PCI DSS
Xehetasunak
Nori zuzenduta dago?
PCI DSS estandarra ordainketa-txartelen datuak eta horiek egiaztatzeko isilpeko datuak biltzeko, prozesatzeko eta transmititzeko prozesuetan parte hartzen duten erakundeei zuzenduta dago.
Zer da?
PCI DSS Payment Card Industry Data Security Standard-en akronimoa da, PCI SSCk (Payment Card Industry Security Standards Council) sortutako segurtasun-estandar bat, eta txartelaren jabearen datuak babesteko edota egiaztapena egiteko beharrezkoak diren biltegi, prozesamendu eta transmisio prozesuetan zehar isilpeko datu horiek zaintzeko kontrolak zehaztean datza. Gaur egun, 3.2.1 bertsioa dago indarrean, 2018ko maiatzaren 17an argitaratua.
PCI DSS estandarraren lehen bertsioa argitaratu aurretik, PCI SSCren partaide diren ordainketa-txartelen marka bakoitzak (Visa, Mastercard, American Express, JCB eta Discover) bere segurtasun-programa propioa zuen txartelen jabeen datuak babesteko. Programa horietako bakoitzak inplementatu beharreko kontrolak ezartzen zituen, kontrol horiek zein erakundek gainditu behar zituzten, baldintzak betetzen ez zituztenen kanporatze-prozesuak, eta arau-urratze bakoitzerako zigorrak eta isunak.
Beraz, erakunde batek marka horietako txartel baten datuak biltzen, prozesatzen edo transmititzen zituenean, marka bakoitzaren programa espezifikoa bete behar zuen, eta horrek bikoiztasunak, inkongruentziak eta gainezarpenak eragiten zituen kontrolak inplementatzeko orduan, baita zama burokratiko handiagoa ere.
Horrek guztiak ordainketa-txartelen markak estandar bakar baten alde egitera bultzatu zituen, haien segurtasun-eskakizun eta -ikuspegiekin bat datorrena maila guztietan, aipatutako arazoak ekiditen dituena eta erakundeek erraz inplementatu dezaketena.
Hala ere, garrantzitsua da argitzea PCI DSS estandarra argitaratzean ez zirela marken programa propioak desagertu, marka bakoitzari baitagokio modu independentean estandarra nork bete behar duen erabakitzea eta, norbaitek arauak urratu eta txartelen datuak agerian geratzen diren kasuetan, isunak eta zigorrak ezartzea.
Rolak eta ardurak
Adierazitakoaren arabera, hauek dira PCI DSS estandarra betetzeko rolak eta ardurak:
Payment Card Industry Security Standards Council (PCI SSC)
- PCI DSS segurtasun-estandarra argitaratzea eta eguneratzea.
Ordainketa-txartelen markak (Visa, Mastercard, American Express, JCB, Discover)
- Bete beharreko programak zehaztea, arauak urratzen dituztenen kanporaketa kudeatzea eta isunak eta zigorrak ezartzea.
Erosleak (acquirers), ordainketa-sareak (payment networks) eta igorleak (issuers)
- PCI DSS estandarrak zehaztutako segurtasun-kontrolak beren inguruan inplementatzen dituzte.
- PCI DSS estandarraren bitartez, arauen urratzeak jakinarazten dizkiete ordainketa-txartelen markei.
- Denda atxikietako arau-urratzeak zentralizatu eta ordainketa-txartelen markei jakinarazten dizkiete.
Dendak (merchants) y zerbitzu-hornitzaileak (service providers)
- PCI DSS estandarrak zehaztutako segurtasun-kontrolak beren inguruan inplementatzen dituzte.
- PCI DSS estandarraren bidez, arau-urratzeak jakinarazten dizkiete dagokien erosleei, ordainketa-sareei eta igorleei (edo, bestela, ordainketa-txartelen markei, hala badagokie).
Helburuak
PCI DSS estandarraren helburuak puntu hauetan laburbiltzen dira:
- Ordainketa-txartelen jabeen informazioa babestuta dagoela bermatzea.
- Ordainketa-txartelen informazioa agerian geratzeko arriskua murriztea.
- Transakzioetan, ordainketa-txartelen jabeen konfiantza handitzea.
- Interneten eta beste kanal batzuetan gertatzen diren identitatearen ordezpenari eta beste iruzur mota batzuei aurre egitea.
PCI DSS estandarraren segurtasun-kontrolen deskribapena
PCI DSS estandarrak bete beharreko 12 eskakizun zehazten ditu, logikaren arabera antolatutako 6 ataletan banatuak; horiei “kontrol-helburuak” deritze.
Hona hemen kontrol-helburuak eta haien eskakizunak:
Sare seguru bat garatzea eta mantentzea
- 1. eskakizuna: Suebakien konfigurazioa instalatzea eta mantentzea, txartelen jabeen datuak babesteko.
- 2. eskakizuna: Hornitzaileek eskaintzen dituzten aurretik zehaztutako sistema-pasahitzak eta beste segurtasun-parametro batzuk ez erabiltzea.
Txartelen jabeen datuak babestea
- 3. eskakizuna: Txartelen jabeengandik jasotako datuak babestea.
- 4. eskakizuna: Sare publiko irekien bidez transmititutako txartelen jabeen datuak eta isilpeko informazioa kodetzea.
Akatsak kudeatzeko programa mantentzea
- 5. eskakizuna: Antibirus softwarea erabiltzea eta aldian behin eguneratzea.
- 6. eskakizuna: Sistema eta aplikazio seguruak garatzea eta mantentzea.
Sarbidearen kontrolerako neurri sendoak inplementatzea
- 7. eskakizuna: Datuetarako sarbidea mugatzea, informazioa ezagutu beharra oinarri hartuta.
- 8. eskakizuna: Ordenagailu batean diharduen pertsona bakoitzari identifikazio bakarra ematea.
- 9. eskakizuna: Txartelen jabeen datuetarako sarbide fisikoa mugatzea.
Sareak monitorizatzea eta aldian behin probatzea
- 10. eskakizuna: Sareko baliabideetarako eta txartelen jabeen datuetarako sarbidea miatzea eta monitorizatzea.
- 11. eskakizuna: Sistemak eta segurtasun-prozesuak maiz probatzea.
Informazioaren Segurtasun Politika bati eustea
- 12. eskakizuna: Informazioaren segurtasuna bermatzen duen politika bati jarraitzea.
Aipatutako 12 eskakizunek segurtasun logiko, fisiko eta administratiborako 260 kontrol inguru barne hartzen dituzte. Estandarrari eusteko, kontrol horiek guztiak bete behar dira. PCI DSS estandarra binarioa da, hots, betetzen da ala ez da betetzen (ezin da soilik zati batean bete). Hortaz, kontrol bakar bat ez betetzeak estandarra baztertzea dakar.
Estandarrari eusteko onurak
Aipatutako erakundeak behartuta daude PCI DSS estandarra betetzera. Izan ere, PCI DSS estandarra betetzeak segurtasuna hobetzea dakar, eta horrek beste onura batzuk ere baditu: markaren irudia hobetzea, haren jarduerarekin lotutako arriskuak murriztea edo hornitzaileen kontrol hobea izatea.
Erreferentziak
PCI SSCren webgunea: www.pcisecuritystandards.org