Dodržování standardu PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) je mezinárodní standard, který stanovuje normy bezpečnosti zpracování a sběru karetních dat. Poslední závazné znění aktuálních dokumentů je k dispozici v angličtině na tomto odkazu, pro lepší srozumitelnost je možné pročíst také popis standardu v češtině, který však nemusí být aktuální.
Opatření vyplývající ze standardu PCI DSS zabraňují zneužití karetních dat zákazníka.
- Data držitelů platebních karet – číslo karty, datum její expirace, jméno držitele karty.
- Citlivá ověřovací data (kódy CAV2 / CVC2 / CVV2 / CID, kompletní data z magnetického proužku, osobní identifikační číslo (PIN)).
Obchodník má povinnost seznámit se se standardem PCI DSS a dodržovat jej. V praxi mají poněkud odlišné povinnosti obchodníci v e-commerce a mimo e-commerce, tedy klienti s platební bránou a ti s platebním terminálem.
Platební brána
Z pohledu obchodníka v e-commerce stačí prokázat využití certifikovaného (z hlediska PCI DSS) poskytovatele služeb, resp. řešení, kdy obchodník nepřichází do styku s číslem platební karty. To je případ platební brány Comgate – vše probíhá bezpečně v prostředí platební brány, obchodník nemá přístup ke karetním údajům, tato data nepříjímá, nepřenáší ani neukládá ve svých systémech (pokladní, účetní systém). Pokud tedy obchodník implementuje platební bránu Comgate standardně podle návodu (a nikde jinde u sebe karetní data nesbírá), nemusí se o nic starat. Comgate má certifikát PCI DSS nejvyšší úrovně, pro klienty s platební bránou tedy platí, že při její správné implementaci nemusejí přijímat žádná další opatření.
Platební terminály
Obchodník nese odpovědnost za ochranu dat držitelů platebních karet zejména v místě prodeje a za jejich případný přenos do pokladního či jiného počítačového systému. Nastavení a zabezpečení systémů musí být ošetřeno tak, aby nebyla ohrožena data držitelů platebních karet, a to včetně systémů vašich dodavatelů. Nejlepším postupem, jak minimalizovat možnost odcizení citlivých dat, je neukládat žádná karetní data.
V provozovně tedy obchodník přijme taková opatření, aby například bezpečnostní kamera nesnímala klávesnici terminálu, na níž zákazník zadává PIN, nebo aby byl chráněný prostor, kde se ukládají papírové stvrzenky z terminálu (pokud citlivá data obsahují).
Za opatření vyplývající z dispozice a uspořádání provozovny Comgate ručit nemůže, ovšem pokud jde o přenos dat z terminálu, je vše zabezpečeno podle standardu PCI DSS. Podobně jako u platební brány tedy platí, že je-li terminál nastaven podle návodu, obchodník nemusí přijímat žádná další opatření ohledně ochrany karetních dat během jejich přenosu.