Zpracovávám kartové transakce (poskytovatel služeb)

Pro účely PCI DSS je poskytovatel služeb (Service Provider) definován jako podnikatelský subjekt, který není kartovou společností a přímo se podílí na zpracování, ukládání nebo přenosu dat držitele karty pro jiný subjekt. Sem patří i společnosti, které poskytují služby, jež ovlivňují nebo by mohly ovlivňovat bezpečnost dat držitele karty. K příkladům patří poskytovatelé služeb, kteří poskytují firewall, IDS a další služby, i hosting poskytovatelé a další subjekty. Vyloučeny jsou subjekty jako telekomunikační společnosti, které poskytují komunikační spoje bez přístupu k aplikační úrovni komunikačního spojení.

Typickými příklady poskytovatelů služeb jsou:

  • Zprostředkovatelé v cestovním ruchu (Online rezervační agentury např. pro hotely, cestovní kanceláře a agentury, letecké společnosti a půjčovny aut)
  • Call Centra
  • Řešení zpracování plateb obchodníka
  • Zprostředkovatelé zúčtování a vypořádání obchodů
  • Poskytovatelé platebních bran
  • Poskytovatelé platebních služeb
  • Poskytovatelé Web-hostingu
  • Služby detekce podvodů (Monitoring)
  • Služby věrnostních programů

Základní povinností je dodržování stanovených požadavků / standardů a pravidelné posuzování a prokazování shody stanoveným způsobem (validace). Stanovení požadavků a způsobu prokazování shody vyplývá zejména z kategorizace poskytovatele služeb dle rizika, to je dáno zejména počtem kartových transakcí. 

Všichni poskytovatelé služeb musí být kromě prokazování shody s PCI DSS  registrovaní v příslušných stránkách kartových společností.

Orientační kategorizace a validace:

  • všichni poskytovatelé služeb, kteří zpracovávají více než 300 tisíc kartových transakcí za rok (bez ohledu na typ platebního kanálu)
  • nutný pravidelný roční audit – přímo u poskytovatele služeb provádí nezávislý certifikovaný bezpečnostní auditor – QSA 
  • nutné pravidelné čtvrtletní externí testování zranitelnosti prostřednictvím certifikovaného dodavatele – ASV
  • všichni poskytovatelé služeb, kteří zpracovávají méně než 300 tisíc kartových transakcí za rok
  • vyplnění Dotazníku pro sebehodnocení D – pro poskytovatele služeb
  • nutné pravidelné čtvrtletní externí testování zranitelnosti prostřednictvím certifikovaného dodavatele – ASV
Dotazníky pro sebehodnocení SAQ

Povinné registrace u kartových společností

Do tohoto typu patří společnosti, které přímo nebo nepřímo zpracovávají, ukládají nebo přenášejí kartová nebo transakční data obchodníků. Blíže je specifikuje kategorizace kartových společností.

Společnost VISA určí kategorii poskytovatele služeb (Service Provider) dle služeb, jež poskytuje, v programu Third party Agent (TPA) bližší informace naleznete zde.

Po úspěšné registraci uvede VISA nového Agenta na svých stránkách zde.

Od 1.11.2019 provádí registraci “Merchant” Agentů acquirer.

Společnost MasterCard určí kategorii poskytovatele služeb (Service Provider) dle služeb, jež poskytuje, v programu Site Data Protection (SDP), přehledné rozdělení naleznete zde.

Podrobnosti kategorizace a instrukce k registraci naleznete v kapitole 7 zde.

Dokumentaci o shodě se standardem PCI DSS (PCI DSS Validation Form – ROC / AOC) zasílejte na: pcireports@mastercard.com 

Další informace zde.

Registovaní poskytovatelé služeb MasterCard jsou uvedeni zde.