PCI DSS
A fizetesikartya-iparag adatbiztonsagi szabvanya (PCI DSS) megkoveteli minden olyan szervezettol, amely kartyabirtokosi adatokat dolgoz fel, tarol vagy tovabbit, hogy formalis biztonsagtudatossagi programot tartson fenn. A Roleplays ezt a kovetelmenyt merheto, vonzo kepzesse alakitja.
Mi az a PCI DSS?
A fizetesikartya-iparag adatbiztonsagi szabvanya (PCI DSS) egy globalis informaciobiztonsagi szabvany, amelyet a PCI Security Standards Council fejlesztett ki, amelyet a Visa, a Mastercard, az American Express, a Discover es a JCB alapitott. Jelenleg a 4.0.1-es verzioban a PCI DSS technikai es uzemeltetesi kovetelmenyeket hataroz meg a kartyabirtokosi adatok vedelmere a teljes fizetesi eletciklus soran.
A PCI DSS minden olyan szervezetre vonatkozik, amely hitelkartyaadatokat fogad el, dolgoz fel, tarol vagy tovabbit. Ez magaban foglalja a barmilyen meretu kereskedoket, a fizetesfeldolgozokat, az elfogadokat, a kibocsatokat es a szolgaltatokat. A gyakorlatban ez azt jelenti, hogy a kartyaszamokat telefonon atvevo callcenter-ugynokok, a tranzakciokat feldolgozo kiskereskedelmi alkalmazottak es a fizetesi infrastrukturat kezelo IT-csapatok mind az ervenyessegi korbe tartoznak.
A meg nem feleles havi 5000 dollartol 100 000 dollarig terjedo birsagot vonhat maga utan a kartyatarsasagoktol, novelheti a tranzakcios dijakat, a kartyas fizetesek feldolgozasanak elvesztesehez, valamint egy adatvedelmi incidens utan jelentos hirnevkarosodashoz vezethet. A szabvany nem opcionalis, a kereskedok es elfogado bankjaik kozotti szerzodeses kotelezettsegek reven ervenyesitik.
Kinek kell megfelelnie
- Fizetesikartya-adatokat kezelo callcenterek
- Kiskereskedelmi es e-kereskedelmi vallalkozasok
- Bankok, fintech vallalatok es fizetesfeldolgozok
- SaaS-szolgaltatok a fizetesi okoszisztemaban
A meg nem feleles kovetkezmenyei
- Akar 100 000 dollar/honap birsag kartyatarsasagonkent
- Megnovekedett tranzakciofeldolgozasi dijak
- A kartyafeldolgozasi jogosultsagok visszavonasa
- Felelosseg a csalas tranzakciokert az incidens utan
Kepzesi kovetelmenyek
A PCI DSS v4.0 12.6-os kovetelmenye kotelezo biztonsagtudatossagi kepzest ir elo minden olyan munkatars szamara, akinek hozzaferese van a kartyabirtokosi adatkornyezetekhez.
12.6-os kovetelmeny, biztonsagtudatossagi program
Formalis biztonsagtudatossagi programot kell bevezetni annak erdekeben, hogy minden munkatars tisztaban legyen a kartyabirtokosi adatok biztonsagi iranyelveivel es eljarasaival. Ez tobb egy egyszeru iranyelvi dokumentumnal, a szervezeteknek aktivan oktatniuk kell az alkalmazottakat a fenyegetesekrol, a megfelelo adatkezelesrol es a kartyabirtokosi adatok vedelmevel kapcsolatos egyeni felelossegukrol.
Mit ellenoriznek a QSA auditorai: Hogy letezik-e dokumentalt program, amelyet a vezetoseg jovahagyott, es lefedi-e az osszes munkatarsat, nem csak az IT-szemelyzetet. A programnak foglalkoznia kell az aktualis fenyegetesekkel, es a szervezet konkret kartyabirtokosi adatkornyezetere kell szabni.
12.6.1-es kovetelmeny, formalis tudatossagi program
A biztonsagtudatossagi programot legalabb 12 havonta felul kell vizsgalni, es szukseg szerint frissiteni kell az uj fenyegetesek es serulekenysegek kezelesere. A programnak tobb modszert kell tartalmaznia a tudatossag kommunikalasara es a munkatarsak oktatasara, peldaul plakatokat, leveleket, ertekezleteket, webalapu kepzeseket vagy szimulalt adathalasz gyakorlatokat.
Mit ellenoriznek a QSA auditorai: Olyan dokumentaciot, amely igazolja, hogy a programot az elmult 12 honapon belul feluvizsgaltak es frissitettek, tobb kommunikacios csatorna hasznalatanak bizonyitekaval.
12.6.2-es kovetelmeny, eves kepzes
A munkatarsaknak legalabb 12 havonta biztonsagtudatossagi kepzesben kell reszesulniuk. Az uj belepoknek a betanitas soran el kell vegezniuk a kepzest. Ez egy minimalis gyakorisag, a magasabb kockazattal szembesulo vagy nagyobb fluktuaciojval rendelkezo szervezeteknek gyakoribb kepzesi ciklusokat kell megfontolniuk.
Mit ellenoriznek a QSA auditorai: Kepzes teljesitesi nyilvantartasokat az osszes ervenyessegi korbe tartozo munkatars szamara az elmult 12 honapon belul, valamint bizonyitekot arra, hogy az uj belepok a kartyabirtokosi adatokhoz valo hozzaferes megszerzese elott kepzesben reszesultek.
12.6.3-as kovetelmeny, munkatarsi nyilatkozat
A munkatarsaknak legalabb 12 havonta el kell ismerniuk, hogy elolvastak es megertettek a biztonsagtudatossagi iranyelveket es eljarasokat. Ez a kovetelmeny biztositja, hogy a munkatarsak ne passzivan legyenek beiratkozva, hanem aktivan foglalkozzanak a tartalommal. Egy egyszeru jelolonegyzet nem elegendo, a nyilatkozatnak ervdemleges elkotelezettseget kell igazolnia.
Mit ellenoriznek a QSA auditorai: Az osszes ervenyessegi korbe tartozo munkatars alairt vagy elektronikusan rogzitett nyilatkozatait, az elmult 12 honapon belul keltezve. Az auditorok arra keresnek bizonyitekot, hogy a nyilatkozat a tenyleges kepzes teljesiteshez kapcsolodik, nem csak egy onallo alairas.
Hogyan segit a Roleplays
Cserelje le a diavetiteseket valosaghu szimulaciokra, amelyek a valos viselkedest tesztelik, majd dokumentaljon mindent, amire a QSA-nak szuksege van.
PCI-specifikus forgatokonyvek
Elore elkeszitett szimulaciok a leggyakoribb PCI hibatipusokhoz: kartyaszamokat kero social engineering hivasok, fizetesi rendszereket celzo adathalasz e-mailek, biztonsagos teruletekre valo beosonas es a kartyaadatok helytelen tarolasa. A forgatokonyvek a fenyegetesi kornyezet valtozasaval frissulnek, teljesitve a 12.6.1-es kovetelmeny eves felulvizsgalati eloirasat.
Adatmaszkolasi kepzes
Tanitsa meg az ugynokoket arra, hogy soha ne olvassak vissza a teljes kartyaszamokat, hasznaljak a megfelelo maszkolasi technikakat (csak az utolso negy szamjegy megjelenitese), es ismerjek fel, ha egy hivo a szuksegesnel tobb adatot probal kicsalni. A szimulalt hivok tesztelik, hogy az ugynokok nyomas alatt is betartjak-e a maszkolasi protokollokat.
Ugynoki viselkedes pontozasa
A tobb szempontu MI-ertekeles minden ugynokot pontoz a biztonsagtudatossag, az adatkezelesi megfeleloseg, a social engineeringgel szembeni ellenallas es a megfelelo eszkalacios eljarasok alapjan. Az eredmenyek konkret PCI DSS kovetelmenyekhez kapcsolodnak, biztositva azt a kompetenciabizonyitekot, amelyet a QSA auditorok az egyszeru jelenleti nyilvantartasokon tul elvarnak.
Megfelelosegi dokumentacio
Minden kepzesi munkamenet idobelyegzett nyilvantartast keszit, amely tartalmazza a resztvevo azonositasat, a kepzes tartalmat, idotartamat, az ertekelesi pontszamokat es a teljesitesi statuszt. Exportaljon megfelelosegi jelenteseket, amelyek igazoljak, hogy az ervenyessegi korbe tartozo szemelyzet 100%-a a 12 honapos idoszakon belul kepzesben reszesult, pontosan ahogy a 12.6.2-es kovetelmeny megkoveteli.
Social engineering elleni vedelem
A szimulalt tamadok valos vilagbeli social engineering taktikakat hasznalnak: IT-tamogataskent valo fellepes, surgosseg-alapu manipulacio, tekintelyszemely megszemelyesitese es tobblepeses uritrukkos tamadasok. Az ugynokok megtanuljak felismerni es kivedeni ezeket a taktikakat biztonsagos kornyezetben, mielott eles helyzetben szembesulnenek veluk.
Beepitett nyilatkozat
Egy szimulacio elvegzese maga a nyilatkozat. A passziv jelolonegyzetes urlapokkal ellentetben minden befejezett munkamenet bizonyitja, hogy a munkatars aktivan foglalkozott a biztonsagi tartalommal. A munkamenet teljesitesi nyilvantartasai a 12.6.3-as kovetelmeny szerinti nyilatkozatkent szolgalnak, teljes idobelyegzokkel es teljesitmenyadatokkal bizonyitekkent.
Gyakran ismetelt kerdesek
Teljesiti a Roleplays a PCI DSS 12.6.2-es kovetelmenyt az eves kepzeshez?
Igen. A platform minden alkalmazott kepzesi teljesitesi datumat nyomon koveti, es jelenteseket keszit, amelyek a megfelelosegi statuszt mutatjak a szervezet egeszeben. Beallithat eves vagy gyakoribb kepzesi ciklusokat, automatikus emlekeztetoket allithat be a kozelgo hataridokhoz, es exportalhatja a teljesitesi bizonyitekot olyan formatumokban, amelyeket a QSA auditorok elvarnak.
Letrehozhatunk a callcenter-kornyezetunkre szabott forgatokonyveket?
Termeszetesen. Az elore elkeszitett PCI forgatokonyveken tul egyedi szimulaciokat hozhat letre, amelyek tukrozik az On konkret hivasi folyamatait, fizetesi folyamatait es fenyegetesi kornyezetet. Peldaul szimulalhat egy hivot, aki arra keri az ugynokot, hogy olvassa vissza a teljes kartyaszamot ellenorzes celjabol, vagy egy uritrukkos tamadast, ahol valaki az On IT-reszleget szemelyesiti meg.
Hogyan kezeli a platform a 12.6.3-as nyilatkozati kovetelmenyt?
Minden befejezett szimulacio aktiv nyilatkozatkent szolgal. A passziv jelolonegyzettel ellentetben egy kepzesi munkamenet elvegzese bizonyitja, hogy a munkatars foglalkozott a biztonsagi tartalommal, megertette a bemutatott forgatokonyveket, es a valaszain keresztul kompetenciat tanusitott. A munkamenet-nyilvantartasok tartalmazzak az idobelyegzoket, az idotartamot es a teljesitmenypontszamokat, sokkal erosebb bizonyitek, mint egy alairt urlap.
Frissul a kepzesi tartalom, ahogy uj fenyegetesek jelennek meg?
Igen. A PCI DSS 12.6.1-es kovetelmenye megkoveteli, hogy a biztonsagtudatossagi programot legalabb evente feluvizsgaljak es frissitsek. A Roleplays folyamatosan frissiti forgatokonyv-konyvtarat, hogy tukrozze az aktualis fenyegeteseket, a vishing technikakat, az MI-alapu social engineeringet es az uj adathalasz mintakat. A QSA ellenorizheti, hogy a kepzesi tartalom az aktualis fenyegetesi kornyezetet tukrozi.
Teljesen lecserelheti a Roleplays a meglevo biztonsagtudatossagi kepzesunket?
A Roleplays az elsodleges PCI biztonsagtudatossagi kepzesi eszkozkent szolgalhat, lefedve az osszes 12.6-os alkovetelmenyt. Sok szervezet a meglevo tanulasmenedzsment-rendszere (LMS) mellett hasznalja, a Roleplays az interaktiv, szimulacio-alapu komponenst kezeli, mig az LMS az iranyelvi dokumentumok terjeszteset es nyomon koveteset. A platform API-ja lehetove teszi az integraciot a legtobb tanulasmenedzsment-rendszerrel.
Legyen gyorsabban megfelelo.
Cserelje le az eves diavetiteseket olyan szimulaciokra, amelyek valoban tesztelik a biztonsagi viselkedest. Teljesitsen minden PCI DSS 12.6-os alkovetelmenyt dokumentalt bizonyitekkal.