M3M M3M
Pl

Blog M3M

Jakie dane są objęte standardem PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) to międzynarodowy standard bezpieczeństwa zaprojektowany w celu ochrony danych posiadaczy kart płatniczych przed kradzieżą i oszustwami. Standard obejmuje szczególną ochronę zarówno podstawowych danych posiadacza karty, jak i wrażliwych danych uwierzytelniających. Poniżej przedstawiamy, jakie dane są objęte standardem PCI DSS oraz jak należy je zabezpieczać.

Dane objęte standardem PCI DSS

Standard PCI DSS obejmuje dwa główne typy danych związanych z kartami płatniczymi:

  1. Dane posiadacza karty (Cardholder Data):

 ✅ Numer karty (PAN - Primary Account Number): Unikalny numer identyfikujący kartę i jej posiadacza.

 ✅ Imię i nazwisko posiadacza karty: Dane właściciela karty, które są wymagane do identyfikacji użytkownika.

 ✅ Data ważności karty: Termin, do którego karta jest aktywna i może być używana.

 ✅ Kod usługi: Informacje używane przez instytucje finansowe w celu autoryzacji transakcji.

  1. Wrażliwe dane uwierzytelniające (Sensitive Authentication Data):

✅ Dane z paska magnetycznego (Track Data): Informacje zapisane na pasku magnetycznym karty, które są wykorzystywane podczas transakcji.

 ✅ Kod CVV/CVC (Card Verification Value/Code): Trzycyfrowy kod znajdujący się na odwrocie karty, wymagany do autoryzacji transakcji zdalnych i online.

 ✅ PIN oraz PIN block: Kod osobisty używany do autoryzacji transakcji w terminalach POS oraz bankomatach.

Jakie dane nie mogą być przechowywane?

Zgodnie z zasadami PCI DSS, dane wrażliwe związane z uwierzytelnianiem nie mogą być przechowywane po zakończeniu autoryzacji transakcji, nawet w postaci zaszyfrowanej. Dotyczy to przede wszystkim:

 ✅ Kodu CVV/CVC,

 ✅ Danych z paska magnetycznego,

 ✅ Kodów PIN.

Przechowywanie tych danych po autoryzacji transakcji zwiększa ryzyko naruszeń bezpieczeństwa i może prowadzić do poważnych konsekwencji finansowych oraz prawnych. Dlatego przestrzeganie wytycznych PCI DSS jest kluczowe dla ochrony danych posiadaczy kart.

Jak zabezpieczać dane zgodnie z PCI DSS?

Aby zapewnić ochronę danych objętych standardem PCI DSS, organizacje powinny wdrożyć następujące środki:

✅ Szyfrowanie danych: Wszystkie dane kart płatniczych powinny być szyfrowane zarówno w czasie transmisji, jak i przechowywania.

Kontrola dostępu: Dostęp do danych powinny mieć wyłącznie osoby upoważnione.

Monitorowanie i audyty: Regularne audyty i monitorowanie systemów IT w celu wykrywania potencjalnych zagrożeń.

Szkolenia pracowników: Edukacja personelu w zakresie zasad ochrony danych i zodności z PCI DSS.

Podsumowanie

Standard PCI DSS obejmuje kluczowe dane związane z kartami płatniczymi, takie jak numer karty, imię i nazwisko posiadacza, data ważności oraz wrażliwe dane uwierzytelniające, w tym kod CVV i dane z paska magnetycznego. Przestrzeganie zasad PCI DSS jest kluczowe dla minimalizacji ryzyka oszustw i naruszeń bezpieczeństwa. Organizacje, które zapewnią zgodność z PCI DSS, nie tylko zwiększą poziom ochrony danych swoich klientów, ale także zbudują zaufanie i unikną potencjalnych kar finansowych.

Get in touch

Napisz do nas

Zapoznałem się z informacją o administratorze i przetwarzaniu danych.