Co je PCI DSS
Payment Card Industry Data Security Standard je metodika navržená skupinou Visa, MasterCard a American Express. Framework vychází z norem řady ISO 27000. Cílem PCI DSS je zvýšení bezpečnosti platebních karet, eliminace podvodů, či zneužití.
Rizika PCI DSS
Nezdokumentovaný informační systém
U řady našich klientů jsme se při provádění auditu setkali se stavem, kdy v důsledku toho, že různé části systému historicky vznikaly řadu let a jejich vývoj nebyl řádně dokumentován, nám klient často ani nebyl schopen vysvětlit, jaká konkrétní data různými částmi informačního systému vlastně procházejí.
Ukládání citlivých po autorizaci platební transakce
Citlivá data (například celé číslo karty) nesmí obchodníci po provedení autorizace platební transakce za žádných okolností ukládat, například v záznamech událostí (logy), zálohách nebo přímo v databázi.
Problémy s dodržováním pravidel informační bezpečnosti
PCI DSS je norma z oblasti informační bezpečnosti a vyžaduje komplexní řešení této problematiky v rámci organizace. Nicméně u našich klientů se často setkáváme se stavem, kdy informační bezpečnost není dostatečně řešena. Typickými příklady mohou být chybějící nebo nedostatečné zaznamenávání událostí (logování a monitorování), neexistence procesu pro pravidelnou aktualizaci bezpečnostních záplat, nedostatečná kontrola nad řízením změn nebo nedostatečné povědomí o bezpečnosti mezi zaměstnanci společnosti.
