PA DSS – technologiniai standartai

Siekiant užtikrinti vartotojų duomenų saugumą, griežtėja atsiskaitymo bankinėmis kortelėmis reikalavimai. Šiuo metu vienas aktualiausių reikalavimų yra korteles nuskaitančiai įrangai – PA DSS (angl. Payment Application Data Security Standard) standartas, – tai VISA, MasterCard ir kitų korporacijų tarybos sukurtas standartas, apibrėžiantis saugumo reikalavimus bankines mokėjimo korteles apdorojančiai programinei įrangai. Šis sertifikatas užtikrina, kad svarbūs klientų duomenys būtų apsaugoti nuo neteisėto jų panaudojimo ar vagystės atveju. Nuo 2012-07-01 visa Baltijos šalyse naudojama bankinių kortelių aptarnavimo įranga turi būti sertifikuota pagal PA DSS reikalavimus.

PCI DSS – technologijų ir procesų standartai

PCI DSS (Payment Card Industry Data Security Standard) standartas reglamentuoja reikalavimus priimančioms, perduodančioms ir apdorojančioms atsiskaitymus bankinėmis kortelėmis kompanijoms, t.t. ir mažmeninės prekybos ir paslaugų įmonėms. Pavyzdžiui, VISA Europe yra nustačiusi:

  • 1 lygio, t.y. aptarnaujančios virš 6 000 000 bankinių kortelių transakcijų per metus prekybos ir paslaugų įmonės privalo praeiti nepriklausomą saugos auditą ir vėliau kartoti jį kasmet nuo 2010-09-30;
  • 2 lygio, t.y. aptarnaujančioms nuo 1 000 000 iki 6 000 000 bankinių transakcijų per metus prekybos ir paslaugų įmonėms privalomas formalus sertifikavimo laikas dar nėra nustatytas, tačiau jau nuo 2009-09-30 jiems gali būti taikomos baudos ar kitokios sankcijos, jei jų sistemose būtų aptikti duomenys, kuriuos draudžiama saugoti pagal PCI DSS standarto reikalavimus. Ateityje bus privaloma praeiti nepriklausomą saugos auditą ir 2 lygio prekybos organizacijoms.

EPS LT siūlomo banko mokėjimo kortelių sprendimo privalumai

  • PCI DSS sertifikavimo kaštų sumažinimas;
  • Prekybos ir paslaugų įmonėms, naudojantis EPS LT sprendimą gali sutaupyti net iki penkių kartų;
  • Tai yra vienas pažangiausių ir šiuolaikiškiausių sprendimų, kuris sėkmingai veikia net 5 šalyse.

Toliau pateikiamoje lentelėje nurodoma, kokie PCI DSS rekalavimai nėra privalomi naudojant EPS LT bankinių kortelių aptarnavimo sprendimą.

 

 Nr.  PCI DSS reikalavimas  Privalomas?*
1  Kontroliuoti kompiuterinio tinklo užkardą, kad būtų apsaugoti koretelės turėtojo duomenys  ne
2  Nenaudoti standartinių ar lengvai atspėjamų slaptažodžių  ne
3  Apsaugoti kortelės turėtojo duomenis  taip
4  Užšifruoti kortelių duomenis, kurie siunčiami per viešus kompiuterinius tinklus  ne
5  Naudoti ir reguliariai atnaujinti antivirusines programas  ne
6  Įdiegti ir prižiūrėti tinklo saugumo sistemas  ne
7  Riboti priėjimą prie kortelės duomenų  ne
8  Kiekvienam kompiuterio naudojimui suteikti unikalius prisijungimo duomenis  ne
9  Riboti fizinį priėjimą prie kortelės duomenų  taip
10  Sekti visas prieigas prie kompiuterinio tinklo ir kortelių duomenų  ne
11  Nuolatos testuoti saugumo sistemas  ne
12  Įdiegti ir nuolat atnaujinti informacinės saugos dokumentaciją  taip

*Informacija paremta esamų EPS LT, UAB klientų PCI DSS sertifikavimo patirtimi. Galutinis sprendimas dėl reikalavimo privalomumo priimamas PCI QSA auditoriaus.