PCI DSS

PCI DSS, inglise keeles Payment Card Industry Data Security Standard, on rahvusvaheline infoturbestandard pangakaartide ja kaardimaksete andmete kaitsmiseks. See kehtestab ühtsed turvanõuded kõikidele pangakaartide andmeid hoidvatele, neid töötlevatele või kaardimakseid kasutavatele ettevõtetele.

PCI standardi lõid 2006. aastal viis suuremat kaardimaksete taristu ettevõtet (VISA, Mastecard jt). Standardit ning sellega seotud eeskirju ja dokumente haldab keskne organisatsioon Payment Card Industry Security Standards Council. PCI nõuete alla kuuluvad kaarte väljastavad ja kaardimakseid vahendavad pangad, kaardimakseid kasutavad poed ja teenusepakkujad, mobiili- ja veebirakenduste arendajad, maksete vahendajad ja muud pangakaartidega seotud teenused.^[1]

PCI on eeskätt tehniline standard, mille põhiline eesmärk on tagada kaardiandmeid hoidvate või töötlevate süsteemide reaalne turvalisus. PCI kõige olulisemad nõuded puudutavad piiranguid maksekaardi täieliku numbri (PAN) ja turvakoodide (PIN, CVV) salvestamisel, kasutamisel ja töötlemisel. Standardi kuus põhilist osa on järgmised:^[2]

Süsteemi- ja võrguturve (ingl. Build and Maintain a Secure Network and Systems)
Kaardiandmete kaitsmine ja krüpteerimine nii võrguliikluses kui andmebaasides (ingl. Protect Cardholder Data)
Kaitse turvanõrkuste, viiruste ja muu pahavara eest (ingl. Maintain a Vulnerability Management Program)
Juurdepääsupiirangud, kasutajahaldus ja auditeeritavus (ingl. Implement Strong Access Control Measures)
Turvaseire ja turvatestimine (ingl. Regularly Monitor and Test Networks)
Infoturbe ja turvateadlikkuse haldus (ingl. Maintain an Information Security Policy)

Eestikeelne kokkuvõte PCI DSS osadest on saadaval näiteks Swedbank'i PCI vastavuse ja nõuete lehel.^[3] Seal on kirjas ka kaupmeestelt nõutud tegevused nende kategooria (aastase kaardimaksete arvu) kaupa.

Lisaks tehnilistele nõuetele kuulub PCI standardi juurde ka auditeerimise ja aruandluse ökosüsteem. Süsteemi osalised võivad sõltuvalt enda rollist ja kaardimaksete mahust enda turvalisust ise hinnata (ingl. self-assessment) või lasta end auditeerida välisel audiitoril. Kvalifitseeritud PCI audiitoritele (ingl. Qualified Security Assessor, QSA)^[4] kehtivad omad atesteerimisnõuded ja auditeerimise eeskirjad. Süsteemide tehnilist turvalisust peavad kontrollima sertifitseeritud andmeturbeettevõtted (ingl. Approved Scanning Vendor, ASV).^[5]

PCI rakendamist ei kontrolli mitte üks keskne organisatsioon, vaid maksekaartide süsteemi osalised (pangad, maksevahendajad, kaupmehed jne) omavahel ja vastastikku. See on üks osa kaasaegse tarneahela turbe ja vastavushindamise (ingl. compliance) valdkonnast.

Viited[muuda | muuda lähteteksti]

↑ "Document Library". PCI Security Standards Council. Vaadatud 12. novembril 2020.
↑ PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2" (PDF). PCI Security Standards Council, LLC. Vaadatud 4. septembril 2018.
↑ Swedbank. "Maksekaardi andmeturbestandard (PCI DSS)". Swedbank. Vaadatud 5. jaanuar 2022.
↑ "Qualified Security Assessors". PCI security standards. Vaadatud 5. jaanuar 2022.
↑ "Approved Scanning Vendors". PCI security standards. Vaadatud 5. jaanuar 2022.

Välislingid[muuda | muuda lähteteksti]

[PCIDSSLibrary-1] "Document Library". PCI Security Standards Council. Vaadatud 12. novembril 2020.

[PCI_Validation-2] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2" (PDF). PCI Security Standards Council, LLC. Vaadatud 4. septembril 2018.

[3] Swedbank. "Maksekaardi andmeturbestandard (PCI DSS)". Swedbank. Vaadatud 5. jaanuar 2022.

[4] "Qualified Security Assessors". PCI security standards. Vaadatud 5. jaanuar 2022.

[5] "Approved Scanning Vendors". PCI security standards. Vaadatud 5. jaanuar 2022.

[1]

[2]

[3]

[4]

[5]