Płatności przy użyciu kart kredytowych są coraz popularniejsze. Aby jednak utrzymać zaufanie konsumentów wobec tej metody płatności, konieczne jest zaostrzenie środków bezpieczeństwa związanych z ochroną danych kart kredytowych i transakcji. Dlatego właśnie specjaliści od bezpieczeństwa z firm wydających karty kredytowe usiedli przy jednym stole i opracowali wspólne rozwiązanie. W konsekwencji każda firma, która przetwarza, przekazuje lub przechowuje dane kart kredytowych musi spełniać określone wymogi bezpieczeństwa związane z ich ochroną. Celem jest skłonienie wszystkich przedsiębiorstw handlowych, honorujących karty kredytowe tych wydawców, do ścisłego przestrzegania warunków standardu PCI-DSS (Payment Card Industry – Data Security Standard), wcześniej znanego pod nazwą CISP (Cardholder Information Security Program).

Obecna wersja standardu została opracowana w ciągu zaledwie kilku lat. Program CISP został wdrożony w 2001 roku przez firmę VISA. Był to pierwszy tego typu standard, który wymagał od firm sprzedających towary i świadczących usługi przestrzegania określonych norm bezpieczeństwa danych. Kilka lat później VISA, MasterCard, American Express, Discover, Diners Club i JCB połączyły swoje własne zasady w jeden wspólny program i wdrożyły zaktualizowaną i pełniejszą wersję standardu, która została nazwana „Payment Card Industry Data Security Standard” (PCI-DSS). Wersja ta zaczęła obowiązywać wszystkie firmy handlowe i usługowe w czerwcu 2005 roku. W wyniku kolejnej aktualizacji we wrześniu 2006 roku standard obejmuje obecnie ok. 160 wymogów, które stały się obowiązującymi pod koniec czerwca 2007 roku. Umowa ta nie jest kolejną stertą bezużytecznych papierów: w samym 2006 roku VISA wszczęła postępowania roszczeniowe na łączną kwotę 4,6 miliona USD przeciwko firmom nieprzestrzegającym standardu. Wartość ta wzrosła o 35% względem poprzedniego roku.

Aktualny standard PCI zawiera szczegółowe normy przetwarzania i przechowywania danych kart kredytowych. Firmy muszą ich przestrzegać, aby utrzymać status partnerów danego wydawcy kart kredytowych i uniknąć wysokich kar finansowych. Możliwe, że w ciągu ostatnich miesięcy z Twoją firmą kontaktował się bank w celu przekazania informacji na temat standardu PCI i jego znaczenia dla zapobiegania oszustwom związanym z kartami kredytowymi.

Na początku tego roku firmy VISA i MasterCard uzgodniły wspólne standardy w celu zapewnienia spójności wdrażania wymogów bezpieczeństwa. Normy te, znane pod wspólną nazwą PCI-DSS (Payment Card Industry – Data Security Standards), obowiązują cały rynek płatności kartami kredytowymi.

Regulacje PCI zawierają 12 wymogów, które muszą spełniać wszystkie firmy handlowe oraz usługodawcy przyjmujący płatności za pomocą kart VISA:

Zbuduj i utrzymaj bezpieczną sieć
1. Zainstaluj i utrzymuj konfigurację z firewall'em, aby chronić dane właścicieli kart kredytowych
2. Nie używaj domyślnych haseł systemowych ani innych domyślnych ustawień zabezpieczeń

Chroń dane właścicieli kart
3. Chroń przechowywane dane właścicieli kart. Nie przechowuj niepotrzebnych danych kart lub transakcji, takich jak pełne numery kart, dane z paska magnetycznego, kody weryfikacji kart (CVV2) lub kody PIN.
4. Szyfruj przesyłanie danych właścicieli kart i poufnych informacji za pośrednictwem otwartych sieci publicznych.

Stosuj program zapobiegania zagrożeniom
5. Stosuj i regularnie aktualizuj oprogramowanie antywirusowe
6. Opracuj i utrzymuj bezpieczne systemy i aplikacje

Wdróż skuteczne środki kontroli dostępu
7. Ogranicz dostęp do danych właścicieli kart do osób, którym są one niezbędne do wykonywania pracy
8. Przypisz niepowtarzalny identyfikator każdej osobie z dostępem do komputera
9. Ogranicz fizyczny dostęp do danych właścicieli kart

Regularnie monitoruj i testuj sieci
10. Śledź i monitoruj cały dostęp do zasobów sieciowych i danych właścicieli kart
11. Regularnie testuj systemy i procesy

Stosuj zasady bezpieczeństwa danych
12. Wdróż i przestrzegaj zasad dotyczących bezpieczeństwa danych

Poniżej znajduje się szczegółowe wyjaśnienie wymogu 12.

Jednym z najważniejszych elementów punktu 12 programu bezpieczeństwa danych PCI jest zakaz przechowywania pełnych danych kart kredytowych i kodów CVV w jakiejkolwiek formie po dokonaniu udanej autoryzacji. Jest to niezwykle ważne, ponieważ dostęp do tych wysoce poufnych danych ułatwia fałszowanie kart kredytowych.

Jeśli w trakcie jakiegoś audytu zostanie wykryte, że Twoja firma przechowuje dane kart kredytowych w punkcie sprzedaży (w kasie), w systemie PMS (w obszarze kontaktów z klientami) lub w biurach, istnieje zwiększone prawdopodobieństwo, że firma VISA nałoży karę finansową na Twój bank, a bank przeniesie ją na Twoją firmę za nieprzestrzeganie norm. Firma VISA jest świadoma, że niektóre aplikacje POS i PMS przechowują dane kart kredytowych.

Dotyczy to, oczywiście, wszystkich dostawców technologii informatycznych z całej branży, również tego, z którego usług korzysta Twoja firma. Radzimy więc poprosić swojego dostawcę usług transakcyjnych o potwierdzenie zgodności ze standardem PCI.

Firmy handlowe i usługowe są zobowiązane przestrzegać standardów bezpieczeństwa danych PCI podczas przetwarzania danych kart kredytowych i transakcji. Oznacza to przejście przez proces certyfikacji, przeprowadzany przez osobę upoważnioną do tego przez firmy VISA i MasterCard.

W MICROS-Fidelio podchodzimy do tej inicjatywy bardzo poważnie. Wraz z ogłoszeniem nowych wytycznych, zakazujących powszechnie praktykowanego przechowywania danych kart kredytowych, wprowadziliśmy zmiany we wszystkich naszych aplikacjach, aby uczynić je zgodnymi z nowymi przepisami.

Od tamtego czasu dodaliśmy jeszcze inne zmiany w celu zapewnienia możliwie jak najpełniejszej zgodności z normami PCI. Naszym klientom oferujemy zgodne ze standardem PCI wersje produktów MICROS-Fidelio w formie aktualizacji. Mniejsze aktualizacje lub poprawki mogą zostać wprowadzone przez dział wsparcia technicznego firmy MICROS-Fidelio. Prosimy o sprawdzenie w dziale wsparcia technicznego, czy poprawka do posiadanego produktu jest możliwa.

Od 2006 roku firma MICROS-Fidelio jest certyfikowanym producentem oprogramowania do obsługi płatności, zgodnego ze standardami bezpieczeństwa. Na oficjalnej amerykańskiej stronie internetowej firmy VISA dostępna jest lista wszystkich certyfikowanych producentów oprogramowania oraz ich aplikacji. 

Oprócz sprawdzenia wersji posiadanego oprogramowania pod względem zgodności z normami PCI, zalecamy również upewnienie się, że wszystkie wymagane opcje konfiguracji są prawidłowo ustawione. Listę wszystkich systemów z certyfikatem PCI można znaleźć na naszej stronie.

Nasz dział wsparcia technicznego z przyjemnością pomoże przy konfiguracji opcji posiadanego oprogramowania. Można się z nami kontaktować w godzinach pracy przy użyciu standardowych metod kontaktu. W razie potrzeby zainstalowania aktualizacji oprogramowania pomożemy przy jej planowaniu.

Aby skontaktować się z lokalnym centrum wsparcia technicznego MICROS-Fidelio EAME, kliknij tutaj w celu uzyskania danych kontaktowych.

Ani firma MICROS-Fidelio, ani dostawca usług nie odpowiadają za żadne szkody wynikające z używania produktów niezgodnych z normami.

Z przykrością informujemy o tak silnych naciskach ze strony rynku na banki i firmy handlowe honorujące karty kredytowe. Czujemy się jednak w obowiązku przekazać naszym klientom te informacje.

Z przyjemnością udzielimy wszelkiej możliwej pomocy.

Standard PCI DSS (Payment Card Industry Data Security Standard) obowiązuje wszystkie firmy handlowe/przedsiębiorstwa honorujące płatności kartami kredytowymi i przechowujące dane kart kredytowych.

Aby spełniać standard PCI, konieczne jest posiadanie zgodnej z nim wersji oprogramowania. Aby uzyskać informacje na temat aktualnych, zgodnych wersji, zapoznaj się z naszą listą kompatybilności.

Jeśli Twoja firma przetwarza i przechowuje dane kart kredytowych, możliwe jest zaktualizowanie starszych wersji oprogramowania w celu spełniania warunków standardu.

Zakres niezbędnej aktualizacji zależy od wersji aktualnie posiadanego oprogramowania. Nasze działy wsparcia technicznego i sprzedaży z przyjemnością udzielą Twojej firmie pomocy w tym zakresie.

Warto również dbać o bezpieczeństwo sieci i pilnować, aby nie znalazły się w niej żadne niezabezpieczone/niezaszyfrowane kopie lub systemy szkoleniowe.

Prosimy o dokonywanie takich zmian dopiero po uzyskaniu odpowiednich instrukcji od działu wsparcia technicznego. Pomożemy Ci sprawdzić, czy konieczne są jakiekolwiek zmiany w konfiguracji.

Numer wersji jest zazwyczaj wyświetlany na ekranie przy uruchamianiu oprogramowania. W razie trudności ze znalezieniem numeru wersji prosimy o kontakt z działem wsparcia technicznego.

Jeśli posiadasz aktywną umowę serwisową, aktualizacje są bezpłatne.

W wielu przypadkach, w zależności od produktu, aktualizacja może zostać przeprowadzona zdalnie przez odpowiedni dział wsparcia technicznego.

Jeśli obecnie używana wersja jest bardzo stara, konieczne może być przeprowadzenie aktualizacji na miejscu, za co jest pobierana opłata. W zależności od zakresu aktualizacji konieczne mogą być dodatkowe opłaty, np. za nowy sprzęt.

Aby spełniać wymogi bezpieczeństwa, nie należy przechowywać/wprowadzać żadnych danych kart kredytowych i należy zainstalować aktualną wersję oprogramowania, zgodną ze standardem PCI.

Prosimy o kontakt z zespołem ds. centralnego zarządzania technologiami informatycznymi, który będzie koordynował aktualizacje.

Indywidualne certyfikaty nie są wydawane. Wszyscy producenci oprogramowania, których produkty posiadają certyfikat, są wymienieni na oficjalnej stronie firmy VISA (lista certyfikowanych dostawców oprogramowania) wraz z odpowiednimi wersjami oprogramowania. Firmy, których nie ma na liście, nie posiadają oficjalnego certyfikatu i nie spełniają surowych wymogów standardu PCI. Lista ta jest regularnie aktualizowana przez firmę VISA.

Odpowiedź zależy od wersji oprogramowania. Szczegółowe informacje na temat posiadanej wersji aplikacji można uzyskać od naszego zespołu wsparcia technicznego. Ponadto, na życzenie Twojej firmy do używanej bazy danych/interfejsu użytkownika mogły zostać dodane indywidualnie określone pola, wynikające z charakteru prowadzonej działalności, które mogą być wypełniane ręcznie.

Jeśli firma nie wprowadza ani nie przechowuje żadnych danych kart kredytowych w żadnym miejscu w obrębie systemu lub sieci, spełnia ona warunki standardu PCI. W takiej sytuacji nie są wymagane żadne aktualizacje ani zmiany w konfiguracji.

Firma MICROS-Fidelio nie sprzedaje terminali do obsługi kart kredytowych. Aby dowiedzieć się więcej, prosimy o kontakt ze swoim dostawcą usług transakcyjnych (np. firmą Concardis lub Elavon).

Tak, o ile dane kart kredytowych nie są ręcznie wprowadzane do systemu Front Office. Aby dowiedzieć się więcej, zalecamy zapoznanie się z oficjalną dokumentacją PCI-DSS.