QSA assessment tapasztalatok az auditor szemszögéből Tassi Miklós Tátrai Péter



Hasonló dokumentumok
PCI DSS trendek külföldön és Magyarországon Tátrai Péter Gáspár Csaba

2011 PCI Community Meeting Újdonságok Tassi Miklós Gáspár Csaba

PAYU HUNGARY KFT. FIZETÉSI TÁJÉKOZTATÓ. PayU Hungary Kft. T: Budapest, F:

ETR - VPOS DEXTER 2010 ETR WEB - VPOS. Befizetés. Készítette: DEXTER Kft. Kiadva: szeptember 1. DEXTER Informatikai Kft.

EU 2015/751 Rendelet a kártyaalapú fizetési műveletek bankközi jutalékairól

Bankkártyás visszaélések a kibocsátói üzletágban, visszaélés fajtánként

Bankkártyás visszaélések a kibocsátói üzletágban, visszaélés fajtánként

Dr. Al-Absi Gáber Seif. Az e-kereskedelem forradalma

MECSEK TAKARÉK Szövetkezet Hirdetménye a től érvényes kondícióiról

MECSEK TAKARÉK Szövetkezet Hirdetménye a től érvényes kondícióiról

III. Kártyaszerződéshez kapcsolódó díjak lakosság részére

MECSEK TAKARÉK Szövetkezet Hirdetménye a től érvényes kondícióiról III. Kártyaszerződéshez kapcsolódó díjak vállalkozások részére

K&H Bank innovatív szolgáltatása szállodák és éttermek számára

Bankkártyás visszaélések a kibocsátói üzletágban, visszaélés fajtánként

Információbiztonság fejlesztése önértékeléssel

SIMPLEPAY ONLINE FIZETÉSI RENDSZER Fizetési tájékoztató

MECSEK TAKARÉK Szövetkezet Hirdetménye a től érvényes kondícióiról

Virtuális POS szolgáltatás Tájékoztató

SIMPLEPAY ONLINE FIZETÉSI RENDSZER Fizetési tájékoztató


E L İ T E R J E S Z T É S

HIRDETMÉNY A KÁRTYAELFOGADÓI DÍJAKRÓL

III. Kártyaszerződéshez kapcsolódó díjak vállalkozások részére

Fizetőkártya-elfogadói szerződés kiegészítése autókölcsönző partnereink részére

Web Security Seminar. Összefoglalás. Qualys InfoDay május 14.

Azonnali Információs Fórum. AZUR-projekt

MECSEK TAKARÉK Szövetkezet Hirdetménye a től érvényes kondícióiról

HIRDETMÉNY 1 A KÁRTYAALAPÚ FIZETÉSI MŰVELETEKKEL KAPCSOLATOS DÍJAZÁST ÉRINTŐ VÁLTOZÁSOKRÓL 2

III. Kártyaszerződéshez kapcsolódó díjak lakosság részére. Hatályos: február 28. Közzététel: december 28.

Felhasználási feltételek

EMBERI ERŐFORRÁS TÁMOGATÁSKEZELŐ

Fontos tudnivaló Fizetés emelt díjas SMS-sel Bankkártyás fizetés

Kérdések és válaszok internetes kártyás fizetésről KÁRTYAELFOGADÁS

OTP SZÉP kártya. Három cafeteria-elem egyetlen e-kártyán, számos új szolgáltatással. Tájékoztató. OTP Pénztárszolgáltató Zrt

III. Kártyaszerződéshez kapcsolódó díjak lakosság részére

Folytonossági kérdések: IT vagy üzlet? FORTIX Consulting Kft Budapest, Orbánhegyi út 49.

Kérdések és válaszok internetes kártyás fizetésről

Bankkártyák száma kártyafajtánkénti bontásban

Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

POS terminál és PayPass adapter igénylése esetén

III. Kártyaszerződéshez kapcsolódó díjak vállalkozások részére Hatályos: március 20.

HOGYAN JELEZHETŐ ELŐRE A

Mit is jelent a cafeteria?

Tájékoztató a CIB Bank által biztosított biztonságos bankkártyás fizetésről.

Miért fontos a Cafeteria?

Legjobb gyakorlati alkalmazások

Tartalomjegyzék. Vállalkozói ajánlataink, akcióink. Vállalkozói termékek. Fióki Számlanyitási akció. Online számlanyitási akció

HIRDETMÉNY KÁRTYAELFOGADÓI KÜLÖNÖS ÜZLETSZABÁLYZAT VÁLTOZÁSÁRÓL

MECSEK TAKARÉK Szövetkezet Hirdetménye a től érvényes kondícióiról III. Kártyaszerződéshez kapcsolódó díjak lakosság részére

Mi a PayPass? Hogyan működik a PayPass?

Jövőbeli fizetési módok - Ki lesz a nyerő? Fülöp Zsolt Bankkártya-elfogadás stratégiai menedzser

Hirdetmény. a Bak és Vidéke Takarékszövetkezet. Kártyaelfogadásra vonatkozó díjai és költségei. Érvényes: április 01-től

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

DW 9. előadás DW tervezése, DW-projekt

Fizetőkártya-elfogadói szerződés kiegészítése szállodai elfogadás esetén

A Pénzforgalmi és bankkártya üzletszabályzat 1. sz. melléklete HIRDETMÉNY A KONDÍCIÓS LISTÁRÓL

IT ügyfélszolgálat és incidenskezelés fejlesztése az MNB-nél

.. ÁLTALÁNOS ISKOLA. Éves önértékelési terv MINTA. 2017/2018. tanév

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

KI FIZET A VÉGÉN? Vásárlói élmény a pénztárnál: ONLINE vs. OFFLINE. Mónus Ádám, Egedy Kristóf Payment Courier

VISSZAÉLÉSEK A BANKKÁRTYA ÜZLETÁGBAN

Banki Fizetési Tájékoztató

MECSEK TAKARÉK Szövetkezet Hirdetménye a től érvényes kondícióiról III. Kártyaszerződéshez kapcsolódó díjak lakosság részére

Hatékony műszaki megoldások lineáris és lekérhető médiaszolgáltatások esetén Ajánlástervezet ismertetése

VISSZAÉLÉSEK A BANKKÁRTYA ÜZLETÁGBAN

Ellenőrzéstechnika: ipari, kereskedelmi, szolgáltató vállalatok belső ellenőrzésének gyakorlata és módszertana

Eötvös Loránd Tudományegyetem. MINŐSÉGÜGYI ELJÁRÁSOK ME Munkatársi igény, elégedettség és szolgáltatási mérés

Díjjegyzék Takarékbank Zrt. Takarék Vállalati dolgozói számla

(2001. év) Keszy-Harmath Zoltánné június

SEPA fizetési módok Május 13.

BELSŐ AUDIT 2. ELJÁRÁS LEÍRÁSA

A FIZETÉSI KÁRTYA ÜZLETÁG MAGYARORSZÁGON

Cselekvési ütemterv a projekt intézményi megvalósításához

BELSŐ ELLENŐRZÉS ÜTEMTERVE

T2S NUG TÁRSASÁGI ESEMÉNYEK MUNKACSOPORT 8. ÜLÉSE AGENDA

Számítógépes alapismeretek 2.

A BUDAPEST V. KERÜLETI SZEMERE BERTALAN ÁLTALÁNOS ISKOLA ÉS GIMNÁZIUM INTÉZMÉNYI ÖNÉRTÉKELÉSI PROGRAMJA 2017.

CMTERMINAL SZÉP KÁRTYA ELFOGADÁS ANDROIDOS TELEFONON: OLCSÓ, RUGALMAS, MEGBÍZHATÓ

Unbundling a folyamatirányítás tükrében. Dénes Sándor Budapesti Elektromos Művek Nyrt. Szervezetfejlesztés és folyamatmenedzsment

Dr. Al-Absi Gáber Seif. Digitális payment stratégia a HoReCa szektorban

elemér szerepe a közoktatás modernizációjában Hunya Márta MTA IKT Albizottsági ülés február 3.

A Pénzforgalmi üzletszabályzat 1/A. sz. melléklete HIRDETMÉNY A KONDÍCIÓS LISTÁRÓL

A FIZETÉSI KÁRTYA ÜZLETÁG MAGYARORSZÁGON

használata és kockázatai A bankkártya A bankkártyahasználat a kényelmen túl számos kockázatot is rejthet.

Fizetőkártya-elfogadói szerződés kiegészítése dinamikus pénznemátváltási szolgáltatás (DCC Dynamic Currency Conversion) esetére

ÜGYFÉL-TÁJÉKOZTATÓ ÉS HASZNÁLATI

A világ legkisebb bankfiókja

A Jó gyakorlat mentori és adaptációs terve. Az átadás folyamata

HIRDETMÉNY a BETÉTI KÁRTYA ÜZLETSZABÁLYZAT MÓDOSÍTÁSÁRÓL

Felhasználói Kézikönyv

A közfelügyelet és a minőségellenőrzés aktuális kérdései

A Pénzforgalmi Üzletszabályzat 1/A. sz. melléklete HIRDETMÉNY A KONDÍCIÓS LISTÁRÓL

Eurocard/MasterCard Business konvertibilis forintkártya

A FIZETÉSI KÁRTYA ÜZLETÁG MAGYARORSZÁGON

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

A szoftverszolgáltatások kockázatai üzleti szemmel - DRAFT. Horváth Csaba PwC Magyarország

BKIK VIII. Országos Tanácsadói Konferencia

I. MAGYAR VERSENYJOGI FÓRUM

Átírás:

QSA assessment tapasztalatok az auditor szemszögéből Tassi Miklós Tátrai Péter 2011. december 7.

Napirend A PCI DSS megfelelés motivációi Audit kötelezettség háttere A QSA assessment szolgáltatás Az audit scope meghatározása Audit végrehajtása - tapasztalatok IT biztonsági vizsgálatok Prioritized Approach előnyei Önértékelő kérdőívek (SAQ)

A PCI DSS megfelelés motivációi Külső felszólítás Szolgáltatók Kártyatársaság által Bankok Kártyatársaság által Kereskedők Elfogadó bank által Belső kezdeményezés Új szolgáltató cég indítása megfelelés kötelező! Üzleti profil bővítés lehetőségei Magas biztonság tudatossági szint A QSA cég csak véleményt nyilvánít, de nem dönt!

PCI DSS audit kötelezettség háttere 1. szintű Szolgáltatók Évi 300e tranzakció felett (Visa, MasterCard) Adatvesztésnél Kártyatársasági felszólítás esetén 1. szintű Kereskedők Évi 6 millió tranzakció felett (Visa, MasterCard) Adatvesztésnél Kártyatársasági felszólítás esetén Belső auditor (ISA) is elvégezheti Elfogadó/Kibocsátó Bankok PCI megfelelés elvárt nincs általános audit kötelezettség

A QSA assessment szolgáltatás Audit keretek meghatározása Szerepek, felelősségi körök Audit terv és ütemezés Scope meghatározása Üzleti és technikai profil megalkotása Hálózati diagram elemzése Kártyaszám keresés (PAN scan) Kártyaadat környezet (CDE) mátrix véglegesítése

A QSA assessment szolgáltatás Audit végrehajtása Technikai vizsgálatok Dokumentációk ellenőrzése Folyamatok, procedúrák megfigyelése On-site interjúk Vizsgálati bizonyítékok begyűjtése Kompenzációs elemek dokumentálása Audit dokumentumok kitöltése, átadása Report on Compliance (ROC) Attestation of Compliance (AOC) Minőségügyi visszajelzések

Audit felkészülési tanácsok Top menedzsment támogatás Költségvetés biztosítása Külső szakértői támogatás igénybe vétele Céges biztonság tudatossági program Belső felelős személy kijelölése Kommunikáció biztosítása Kártyatársaságok Elfogadó bank Felkészülési idő biztosítása (6-12 hónap) Előkészítés végrehajtása Előzetes gap analízis Implementáció Prioritized Approach használata

Az audit scope meghatározása PCI DSS hatályon kívül kerülés Kártya adatkezelés kiszervezése másik cégbe Nem kezelni kártyaadatot Audit scope és költségek csökkentése

Audit végrehajtása - tapasztalatok

Audit végrehajtása - tapasztalatok

IT biztonsági vizsgálatok Külső sebezhetőségi vizsgálat (ASV scan) Negyedévente és minden változtatás után Kizárólag ASV cég! Belső sebezhetőségi vizsgálatok Negyedévente és minden változtatás után ASV bevonás nem kötelező Web alkalmazás sebezhetőség vizsgálat Évente egyszer és minden változtatás után ASV bevonása nem kötelező Behatolási teszt Évente egyszer és minden változtatás után ASV bevonás nem kötelező

Prioritized Approach alkalmazása Tartalma: Letölthető a PCI Council honlapjáról (2.0 verzió) Elsősorban kereskedőknek, de másnak is hasznos PCI DSS megfelelés 6 priorizált mérföldkő alapján 1. Érzékeny authentikációs adat eltávolítás, tárolás korlátozás 2. Határoló, belső, vezeték-nélküli hálózatok védelme 3. Biztonságos fizetési kártya alkalmazások 4. Rendszer hozzáférések monitorozása, ellenőrzése 5. Tárolt kártyaadatok védelme 6. Fennmaradó megfelelési követelmények, kontrollok biztosítása

Prioritized Approach alkalmazása

Önértékelő kérdőívek (SAQ) Kire nézve kötelező? 2-3. szintű Kereskedők (>20e évi tranzakció) 2. szintű Szolgáltatók (<300e évi tranzakció) Kérdőív átadása kártyatársaság/elfogadó Bank felé QSA cég igénybevétele nem kötelező, de ajánlott Csak kereskedőknek: SAQ A: Card-not-present tranzakciók (e-commerce, internet, e-mail, telefonon történő authorizáció), kiszervezett tevékenységként SAQ B: Imprinter ( vasaló ) készülék használata, különálló, dial-up POS terminálok, nincs elektronikus bankkártya-adat tárolás SAQ C-VT: Web alapú virtuális terminálok (VPOS), nincs elektronikus bankkártya-adat tárolás SAQ C: Internethez csatlakozó fizetési alkalmazások használata, nincs elektronikus bankkártya-adat tárolás Kereskedők és Szolgáltatók: SAQ D: Minden egyéb szervezet, akit a kártyatársaság arra kijelöl

Köszönjük a figyelmet! AperSky Tanácsadó Kft. Iroda: 1053, Budapest, Veres Pálné u. 4-6. Telefon: +36 1 781 2210 E-mail: info@apersky.com Web: www.apersky.hu

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés