PCI DSS


A tudásbázist folyamatosan frissítjük, így
mindenképp érdemes rendszeresen visszalátogatni!

Miről szól a 3-D Secure?

Az EMV® ’Three-Domain Secure’ (3-D Securevagy 3DS) olyan üzenetküldő protokoll, amely lehetővé teszi a felhasználók számára, hogy hitelesítsék magukat kártyakibocsátójukkal, amikor bankkártya jelenléte nélküli (CNP) e-commerce tranzakciókat hajtanak végre. Ez a kiegészítő biztonsági réteg megakadályozza a jogosulatlan CNP-tranzakciókat és megvédi a kereskedőt az ehhez kapcsolódó visszaélésektől. A szabvány 3 különböző működési tartományt különböztet meg: az első a kereskedői/elfogadói, a második a kibocsátói és a harmadik az interoperabilitási tartomány (pl. fizetési rendszerek). További információk az EMV® 3-D Secure-ra vonatkozóan az alábbi linken elérhetőek:
https://www.emvco.com/emv-technologies/3d-secure/.


Kire vonatkozik a PCI 3DS Core Security szabvány?

A PCI 3DS Core biztonsági szabvány azokra a szervezetekre vonatkozik, amelyek az EMVCo 3DS specifikációjában meghatározottak alapján az alábbi funkciókat látják el:
  • 3DS Server (3DSS)
  • 3DS Directory Server (DS)
  • 3DS Access Control Server (ACS)

Azon szolgáltatók, amelyek kihatással lehetnek ezekre a 3DS funkciókra, vagy azon környezetek biztonságára, ahol ezek a funkciók működnek, szintén kötelezettek lehetnek a PCI 3DS követelményeinek teljesítésére, az általuk nyújtott szolgáltatásnak megfelelően.
Azt, hogy az egyes szervezeteknek a PCI 3DS szabvány követelményeit milyen módon és határidőkkel kell teljesíteni, a kártyatársaságok megfelelési programjai írják elő.


Milyen módon épülnek a PCi 3DS követelmények?

A PCI 3DS Core Security Standard követelményei az alábbi két csoportba tartoznak:
  • 1. rész: Alapvető biztonsági követelmények azon műszaki és működés biztonsági elvárások biztosítására, amelyek célja a 3DS funkciókat ellátó környezet védelme. Ezek a követelmények tükrözik azon általános biztonsági elveket és elvárásokat, amelyet több iparági szabvány is előír, és amelyeket bármely környezetben érdemes figyelembe venni.
  • 2. rész: specifikus 3DS biztonsági követelmények azon biztonsági kontrollok megvalósítására, amelyek kifejezetten a 3DS adatok, technológiák és folyamatok védelmét szolgálják.


Mi a kapcsolat a PCI 3DS Core Security Standard és a PCI 3DS SDK Security Standard között?

A PCI 3DS Core Security Standard és a PCI 3DS SDK Security Standard független szabványok, amelyek meghatározzák a teljes 3DS ökoszisztéma egyes területeire vonatkozó elvárt biztonsági kontrollokat.
  • A PCI 3DS Core Security Standard támogatja az EMVCo 3DS Core specifikációt, és olyan szervezetekre vonatkozik, amelyek konkrét 3DS funkciókat látnak el vagy nyújtanak, mint a 3DS Server (3DSS), 3DS Directory Server (DS) vagy 3DS Access Control Server (ACS) funkciók.
  • A PCI 3DS SDK biztonsági szabvány azokra a szervezetekre vonatkozik, amelyek az EMV® 3-D Secure SDK specifikációban meghatározottak szerint 3DS SDK termékeket fejlesztenek.

Bár a két PCI-szabvány az egyes 3DS-komponensek biztonságának egységes szintjét határozzák meg, ugyanakkor különálló szabványok, külön követelményekkel és programokkal rendelkeznek, és az egyiknek történő szabványos megfelelés nem jelent automatikusan megfelelést a másik felé is.


Mi a kapcsolat a PCI 3DS Core Security Standard és a PCI DSS között?

A PCI 3DS Core Security Standard és a PCI DSS különálló, független szabványok, amelyek mindegyike bizonyos típusú szervezetek számára készült. A PCI 3DS Core Security standard a 3DS környezetekre vonatkozik, amelyek 3DSS, ACS és / vagy DS szerver funkciókat látnak el, míg a PCI DSS minden olyan esetben érvényes, ahol a bankkártya adatokat tárolnak, dolgoznak fel vagy továbbítanak. Az egyes szabványok alkalmazhatóságának részletei a szabványok bevezető részében találhatók.
Amennyiben egy szervezetre mindkét szabvány alkalmazható, akkor egyeztetni kell az elfogadóval és / vagy a kártyatársaságokkal annak megállapítása érdekében, hogy csak egyik vagy mindkettő szabványnak meg kell-e felelnie.
Bár sok 3DS hatálya alá eső szervezet rendelkezik PCI 3DS-re és PCI DSS-re vonatkozó felelősséggel is, előfordulhat, hogy az adott cég nem tárol, nem dolgoz fel vagy továbbít semmilyen bankkártya adatot - például, ha csak EMVCo fizetési tokeneket érintő 3DS-tranzakciók kezelésében vesz részt. Ebben az esetben előfordulhat, hogy egy ilyen szervezet nem tartozik a PCI DSS hatálya alá. A cégeknek minden esetben meg kell keresniük az elfogadójukat és / vagy a kártyatársaságokat, hogy meghatározzák valamely PCI-szabványnak való megfelelési kötelezettségeiket.


Hogyan kezelje egy 3DS hatálya alá eső szervezet a 3DS és PCI DSS által is érintett környezetét?

A bankkártya adatokat tároló, feldolgozó vagy továbbító és 3DS hatálya alá eső szervezetek rendelkeznek egy 3DS-környezettel (3DE), illetve egy kártyaadat-környezettel (CDE) is. Ha a bankkártya adatok jelen vannak abban a környezetben, amely 3DS funkciókat lát el, akkor a környezet mind 3DE-nek, mind CDE-nek is tekinthető.
Amennyiben a 3DE és a CDE ugyanabban a környezetben található, a szervezet képes lehet olyan biztonsági kontrollok megvalósítására, amelyek megfelelnek mindkét szabvány követelményeinek. Mivel a PCI 3DS Part 1: Baseline Security Requirements a PCI DSS által megkövetelt számos biztonsági célkitűzést lefedi, előfordulhat, hogy annak teljesítéséhez további kontrollok megvalósítására nem lesz szükség, amennyiben a PCI DSS követelmények teljes mértékben megvalósításra kerülnek.
Ha az egyik szabvány követelménye szigorúbb biztonsági kontroll megvalósítását követeli meg, mint amit a másik szabvány előír, a szervezetnek szükséges lehet a szigorúbb kontroll megvalósítása a teljes környezetben, hogy mindkét szabvány alkalmazandó követelményei teljesüljenek.
Ettől eltérő forgatókönyv lehet, ha a 3DS hatálya alá eső cég rendelkezik egy CDE-vel, amely külön áll és szegmentált a 3DE-től. Ebben az esetben az adott szervezet választhat, hogy eltérő kontrollokat vezet be, ahogyan azt az alkalmazandó szabvány elvárja.
Azt, hogy egy 3DS hatálya alá eső cégnek szükséges-e a PCI 3DS Core Security Standard-nak és / vagy a PCI DSS-nek megfelelni, az egyes kártyatársasági megfelelési programok határozzák meg.


Felhasználhatja-e egy szervezet a PCI DSS auditja eredményeit a 3DS auditja során?

Előfordulhat olyan eset, hogy a PCI 3DS Part 1: Baseline Security Requirements teljesítéséhez további kontrollokra nincs szükség, ha a PCI DSS megfelelés teljes mértékben megvalósult a 3DE és az összes 3DS rendszerelem védelme érdekében.
Abban az esetben, ha a 3DE és a CDE ugyanabban a környezetben helyezkedik el, és a PCI DSS kontrollokat minden 3DE rendszerkomponensre alkalmazták és auditálták, a 3DS hatálya alá tartozó cég alkalmas lehet a PCI DSS audit eredményeinek felhasználására a PCI 3DS Part 1 követelmények érvényesítéséhez.
A 3DS hatálya alá eső cégeknek, akik e célból egy PCI DSS audit eredményeit szeretnék felhasználni, egyeztetniük kell ezt a megközelítést az elfogadójukkal és / vagy a kártyatársaságokkal. A PCI DSS audit eredményei semmiképpen sem érvényesíthetők a 3DS Part 2 követelményeire vonatkozóan.
A PCI 3DS Part 1 és a PCI DSS követelmények összehangolása a PCI 3DS Core Security Standard ’B’ függelékében található. A 3DS auditornak dokumentálnia kell a 3DE PCI DSS lefedettségét a 3DS Report on Compliance and Attestation of Compliance dokumentumokban.
Jelenleg nincs lehetőség arra, hogy egy szervezet a PCI 3DS audit eredményeit PCI DSS audit során felhasználja. A PCI 3DS Part 1-nek történő megfelelés nem befolyásolja vagy helyettesíti a PCI DSS megfelelésre vonatkozó kötelezettségeket.


További információkért látogassa meg a PCI Security Standards Council oldalát

Kiemelt tudásbázisaink


Ismerje meg a Qualys integrált biztonsági megoldásait!

Tovább »
_________________________________
Tudjon meg többet a PCI DSS megfelelésről!

Tovább »
Minősítéseink
Kiemelt partnereink© AperSky Tanácsadó Kft.