This certification confirms payment card security
Compliance with the PCI DSS (Payment Card Industry Data Security Standard) is mandatory for all organizations that process, transmit or store payment card data, and is required by banks around the world. This International Standard specifies how to handle information correctly to keep it safe. PCI DSS certification will increase the credibility of your company in the eyes of customers and business partners.
At TAYLLORCOX, we have been working with the security of payment cards for years. We offer the PCI DSS certification as one of the few Czech companies and we also provide a unique mix of benefits:
Why get PCI DSS certified?
By adhering to the PCI BSS standard, you will fulfil the obligation regarding all merchants and service providers, and you will confirm your commitment with the subsequent certification. Both will bring a number of benefits to your company:
You will build a secure system that reliably protects cardholder data.
You will strengthen the trust of your customers and with it the probability that they will continue to recommend you. Make it easier to enter the world of payment systems.
You will be a more trusted partner for your customers, suppliers and other stakeholders.
You eliminate the risk of extraordinary financial expenses, which could arise, for example, from the misuse of card data for fraud.
You will improve cooperation with the processing bank.
You will reduce the cost of any litigation.
PCI DSS certification process in 3 steps
At TAYLLORCOX we have developed a unique three-phase certification process that allows us to proceed with unrivalled speed and efficiency.
Předáme vašim zaměstnancům znalosti nezbytné pro udělení certifikace.
Prvním krokem je kurz PCI DSS Intro, kde získáte znalosti standardů pro bezpečný přenos dat u platebních karet a seznámíte se s nástroji, jak navrhnout a vybudovat “certifikované” PCI DSS prostředí.
Následuje kurz PCI DSS Assesor pro budoucí auditory. V jeho průběhu vás naučíme osvědčené postupy a techniky potřebné pro ochranu a bezpečnost dat, ukážeme vám roadmapu implementace všech 12 požadavků. Pochopíte praktické dopady standardu a stanete se skutečnými odborníky v oblasti plnění požadavků i assesmentu PCI DSS.
Připravili jsme pro vás balíček podpůrných materiálů, které vám usnadní cestu k úspěšné certifikaci.
Propracovaný systém dokumentů zahrnuje kompletní šablony, vzory a formuláře, které vás provedou sestavením klíčové příručky pro celou firmu, a to včetně kontrolních listů. S nimi budete mít jistotu, že jste optimalizovali všechny procesy ve firmě, jak vyžaduje legislativa i certifikace. Autory toolkitu jsou naši akreditovaní auditoři, přední odborníci na danou oblast, kteří garantují věcnou správnost a kvalitu všech obsažených materiálů.
Získejte potvrzení, že vaše firemní procesy odpovídají přísným normám kybernetické bezpečnosti.
Consorcium PCI DSS definuje 4 certifikační úrovně, které se liší podle typu zpracování platebních transakcí a jejich objemu.
Certifikaci osobně provede náš vedoucí auditor. První stupeň interního auditu – desktop review – se zaměří na popis aktuálního stavu bezpečnostní dokumentace z hlediska její komplexnosti i kompletnosti. Na něj naváže process review, kde vyhodnotíme shodu dokumentace s realitou a sestavíme seznam potřebných opatření.
Why TAYLLORCOX for your PCI DSS certification?
We will analyse your situation and we will design a specific certification procedure to ensure it meets your real needs. Moreover, we can flexibly respond to your ad-hoc requests during the certification process.
We are part of an international company which is the basis of our know-how and background. Our auditors are top experts taking part in the creation of relevant laws.
We will take over most of the administrative burden for you and thanks to our experience and detailed customization we can implement the certification process up to 75% faster than our competition.
As the only accreditation body on the market, we will also provide training for you and your employees. This is one of the reasons why the vast majority of our certifications result in success.
We offer the best quality : certification price ratio. We manage to adapt to corporations as well as start-ups, and our outputs are always just as precise.
Although our team is full of renowned specialists from a wide range of industries we are completely normal people. We provide clients with the best customer care and devote our energy to their education.
We constantly bring news and important information (not only) about PCI DSS our blog.
More details about the PCI DSS certification
The PCI DSS standard was created in 2004 at the initiative of VISA and MasterCard and was later adopted by other organizations in the industry, such as American Express, Dinners Club and JCB International. To manage the entire security program in the payment card industry, the company PCICo (PCI Security Standards Council) was also created, the founders and owners of which are the individual associations.
PCI DSS is part of the entire group of standards of the same name, which also includes the PCI PTS (PCI PIN Transaction Security Requirements), PCI PA-DSS (Payment Application Data Security Standard) and P2PE (Point-To-Point Encryption) standards. The framework of standards is based on the ISO 27000 series of standards.
Specific requirements of the PCI DSS standard
The PCI DSS standard sets six groups of goals, which bring 12 requirements:
OBJECTIVE: To build and maintain a secure network
Install and maintain firewall settings that will protect cardholder data
OBJECTIVE:
Protect stored data
Encrypt data transmission over open and public networks
OBJECTIVE:
Use and regularly update your antivirus software or program
Build and maintain secure systems and applications
OBJECTIVE: To implement robust access control measures
Restrict access to cardholder data to company needs only
Assign a unique ID to everyone who has access to a computer
Restrict physical access to cardholder data
OBJECTIVE: To regularly monitor and test networks
Track and monitor all access to cardholder data
Regularly test the safety of systems and processes
OBJECTIVE: To maintain an information security policy in the organization
Raise information security awareness among employees and other stakeholders
Together with the PCI DSS standards two control tools are used to verify that a company is complying with the established requirements:
An annual audit based on on-site testing is performed.
External testing of network infrastructure and information vulnerabilities takes place quarterly.
Často kladené otázky o certifikaci PCI DSS
Jak souvisí PCI DSS a PA DSS?
Norma PA DSS (Payment Application Data Security Standard) taktéž spadá do skupiny standardů PCI. Je určena dodavatelům platebních aplikací, které uchovávají, zpracovávají nebo přenášejí údaje držitelů karet nebo jiná citlivá autentizační data. Obchodníci mají povinnost používat jen ty aplikace a softwary, které jsou certifikované na PA DSS.
Jaký je rozsah PCI DSS certifikace?
Požadavky PCI DSS se vztahují na všechny komponenty systémů, jako jsou servery nebo aplikace, které vstupují do prostředí dat držitelů karet nebo jsou s tímto prostředím propojené. Patří mezi ně také virtuální komponenty jako virtuální stroje, přepínače, routery či zařízení, virtuální aplikace nebo pracovní stanice apod.
Prostředí dat držitelů karet zahrnuje pracovníky, procesy a technologie, které zpracovávají informace o držitelích karet nebo citlivá autentizační data.
Při hodnocení PCI DSS se nejprve přesně určí rozsah prověrky. Před pravidelným ročním auditem pak musí testovaný subjekt identifikovat všechna místa a toky dat držitelů karet a potvrdit, že jsou do stanoveného rozsahu PCI DSS zahrnuty.
Jaké jsou nejčastější problémy při realizaci auditů?
Nezdokumentovaný informační systém
U řady našich klientů zjišťujeme, že různé části systému vznikaly několik let a jejich vývoj nebyl dostatečně zdokumentován. Často klient není schopen vysvětlit, která konkrétní data informačním systémem vlastně procházejí.
Ukládání citlivých dat po autorizaci platební transakce
Citlivá data (například celé číslo karty) nesmí obchodníci po provedení autorizace platební transakce za žádných okolností ukládat, například v záznamech událostí (logy), zálohách nebo přímo v databázi.
Nedostatečné řešení informační bezpečnosti
Často se u našich klientů setkáváme se stavem, kdy není informační bezpečnost řešena tak, jak by měla: zaznamenávání událostí (logování a monitorování) je nedostatečné nebo úplně chybí, neexistuje žádný proces pro pravidelnou aktualizaci bezpečnostních záplat, zaměstnanci nemají nutné povědomí o informační bezpečnosti a kontrola nad řízením změn je také nevyhovující.
