Przetwarzasz płatności kartami? PCI DSS nie jest opcjonalny – to warunek współpracy z operatorami płatności. Wiele firm dopiero przy pierwszym audycie dowiaduje się, ile rzeczy robiła źle.
Standard ma 12 wymagań, ale w praktyce kilka jest krytycznych: szyfrowanie danych karty, segmentacja sieci (środowisko CDE osobno od reszty), kontrola dostępu i monitoring.
Największy problem? Firmy przechowują dane, których w ogóle nie powinny mieć. CVV2 nigdy nie może być zapisany – nawet zaszyfrowany. PAN (numer karty) tylko jeśli absolutnie konieczny.
Pokażemy, jak zbudować Cardholder Data Environment zgodnie z wymaganiami. Przeanalizujemy różnicę między SAQ A (dla firm przekierowujących do bramki) a SAQ D (pełne przetwarzanie) – poziom skomplikowania rośnie dramatycznie.
- Konfiguracja firewall dla CDE
- Polityki haseł zgodne z PCI
- Procedury testowania penetracyjnego – kwartalnie obowiązkowe
Program szkolenia
Program szkolenia
- 12 wymagań PCI DSS 4.0 – szczegółowa analiza każdego
- Określenie zakresu – co jest w CDE, a co poza nim
- Architektura sieci – jak właściwie segmentować środowisko płatnicze
- Szyfrowanie w tranzycie i w spoczynku – protokoły i algorytmy
- Zarządzanie kluczami kryptograficznymi
- Monitoring i logowanie – co musi być rejestrowane
Część praktyczna
- Audit preparedness – przygotowanie do certyfikacji
- Różnice między poziomami SAQ – który dotyczy Twojej firmy
- Najczęstsze błędy wykrywane podczas audytów
- Mapowanie kontroli PCI na ISO 27001
Narzędzia i checklisty
Kompletna dokumentacja do audytu, szablony polityk bezpieczeństwa, checklisty weryfikacyjne dla każdego wymagania
Sesje Q&A z audytorem QSA – możliwość zadania pytań o specyficzne przypadki