Certyfikacja PCI DSS

73 views
Skip to first unread message

januz

unread,
Jan 31, 2011, 6:53:52 AM1/31/11
to ISSA Polska Wrocław
Witam,


Czy ktoś z Kolegów, zwłaszcza z banków, orientuje się jaki jest
obecnie w Polsce stan certyfikacji zgodności z PCI DSS.

Czy znacie jakieś firmy/instytucje mające taki certyfikat oraz
przygotowujące sie do uzyskania certyfikatu?

pozdrawiam,
Janusz Żmudziński

Bartosz Nowak

unread,
Jan 31, 2011, 11:40:51 AM1/31/11
to issa-pols...@googlegroups.com
Zale�y o co pytasz.
O wydawc�w, centra autoryzacyjne, akceptant�w, dostawc�w us�ug itp itd
temat nie jest taki prosty... bo mo�na odnie�� wra�enie, �e same
organizacje PCI nie wiedzďż˝ czego chcďż˝ ;)
Dane teďż˝ nie zawsze sďż˝ oficjalnie przez firmy podawane.

Jakie firmy majďż˝ certyfikat to np.:
- FirstData/Polcard
- Elavon
- SixPay

Tak�e wida�, �e raczej centra autoryzacyjne VISA/MC przycisn�li.

Tak�e teoretycznie min�y deadliny certyfikacji dla akceptant�w (r�ne
formy w zale�no�ci od wielko�ci) i innych instytucji - ale na razie nie
ma sankcji �adnych st�d nie wszyscy spe�niaj� standardy/maj�
certyfikaty. Akceptanci pewnie maj� bo maj� pro�ciej (cz�sto ankieta
typou self-assessment) i ich nadzoruj� centra autoryzacyjne wi�c pilnuj�
"swoich"...
Ale z wydawcami i bankami jest r�nie - zale�y du�o czy jest to
uczestnik systemu p�atniczego czy tzw. bank sponsorowany. Tak�e tu
niekt�rzy s� w trakcie certyfikacji, niekt�rzy to zlewaj�... a niekt�rzy
mo�e i ju� maj� certyfikat (ale tutaj nie widzia�em oficjalnych danych).

Tak�e wszyscy maj�cy "produkcje kart" czyli tzw.
personalizacjďż˝/embosowanie muszďż˝ byďż˝ zgodni i majďż˝ certyfikaty - ale oni
maj� troch� inne standardy i s� audytowani bezpo�rednio przez
Visa/Mastercard a nie przez wyznaczonych przez PCI Council QSA.

pzdr,
Bartek

W dniu 31.01.2011 12:53, januz pisze:
> Witam,
>
>
> Czy kto� z Koleg�w, zw�aszcza z bank�w, orientuje si� jaki jest
> obecnie w Polsce stan certyfikacji zgodno�ci z PCI DSS.
>
> Czy znacie jakie� firmy/instytucje maj�ce taki certyfikat oraz
> przygotowuj�ce sie do uzyskania certyfikatu?
>
> pozdrawiam,
> Janusz �mudzi�ski
>

januz

unread,
Feb 2, 2011, 5:32:29 AM2/2/11
to ISSA Polska Wrocław

On 31 Sty, 17:40, Bartosz Nowak <bartek.i...@gmail.com> wrote:
> Zale y o co pytasz.

Dzieki.
Przede wszystkim interesowało mnie, jakie instytucje/firmy są
zaangażowane obecnie w proces uzyskiwania certyfikatu.
I czy to przekłada się i w jakim stopniu na inwestycje w IT.

Znam na razie dwa przypadki gdzie konieczność uzyskania certyfikatu
PCI DSS wiąże się z dośc dużymi inwestycjami w IT (ale nie tylko),


pozdrawiam
Janusz Żmudziński

Bartosz Nowak

unread,
Feb 2, 2011, 12:05:31 PM2/2/11
to issa-pols...@googlegroups.com
W dniu 02.02.2011 11:32, januz pisze:

> On 31 Sty, 17:40, Bartosz Nowak<bartek.i...@gmail.com> wrote:
>> Zale y o co pytasz.
> Dzieki.
> Przede wszystkim interesowa�o mnie, jakie instytucje/firmy s�
> zaanga�owane obecnie w proces uzyskiwania certyfikatu.
> I czy to przek�ada si� i w jakim stopniu na inwestycje w IT.
>
> Znam na razie dwa przypadki gdzie konieczno�� uzyskania certyfikatu
> PCI DSS wi��e si� z do�c du�ymi inwestycjami w IT (ale nie tylko),
Powiem tak - prawdziwe dostosowanie do wymog�w PCI DSS wymaga bardzo
du�ych i czasoch�onnych inwestycji IT. St�d ka�dy bank, kt�ry do
certyfikatu zmierza�/zmierza/zamierza zmierza� poni�s�/ponosi/b�dzie
ponosiďż˝ takie koszty.
Jest to nieuniknione bior�c pod uwag� jak wygl�daj� systemy bankowe.
Podejrzewam, �e z centrami autoryzacyjnymi jest podobnie, acz na pewno
nie maj� tak z�o�onej infrastruktury jak banki.
St�d znane przez Ciebie dwa przypadki na pewno s� kropl� w morzu :)

pzdr
B

lechos

unread,
Feb 3, 2011, 3:26:01 AM2/3/11
to issa-pols...@googlegroups.com
Witam

uzyskanie certyfikatu musi sie wiazac z inwestycjami, prosze spojrzec przez pryzmat mechanizmow kontronych ktore musza byc zaimplementowane. tutaj nie ma kompromisu i poziom bezpieczenstwa musi byc na wysokim poziomie. koszty sa znaczace dla kazdej jednostki zwiazanej z przetwarzaniem tego rodzaju danych, zakladajac ze spelniaja wymogi..

pzdr
Leszek Nowak


2011/2/2 Bartosz Nowak <barte...@gmail.com>
W dniu 02.02.2011 11:32, januz pisze:
On 31 Sty, 17:40, Bartosz Nowak<bartek.i...@gmail.com>  wrote:
Zale y o co pytasz.
Dzieki.
Przede wszystkim interesowało mnie, jakie instytucje/firmy są
zaangażowane obecnie w proces uzyskiwania certyfikatu.
I czy to przekłada się i w jakim stopniu na inwestycje w IT.


Znam na razie dwa  przypadki gdzie konieczność uzyskania certyfikatu
PCI DSS wiąże się z dośc dużymi inwestycjami w IT (ale nie tylko),
Powiem tak - prawdziwe dostosowanie do wymogów PCI DSS wymaga bardzo dużych i czasochłonnych inwestycji IT. Stąd każdy bank, który do certyfikatu zmierzał/zmierza/zamierza zmierzać poniósł/ponosi/będzie ponosić takie koszty.
Jest to nieuniknione biorąc pod uwagę jak wyglądają systemy bankowe. Podejrzewam, że z centrami autoryzacyjnymi jest podobnie, acz na pewno nie mają tak złożonej infrastruktury jak banki.
Stąd znane przez Ciebie dwa przypadki na pewno są kroplą w morzu :)

pzdr

B

--
Otrzymujesz tę wiadomość, ponieważ subskrybujesz grupę dyskusyjną Google o nazwie "ISSA Polska Wrocław".

Aby zamieszczać posty w tej grupie, wyślij e-mail na adres issa-pols...@googlegroups.com.
Aby anulować subskrypcję tej grupy, wyślij e-mail na adres issa-polska-wro...@googlegroups.com.
Aby uzyskać więcej informacji, odwiedź tę grupę pod adresem http://groups.google.com/group/issa-polska-wroclaw?hl=pl.


Reply all
Reply to author
Forward
0 new messages