Login
Obsah x
Dodržování standardu PCI DSS
      Obsah

      Dodržování standardu PCI DSS

          Article Summary

          PCI DSS (Payment Card Industry Data Security Standard) je mezinárodní standard, který stanovuje normy bezpečnosti zpracování a sběru karetních dat. Poslední závazné znění aktuálních dokumentů je k dispozici v angličtině na tomto odkazu, pro lepší srozumitelnost je možné pročíst také popis standardu v češtině, který však nemusí být aktuální.

          Opatření vyplývající ze standardu PCI DSS zabraňují zneužití karetních dat zákazníka.


          Jaká citlivá data je potřeba chránit
          • Data držitelů platebních karet – číslo karty, datum její expirace, jméno držitele karty.
          • Citlivá ověřovací data (kódy CAV2 / CVC2 / CVV2 / CID, kompletní data z magnetického proužku, osobní identifikační číslo (PIN)).


          Obchodník má povinnost seznámit se se standardem PCI DSS a dodržovat jej. V praxi mají poněkud odlišné povinnosti obchodníci v e-commerce a mimo e-commerce, tedy klienti s platební bránou a ti s platebním terminálem.

          Platební brána

          Z pohledu obchodníka v e-commerce stačí prokázat využití certifikovaného (z hlediska PCI DSS) poskytovatele služeb, resp. řešení, kdy obchodník nepřichází do styku s číslem platební karty. To je případ platební brány Comgate – vše probíhá bezpečně v prostředí platební brány, obchodník nemá přístup ke karetním údajům, tato data nepříjímá, nepřenáší ani neukládá ve svých systémech (pokladní, účetní systém). Pokud tedy obchodník implementuje platební bránu Comgate standardně podle návodu (a nikde jinde u sebe karetní data nesbírá), nemusí se o nic starat. Comgate má certifikát PCI DSS nejvyšší úrovně, pro klienty s platební bránou tedy platí, že při její správné implementaci nemusejí přijímat žádná další opatření.

          Platební terminály

          Obchodník nese odpovědnost za ochranu dat držitelů platebních karet zejména v místě prodeje a za jejich případný přenos do pokladního či jiného počítačového systému. Nastavení a zabezpečení systémů musí být ošetřeno tak, aby nebyla ohrožena data držitelů platebních karet, a to včetně systémů vašich dodavatelů. Nejlepším postupem, jak minimalizovat možnost odcizení citlivých dat, je neukládat žádná karetní data.

          V provozovně tedy obchodník přijme taková opatření, aby například bezpečnostní kamera nesnímala klávesnici terminálu, na níž zákazník zadává PIN, nebo aby byl chráněný prostor, kde se ukládají papírové stvrzenky z terminálu (pokud citlivá data obsahují).

          Za opatření vyplývající z dispozice a uspořádání provozovny Comgate ručit nemůže, ovšem pokud jde o přenos dat z terminálu, je vše zabezpečeno podle standardu PCI DSS. Podobně jako u platební brány tedy platí, že je-li terminál nastaven podle návodu, obchodník nemusí přijímat žádná další opatření ohledně ochrany karetních dat během jejich přenosu.




          Byl tento článek užitečný?
          What's Next
          Platební brána
          Platební terminál
          Podnikatelský úvěr
          Platby a účtování
          Pro programátory
          Klientský portál
          Kontakt
          © Comgate a.s.
          Change password!
          Changing your password will log you out immediately. Use the new password to log back in.
          Change profile
          Success!
          First name must have atleast 2 characters. Numbers and special characters are not allowed.
          Last name must have atleast 1 characters. Numbers and special characters are not allowed.
          Enter a valid email
          Enter a valid password
          Your profile has been successfully updated.
          Logout