PCI DSS
Standard bezpečnosti dat v odvětví platebních karet (PCI DSS) vyžaduje, aby každá organizace, která zpracovává, uchovává nebo přenáší data držitelů karet, udržovala formální program bezpečnostního povědomí. Roleplays mění tento požadavek na měřitelné a poutavé školení.
Co je PCI DSS?
Standard bezpečnosti dat v odvětví platebních karet (PCI DSS) je globální standard pro zabezpečení informací vyvinutý radou PCI Security Standards Council, kterou založily společnosti Visa, Mastercard, American Express, Discover a JCB. PCI DSS, aktuálně ve verzi 4.0.1, definuje technické a provozní požadavky na ochranu dat držitelů karet v průběhu celého životního cyklu platby.
PCI DSS se vztahuje na jakoukoli organizaci, která přijímá, zpracovává, uchovává nebo přenáší informace o platebních kartách. To zahrnuje obchodníky všech velikostí, zpracovatele plateb, akvírery, vydavatele a poskytovatele služeb. V praxi to znamená, že do rozsahu spadají operátoři call center, kteří přijímají čísla karet po telefonu, zaměstnanci maloobchodu, kteří zpracovávají transakce, i IT týmy, které spravují platební infrastrukturu.
Nesoulad může vést k pokutám od 5 000 do 100 000 dolarů měsíčně od karetních asociací, zvýšeným transakčním poplatkům, ztrátě možnosti zpracovávat platby kartou a značnému poškození pověsti po úniku dat. Standard není dobrovolný, je vynucován prostřednictvím smluvních závazků mezi obchodníky a jejich akvírujícími bankami.
Kdo musí dodržovat
- Call centra zpracovávající data platebních karet
- Maloobchodní a e-commerce firmy
- Banky, fintechy a zpracovatelé plateb
- Poskytovatelé SaaS v platebním ekosystému
Důsledky nesouladu
- Pokuty až 100 000 dolarů měsíčně za karetní asociaci
- Zvýšené poplatky za zpracování transakcí
- Odebrání oprávnění ke zpracování karet
- Odpovědnost za podvodné transakce po úniku dat
Požadavky na školení
Požadavek 12.6 PCI DSS v4.0 stanovuje povinné školení bezpečnostního povědomí pro veškerý personál s přístupem k prostředí dat držitelů karet.
Požadavek 12.6, program bezpečnostního povědomí
Musí být zaveden formální program bezpečnostního povědomí, který seznámí veškerý personál se zásadami a postupy bezpečnosti dat držitelů karet. To přesahuje pouhý dokument se zásadami, organizace musí aktivně vzdělávat zaměstnance o hrozbách, správné manipulaci s daty a jejich individuální odpovědnosti za ochranu dat držitelů karet.
Co ověřují auditoři QSA: Že existuje zdokumentovaný program, je schválen vedením a pokrývá veškerý personál, nejen IT pracovníky. Program musí řešit aktuální hrozby a být přizpůsoben konkrétnímu prostředí dat držitelů karet dané organizace.
Požadavek 12.6.1, formální program povědomí
Program bezpečnostního povědomí musí být přezkoumáván nejméně jednou za 12 měsíců a podle potřeby aktualizován tak, aby reagoval na nové hrozby a zranitelnosti. Program musí zahrnovat více metod komunikace povědomí a vzdělávání personálu, například plakáty, dopisy, schůzky, webové školení nebo simulovaná phishingová cvičení.
Co ověřují auditoři QSA: Dokumentaci prokazující, že program byl přezkoumán a aktualizován během uplynulých 12 měsíců, s důkazy o použití více komunikačních kanálů.
Požadavek 12.6.2, roční školení
Personál musí absolvovat školení bezpečnostního povědomí nejméně jednou za 12 měsíců. Noví zaměstnanci musí školení dokončit při nástupu. Jde o minimální frekvenci, organizace čelící vyššímu riziku nebo s vyšší fluktuací zaměstnanců by měly zvážit častější školicí cykly.
Co ověřují auditoři QSA: Záznamy o dokončení školení pro veškerý personál v rozsahu během uplynulých 12 měsíců a důkazy o tom, že noví zaměstnanci absolvovali školení před získáním přístupu k datům držitelů karet.
Požadavek 12.6.3, potvrzení zaměstnance
Personál musí nejméně jednou za 12 měsíců potvrdit, že si přečetl a porozuměl zásadám a postupům bezpečnostního povědomí. Tento požadavek zajišťuje, že zaměstnanci nejsou pouze pasivně zapsáni, ale aktivně se zapojují do obsahu. Pouhé zaškrtnutí políčka nestačí, potvrzení musí prokázat smysluplné zapojení.
Co ověřují auditoři QSA: Podepsaná nebo elektronicky zaznamenaná potvrzení od veškerého personálu v rozsahu, datovaná v rámci uplynulých 12 měsíců. Auditoři hledají důkazy, že potvrzení je navázáno na skutečné dokončení školení, nikoli pouze samostatný podpis.
Jak Roleplays pomáhá
Nahraďte prezentace realistickými simulacemi, které testují skutečné chování, a poté zdokumentujte vše, co váš QSA potřebuje.
Scénáře specifické pro PCI
Předpřipravené simulace nejčastějších způsobů selhání PCI: hovory sociálního inženýrství požadující čísla karet, phishingové e-maily cílící na platební systémy, neoprávněné proniknutí do zabezpečených prostor a nesprávné ukládání dat karet. Scénáře jsou aktualizovány s vývojem hrozeb, čímž splňují mandát čl. 12.6.1 na roční přezkum.
Školení maskování dat
Školte operátory, aby nikdy nečetli nahlas celá čísla karet, používali správné techniky maskování (zobrazení pouze posledních čtyř číslic) a rozpoznali, kdy se volající snaží vylákat více dat, než je nutné. Simulovaní volající testují, zda operátoři dodržují protokoly maskování pod tlakem.
Bodování chování operátorů
Vícekriteriální hodnocení AI boduje každého operátora v oblasti bezpečnostního povědomí, souladu při manipulaci s daty, odolnosti vůči sociálnímu inženýrství a správných postupů eskalace. Výsledky se mapují na konkrétní požadavky PCI DSS a poskytují důkazy o způsobilosti, které auditoři QSA očekávají nad rámec pouhých záznamů o docházce.
Dokumentace souladu
Každá školicí relace generuje záznamy s časovým razítkem včetně identifikace účastníka, obsahu školení, doby trvání, hodnotících skóre a stavu dokončení. Exportujte reporty souladu prokazující, že 100 % personálu v rozsahu bylo proškoleno v rámci 12měsíčního okna, přesně jak vyžaduje čl. 12.6.2.
Obrana proti sociálnímu inženýrství
Simulovaní útočníci používají taktiky sociálního inženýrství z reálného světa: vydávání se za IT podporu, manipulace založená na naléhavosti, předstírání autority a vícestupňové útoky pomocí záminek. Operátoři se učí tyto taktiky rozpoznávat a odolávat jim v bezpečném prostředí, než jim budou čelit v provozu.
Vestavěné potvrzení
Dokončení simulace je potvrzením. Na rozdíl od pasivních formulářů se zaškrtávacím políčkem každá dokončená relace prokazuje, že se zaměstnanec aktivně zapojil do bezpečnostního obsahu. Záznamy o dokončení relace slouží jako potvrzení podle čl. 12.6.3, s úplnými časovými razítky a údaji o výkonu jako důkazem.
Často kladené dotazy
Splňuje Roleplays požadavek PCI DSS 12.6.2 na roční školení?
Ano. Platforma sleduje data dokončení školení pro každého zaměstnance a generuje reporty zobrazující stav souladu v celé vaší organizaci. Můžete konfigurovat roční nebo častější školicí cykly, nastavit automatické připomínky nadcházejících termínů a exportovat důkazy o dokončení ve formátech, které auditoři QSA očekávají.
Můžeme vytvořit scénáře specifické pro prostředí našeho call centra?
Rozhodně. Kromě předpřipravených scénářů PCI můžete vytvořit vlastní simulace, které zrcadlí vaše konkrétní toky hovorů, platební procesy a prostředí hrozeb. Můžete například simulovat volajícího, který žádá operátora, aby mu nahlas přečetl celé číslo karty kvůli "ověření", nebo útok pomocí záminky, kde se někdo vydává za vaše IT oddělení.
Jak platforma řeší požadavek čl. 12.6.3 na potvrzení?
Každá dokončená simulace slouží jako aktivní potvrzení. Na rozdíl od pasivního zaškrtávacího políčka dokončení školicí relace prokazuje, že se zaměstnanec zapojil do bezpečnostního obsahu, porozuměl předloženým scénářům a prokázal způsobilost svými odpověďmi. Záznamy o relaci obsahují časová razítka, dobu trvání a skóre výkonu, což je mnohem silnější důkaz než podepsaný formulář.
Je školicí obsah aktualizován s objevováním nových hrozeb?
Ano. Požadavek PCI DSS 12.6.1 vyžaduje, aby byl program bezpečnostního povědomí přezkoumáván a aktualizován nejméně jednou ročně. Roleplays průběžně aktualizuje svou knihovnu scénářů tak, aby odrážela aktuální hrozby, techniky vishingu, sociální inženýrství řízené AI a nové vzorce phishingu. Váš QSA může ověřit, že školicí obsah odráží aktuální prostředí hrozeb.
Může Roleplays zcela nahradit naše stávající školení bezpečnostního povědomí?
Roleplays může sloužit jako váš primární nástroj pro školení bezpečnostního povědomí PCI a pokrýt všechny dílčí požadavky čl. 12.6. Mnoho organizací jej používá společně se svým stávajícím LMS, Roleplays zajišťuje interaktivní složku založenou na simulacích, zatímco LMS spravuje distribuci a sledování dokumentů se zásadami. API platformy umožňuje integraci s většinou systémů pro řízení vzdělávání.
Dosáhněte souladu rychleji.
Nahraďte roční prezentace simulacemi, které skutečně testují bezpečnostní chování. Splňte každý dílčí požadavek PCI DSS 12.6 s doloženými důkazy.