Czym jest PCI-DSS?
PCI-DSS (Payment Card Industry Data Security Standard) to zestaw wymagań bezpieczeństwa ustanowiony przez PCI Security Standards Council w celu ochrony danych posiadaczy kart i zapewnienia, że wszystkie organizacje przetwarzające, przechowujące lub przesyłające informacje o kartach kredytowych utrzymują bezpieczne środowisko.
Znane również jako: PCI DSS, Payment Card Industry Data Security Standard, PCI compliance
PCI-DSS definiuje 12 podstawowych wymagań w sześciu kategoriach: budowanie i utrzymanie bezpiecznej infrastruktury sieciowej, ochrona danych posiadaczy kart, utrzymanie programu zarządzania podatnościami, wdrożenie silnych środków kontroli dostępu, regularne monitorowanie i testowanie sieci oraz utrzymanie zasad bezpieczeństwa informacji. Standard ma zastosowanie do każdego podmiotu zaangażowanego w przetwarzanie kart płatniczych: sprzedawców, procesorów, acquirerów, wystawców i dostawców usług.
Wymagania 3 i 4 są szczególnie istotne dla szyfrowania: wymaganie 3 nakazuje ochronę przechowywanych danych posiadaczy kart (ze szczegółowymi metodami szyfrowania, haszowania i obcinania), podczas gdy wymaganie 4 wymaga szyfrowania danych posiadaczy kart podczas transmisji przez otwarte, publiczne sieci. Wymaganie 7 nakazuje dostęp na zasadzie need-to-know, a wymaganie 8 wymaga unikalnej identyfikacji i silnego uwierzytelniania dla każdego dostępu do komponentów systemu. Zgodność jest walidowana przez kwestionariusze samooceny lub audyty na miejscu, w zależności od wolumenu transakcji.
Zgodność z PCI-DSS wykracza poza samo środowisko danych posiadaczy kart (CDE) na każdy system mogący wpłynąć na bezpieczeństwo CDE. Obejmuje to sposób zarządzania i udostępniania poświadczeń dla systemów płatności. Udostępnianie haseł do baz danych lub kluczy API systemów przetwarzania płatności przez e-mail lub niezaszyfrowane kanały narusza ducha — i często literę — wymagań PCI-DSS dotyczących silnych kontroli dostępu i szyfrowania.
Jak Vaulted używa PCI-DSS
Vaulted wspiera zgodność z PCI-DSS, zapewniając zaszyfrowany, efemeryczny kanał do udostępniania poświadczeń dla systemów płatności i środowisk danych posiadaczy kart. Gdy zespoły muszą udostępniać poświadczenia bazy danych, klucze API bramek płatności lub tokeny dostępu dla systemów objętych PCI, Vaulted zapewnia, że dane są szyfrowane po stronie klienta za pomocą AES-256-GCM przed ich przesłaniem i automatycznie usuwane po użyciu. To jest zgodne z wymaganiem PCI-DSS 4 (szyfrowanie danych podczas transmisji) i wymaganiem 7 (ograniczenie dostępu według konieczności), zastępując trwałe jawne sekrety w e-mailach samozniszczającymi się linkami zero-knowledge.