›› Hackersafe › PCI › Najczęściej zadawane pytania

Jeśli posiadają Państwo sklep internetowy akceptujący płatności jedną lub kilkoma kartami kredytowymi, wówczas bardzo prawdopodobne jest, że strona przetwarzająca transakcje (centrum autoryzacyjno-rozliczeniowe) poinformowała Państwa o obowiązkach dotyczących tzw. standardu bezpieczeństwa danych branży kart płatniczych (Payment Card Industry Data Security Standard, PCI/DSS).

Więcej informacji o PCI/DSS znaleźć można w komunikacie opracowanym przez centrum autoryzacyjno-rozliczeniowe.

W każdym bądź razie jest oczywiste, że muszą Państwo spełniać wymagania PCI/DSS.

Być może list ten nadal rodzi pytania lub wątpliwości odnośnie działań, jakie należy podjąć odnośnie PCI/DSS. Spróbujemy w tym pomóc przez podanie poniższych informacji.

W podanych niżej „pytaniach i odpowiedziach” często wspomina się o centrum autoryzacyjno-rozliczeniowym (instytucji przetwarzającej transakcje, będącej najczęściej bankiem). Centrum autoryzacyjno-rozliczeniowe jest instytucją, która zapewnia, że realizowane przez Państwa transakcje zostają przetworzone w kraju lub za granicą (posiadacz karty zostaje obciążony, a Państwo, jako strona przyjmująca, otrzymujecie płatność, być może z udziałem jakiegoś pośrednika).

Większość sklepów internetowych działa jako dostawca usług płatniczych (PSP).
Dostawcy PSP również muszą spełniać wymagania PCI/DSS.

Zasadniczo rzecz biorąc, jeżeli transakcje są realizowane w pełni przez PSP, wystarczy, jeśli wypełnią Państwo roczny kwestionariusz samooceny (SAQ). Jeżeli przetwarzają Państwo numery kart kredytowych na swoim serwerze sieciowym (niezależnie od tego, czy są one zapisywane, czy też nie), wówczas konieczne jest wypełnienie rozszerzonego kwestionariusza PCI.

Z kim się kontaktować?
Międzynarodowe organizacje kart kredytowych (Visa, MasterCard, American Express) narzucają centrom autoryzacyjno-rozliczeniowym standard bezpieczeństwa danych PCI. Centra autoryzacyjno-rozliczeniowe odpowiadają za jego wdrożenie. W odpowiednich przypadkach ustalają też, jakie obowiązują zasady i jak mają być one stosowane. W razie pojawienia się pytań najlepiej jest zatem kontaktować się właśnie z nimi.

Pytania i odpowiedzi

Pyt.

Odp.

Pyt.

Odp.

1. Jak sprawdzić, jakim „typem” handlowca jesteśmy dla PCI?

Czy w czasie realizacji płatności na pasku URL strony, na której pojawia się prośba o szczegóły karty kredytowej, wspomniana zostaje nazwa domeny Państwa firmy lub sklepu internetowego?

W takim przypadku należy podać informacje zażądane w pytaniu 3.

2. Co trzeba zrobić, jeżeli cała transakcja jest przetwarzana przez PSP?

W takim przypadku wystarczy wypełnić roczny kwestionariusz samooceny (SAQ) TYPU A. Większość centrów autoryzacyjno-rozliczeniowych udostępnia ten dokument w Internecie w aplikacji sieciowej. Można go jednak również pobrać tutaj: https://www.pcisecuritystandards.org/saq/index.shtml, należy wybrać AOC SAQ A.

3. Co trzeba zrobić, jeżeli transakcje przetwarzane są przez naszą własną witrynę internetową?

(1) Najpierw muszą Państwo wypełnić kwestionariusz samooceny. Niektóre centra autoryzacyjno-rozliczeniowe używają w tym celu osobnych aplikacji internetowych, ale formularz ten można również pobrać tutaj: https://www.pcisecuritystandards.org/saq/index.shtml, należy wybrać AOC SAQ D – handlowcy.

(2) Muszą też Państwo wypełnić i wysłać formularz poświadczenia zgodności.

Uwaga: Punkty (1) i (2) występują niemal zawsze w postaci jednego dokumentu!

(3) Dodatkowo, w każdym kwartale, ale przy pierwszej okazji, przy której pojawiają się dwa wspomniane wcześniej dokumenty, należy przysłać raport ze skanowania bezpieczeństwa sieciowego.

Do wykonywania tego typu skanowania wyznaczono wielu certyfikowanych dostawców (zatwierdzonych dostawców usługi skanowania, ASV). Jednym z nich jest również McAfee SECURE. Za 250.00 € rocznie oferują oni narzędzia do wykonywania skanowania PCI. W Europie usługa ta jest świadczona przez Business to You BV.

4. Dlaczego trzeba wypełnić kwestionariusz?

Ponieważ nieudzielenie na pytania poprawnych odpowiedzi stwarza podstawy do pociągnięcia do odpowiedzialności. Państwa PSP lub centrum autoryzacyjno-rozliczeniowe nie mogą przyjąć na siebie odpowiedzialności i nie zrobią tego. Poza tym nie wiadomo też jakiej używają Państwo infrastruktury (aplikacje sieciowe, hosting, itd.).

5. Co w przypadku, gdy przy odpowiadaniu na pytania na formularzu SAQ potrzebują Państwo pomocy?

Oczywiście, z prośbą o wsparcie mogą się Państwo najpierw zwrócić do Business to You. Jednakże certyfikat PCI przyznawany jest Państwu zawsze przez centrum autoryzacyjno-rozliczeniowe i nie zawsze możemy wypowiadać się w jego imieniu. Z bardziej szczegółowymi pytaniami musimy się więc zwrócić do centrum autoryzacyjno-rozliczeniowego. Centrum autoryzacyjno-rozliczeniowe jest stroną, która ostatecznie przetwarza Państwa transakcje.

Przykładowe centra autoryzacyjno-rozliczeniowe: PaySquare i EMS.
W przypadku PaySquare, należy dzwonić na numer: 030 283 73 33, a następnie wybrać opcję 3.
W przypadku EMS, należy dzwonić na numer: 020 6600 595 (helpdesk ds. e-handlu).

6. Co w przypadku, gdy maja Państwo pytania odnośnie (niektórych) terminów używanych w formularzu SAQ?

Większość terminów objaśniono w następującym dokumencie (w j. angielskim): https://www.pcisecuritystandards.org/pdfs/pci_dss_glossary_v1-1.pdf

7. Które adresy IP wymagają skanowania?

Adresy IP, które muszą zostać przeskanowane, to: wszystkie adresy IP i/lub nazwy domen „internetowe” (zwane też „publicznymi” lub „zewnętrznymi”). Firmy mogą posiadać dodatkowe adresy IP, przez które nie są przesyłane informacje dotyczące kart kredytowych. Jeżeli dotyczy Państwa ten przypadek, można wówczas zwrócić się z tym do centrum autoryzacyjno-rozliczeniowego. Centrum pomoże Państwu ustalić, które adresy IP i nazwy domen muszą zostać uwzględnione w skanowaniu.

Podstawowa zasada jest taka, że w razie wątpliwości należy skontaktować się z centrum autoryzacyjno-rozliczeniowym (instytucją, która przetwarza transakcje, np. PaySquare, EMS, ATOS Worldline lub B+S).

Ważne: jako handlowiec, ponoszą Państwo odpowiedzialność za straty poniesione w przypadku, gdy adres IP i/lub nazwa domeny nie zostaną uwzględnione w skanowaniu. W razie wątpliwości należy skontaktować się ze swoim centrum autoryzacyjno-rozliczeniowym.