vain huomataksesi myöhemmin, että se on väärä!

Kenen pitäisi täyttää itsearviointikyselylomake D?

Tämä kyselylomake koskee kaikkia kauppiaita, joten helpoin tapa selvittää, pitäisikö sinun täyttää se (ja ensimmäinen kysymys, joka sinun pitäisi kysyä itseltäsi, ennen kuin teet sen), on se, säilytätkö kortinhaltijoiden tietoja digitaalisesti.

Tähän voi kuulua tietojen tallentaminen verkossa sähköisen kaupankäynnin yhteydessä tai jos olet puhelinmyyntiyritys, joka käsittelee kortinhaltijoiden tietoja puhelimitse, jolloin nämä puhelut tallennetaan ja tallennetaan (esim. koulutustarkoituksiin tai laadunvalvontaa varten).

Toinen kysymys, joka sinun tulisi kysyä itseltäsi, on se, koskeeko muut SAQ-kysymykset sinua. Kyselylomakkeissa on hyvin tarkat kriteerit (esimerkiksi kyselylomake A on tarkoitettu kauppiaille, jotka ulkoistavat kortinhaltijoiden tietojenkäsittelytoiminnot, ja kyselylomake B on tarkoitettu kauppiaille, jotka siirtävät tietoja valintayhteyden kautta), joten jos organisaatiosi ei täytä minkään muun kyselylomakkeen kriteerejä, sinun pitäisi vastata kyselylomakkeeseen D. Kyselylomakkeessa D todetaan nimenomaisesti, että se on tarkoitettu kauppiaille, jotka eivät täytä minkään muun kyselylomaketyypin kriteerejä”.

Tässä luettelossa kauppiaiden kriteereistä on joitakin lisäohjeita:

  • E-commerce-kauppiaat, jotka hyväksyvät kortinhaltijoiden tietoja verkkosivustollaan;
  • kauppiaat, jotka tallentavat kortinhaltijoiden tietoja sähköisesti;
  • kauppiaat, jotka eivät tallenna kortinhaltijoiden tietoja sähköisesti, mutta jotka eivät täytä minkään muun SAQ-tyypin kriteerejä;
  • kauppiaat, joiden toimintaympäristö saattaa täyttää jonkin muun SAQ-tyypin kriteerit, mutta joilla on ympäristöönsä sovellettavia lisävaatimuksia, jotka koskevat PCI DSS:ää.

Toinen keskeinen syy vastata tähän kyselyyn on se, että olet palveluntarjoaja (joka määritellään yritykseksi, joka tarjoaa maksukortteihin liittyvää palvelua, esim. jos organisaatiosi työskentelee kauppiaiden tai jopa pankkien kanssa). Palveluntarjoajien ei tarvitse tutustua muiden SAQ-kyselyjen kriteereihin, koska niiden on oletusarvoisesti täytettävä SAQ D; niille ei ole muuta SAQ-kyselyä.

Millaisia kysymyksiä tässä kyselylomakkeessa on?

Kun sanoimme, että itsearviointikyselylomake D on valtava asiakirja, emme todellakaan vitsailleet!

Kaiken kaikkiaan SAQ D:ssä on 263 kysymystä, joihin sinun on pakko vastata, mikä on suorastaan ilmiömäinen määrä. Kysymykset on tosin jaettu ja osioitu 12 eri PCI-vaatimuksen mukaan, mikä helpottaa niiden läpikäymistä – ja on myös huomattava, että kysymykset ovat täsmälleen samat sekä kauppiaille että palveluntarjoajille.

Lisäksi jokaiseen kysymykseen voi vastata ”Ei”, ”Kyllä”, ”Kyllä CCW:n kanssa” (Compensating Control Worksheet) tai N/A (Not Applicable), ja jos vastaat johonkin kysymykseen ”Ei”, kyselylomake tarjoaa myös tietoa siitä, miten kyseinen ongelma voidaan korjata ja miten organisaatiostasi saadaan vaatimustenmukainen.

Tässä on joitakin esimerkkejä kysymyksistä, joita löydät kyselylomakkeesta:

  • Onko PAN-numero peitetty näytettäessä (kuusi ensimmäistä ja neljä viimeistä numeroa ovat näytettävien numeroiden enimmäismäärä) siten, että vain henkilökunta, jolla on oikeutettu liiketoiminnallinen tarve, näkee koko PAN-numeron?
  • Minkään jäljen (kortin takaosassa olevasta magneettijuovasta, sirun sisältämistä vastaavista tiedoista tai muualta) koko sisältöä ei tallenneta valtuutuksen jälkeen?
  • Onko käytössä prosessi tietoturva-aukkojen tunnistamiseksi, mukaan lukien seuraavat: Käytetään hyvämaineisia ulkopuolisia lähteitä haavoittuvuustietojen hankkimiseksi? Määritetään haavoittuvuuksille riskiluokitus, johon sisältyy kaikkien ”korkean” riskin ja ”kriittisten” haavoittuvuuksien tunnistaminen?
  • Vaaditaanko valtuutettujen osapuolten dokumentoitua hyväksyntää, jossa määritellään vaaditut oikeudet?
  • Käytetäänkö kaksitekijätodennusta henkilöstön (mukaan lukien käyttäjät ja ylläpitäjät) ja kaikkien kolmansien osapuolten (mukaan lukien toimittajien pääsy tuki- tai huoltotehtäviin) verkon ulkopuolelta peräisin olevaan etäkäyttöön?

Säilyttääkö organisaationne kortinhaltijatietoja sähköisesti?

Kun SAQ D:ssä on esitetty niin monta kysymystä, se voi vaikuttaa vaikealta ja mahdottomalta tehtävältä. Mutta PCI DSS -vaatimustenmukaisuuden asiantuntijan QSA:n (Qualified Security Assessor) avulla yrityksellesi sopivan kyselylomakkeen selvittämisestä ja PCI-vaatimustenmukaisuuden saavuttamisesta voi tulla stressitön prosessi.

Advantio_Blog_Banners_PCI-DSS-WhitePaper_V1.1

Vastaa

Sähköpostiosoitettasi ei julkaista.