Posted on

PCI DSS SAQ D a kártyabirtokosok adatait elektronikusan tároló kereskedők számára

, Author

Az önértékelési kérdőívek (SAQ) az egyik módja annak, hogy a kereskedők igazolják a PCI DSS-nek való megfelelésüket az elfogadó bankok és a PCI Security Standard Council (PCI SSC) felé. A kártyabirtokosok adatainak biztonsága szempontjából hihetetlenül fontos SAQ-k közül nyolc közül választhat: A, A-EP, B, B-IP, C, C-VT, D és P2PE.

Mivel eddig hat önértékelési kérdőívről beszéltünk, most a PCI DSS SAQ D következik.

Ez az önértékelési kérdőív történetesen a legnagyobb, amit egy szervezet egyáltalán kitölthet (az összes többi SAQ kérdéseit ebből a kérdőívből veszik át), ezért hihetetlenül fontos, hogy teljesen biztos legyen benne, hogy ezt kell kitöltenie. Nem szeretne órákat tölteni a kitöltésével, csak azért, hogy később rájöjjön, hogy nem a megfelelőt töltötte ki!

Kinek kell kitöltenie a D önértékelési kérdőívet?

Ez a kérdőív minden kereskedőtípusra vonatkozik, így a legkönnyebben úgy állapíthatja meg, hogy ki kell-e töltenie (és az első kérdés, amit előtte fel kell tennie magának), hogy tárolja-e digitálisan a kártyabirtokosok adatait vagy sem.

Ez magában foglalhatja az e-kereskedelmi tranzakciókkal kapcsolatos online adattárolást, vagy ha Ön telemarketinges cég, amely telefonon keresztül kezeli a kártyabirtokosok adatait, majd ezeket a telefonhívásokat tárolja és menti (pl. képzési célokra vagy minőségellenőrzés céljából).

A másik kérdés, amit fel kell tennie magának, hogy a többi SAQ vonatkozik-e Önre vagy sem. Az SAQ-knak nagyon specifikus kritériumai vannak (például az SAQ A azoknak a kereskedőknek szól, akik kiszervezik a kártyabirtokosok adatfeldolgozási funkcióit, az SAQ B pedig azoknak, akik betárcsázós kapcsolaton keresztül továbbítják az adatokat), és így ha az Ön szervezete nem felel meg egyetlen más SAQ-kérdőív kritériumainak sem, akkor az SAQ D kérdőívet kell kitöltenie. A D kérdőív kifejezetten kimondja, hogy ” olyan kereskedők számára készült, akik nem felelnek meg egyetlen más SAQ-típus kritériumainak sem”.

A kereskedői kritériumok e listája további támpontokat nyújt:

  • E-kereskedők, akik a weboldalukon elfogadják a kártyabirtokosok adatait;
  • Kereskedők, akik a kártyabirtokosok adatait elektronikusan tárolják;
  • Kereskedők, akik a kártyabirtokosok adatait nem tárolják elektronikusan, de nem felelnek meg egy másik SAQ-típus kritériumainak;
  • Kereskedők, akiknek környezete megfelelhet egy másik SAQ-típus kritériumainak, de környezetükre további PCI DSS követelmények vonatkoznak.

A másik fő oka a kérdőív kitöltésének, hogy Ön Szolgáltató (a meghatározás szerint minden olyan vállalat, amely fizetési kártyákkal kapcsolatos szolgáltatást nyújt, pl. ha az Ön szervezete kereskedőkkel vagy akár bankokkal dolgozik). A szolgáltatóknak nem kell áttekinteniük a többi SAQ kritériumát, mivel alapértelmezés szerint a SAQ D kérdőívet kell kitölteniük; számukra nincs más SAQ.

Milyen kérdések vannak ebben a kérdőívben?

Amikor azt mondtuk, hogy a D önértékelési kérdőív egy hatalmas dokumentum, tényleg nem vicceltünk!

A SAQ D kérdőívben összesen 263 kérdésre kell válaszolnia, ami teljesen fenomenális mennyiség. Bár a kérdések a 12 különböző PCI-követelmény szerint vannak felosztva és szekcionálva, ami egy kicsit megkönnyíti az átfutást – és azt is meg kell jegyeznünk, hogy a kérdések pontosan ugyanazok a kereskedők és a szolgáltatók számára.

Minden kérdésre ráadásul “Nem”, “Igen”, “Igen CCW-vel” (Compensating Control Worksheet) vagy N/A-val (Not Applicable) lehet válaszolni, és ha bármelyik kérdésre “Nem”-mel válaszol, a kérdőív arra vonatkozó információkat is kínál, hogyan lehet az adott problémát orvosolni és a szervezetet megfelelővé tenni.

Itt van néhány példa a kérdőívben található kérdésekre:

  • A PAN megjelenítéskor maszkolt (az első hat és az utolsó négy számjegy a maximálisan megjeleníthető számjegyek száma), hogy csak a jogos üzleti igénnyel rendelkező személyzet láthassa a teljes PAN-t?
  • Minden nyomvonal teljes tartalma (a kártya hátoldalán található mágnescsíkról, a chipen található egyenértékű adatokról vagy máshol) nem kerül tárolásra az engedélyezés után?
  • Létezik-e eljárás a biztonsági sebezhetőségek azonosítására, beleértve a következőket: Jó hírű külső források felhasználása a sebezhetőséggel kapcsolatos információkhoz? A sebezhetőségek kockázati besorolása, amely magában foglalja az összes “magas” kockázatú és “kritikus” sebezhetőség azonosítását?
  • Szükséges-e a felhatalmazott felek dokumentált jóváhagyása, a szükséges jogosultságok meghatározásával?
  • Beépül-e kétfaktoros hitelesítés a hálózaton kívülről származó távoli hálózati hozzáféréshez a személyzet (beleértve a felhasználókat és a rendszergazdákat) és minden harmadik fél számára (beleértve a szállítói hozzáférést a támogatás vagy karbantartás céljából)?

A szervezet elektronikusan tárolja a kártyabirtokosok adatait?

Az SAQ D-ben szereplő ennyi kérdés mellett nehéz, lehetetlen feladatnak tűnhet. De egy QSA (minősített biztonsági értékelő) segítségével, aki a PCI DSS-megfelelés szakértője, stresszmentes folyamat lehet annak kiderítése, hogy melyik a megfelelő kérdőív az Ön vállalata számára, és a PCI-megfelelőség elérése.

Advantio_Blog_Banners_PCI-DSS-WhitePaper_V1.1

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.