Carding 4 Carders
Professional
Эквайер
См. Торговый банк и Платежная система.
Антивирусная программа
Программа, которая обнаруживает, удаляет и защищает от вредоносного ПО (также называемого «вредоносным ПО»).
включая вирусы, черви, трояны или троянские программы, шпионское ПО, рекламное ПО и руткиты. Также называется "антивирус программного обеспечения".
Заявка
Программа или группа программ, которая работает на ПК, смартфоне, планшете, внутреннем сервере или веб-сервере.
Утвержденный поставщик сканирования (ASV)
Компания, одобренная Советом по стандартам безопасности PCI для предоставления услуг сканирования внешних уязвимостей
для выявления общих недостатков в конфигурации системы.
Аутентификация
Метод проверки личности человека, устройства или процесса, пытающегося получить доступ к компьютеру.
Чтобы подтвердить подлинность личности / пользователя, предоставляется одно или несколько из следующего:
• Пароль или кодовая фраза (что-то, что знает пользователь)
• Токен, смарт-карта или цифровой сертификат, уникальный для пользователя (то, что есть у пользователя).
• Биометрический идентификатор, например отпечаток пальца (то, что пользователь делает или делает).
Авторизация
При транзакции с платежной картой авторизация происходит, когда продавец получает подтверждение транзакции после эквайер подтверждает транзакцию с эмитентом / обработчиком.
Банковский идентификационный номер (БИН)
Первые шесть цифр (или более) номера платежной карты, идентифицирующей финансовое учреждение, выпустившее платежную карта держателю карты.
Деловая необходимость
Принцип, согласно которому доступ к системам или данным предоставляется бизнес-потребностями пользователя - только то, что необходимо для должностной функции пользователя.
Данные карты / данные карты клиента
Как минимум, данные карты включают номер основного счета (PAN), а также могут включать имя держателя карты и срок годности. Номер PAN виден на лицевой стороне карты и закодирован на магнитной полосе карты.
И/или встроенный чип. Также называется данными держателя карты. См. Также Конфиденциальные данные аутентификации для дополнительных элементов данных, которые могут быть частью платежной транзакции, но которые не должны храниться после авторизованной транзакции.
Чип
Также известен как «EMV Chip». Микропроцессор (или «чип») на платежной карте, используемый при обработке транзакции в соответствии с международными спецификациями для транзакций EMV.
Чип и PIN-код
Процесс проверки, при котором потребитель вводит свой PIN-код в платежный терминал с чипом EMV, когда он покупает товары или услуги.
Чип и подпись
Процесс проверки, при котором потребитель использует свою подпись с платежным терминалом с чипом EMV, когда они покупают товары или услуги.
Учетные данные
Информация, используемая для идентификации и аутентификации пользователя для доступа к системе. Например, учетные данные часто имя пользователя и пароль. Учетные данные могут включать отпечаток пальца, сканирование сетчатки глаза или одноразовый номер, сгенерированный с помощью портативного «токен-генератора». Безопасность выше, когда для доступа требуется несколько учетных данных.
Криптография
Криптография - это метод защиты данных, делая их непонятными для человека или компьютера. Криптография полезна только тогда, когда предполагаемый получатель может повторно собрать данные в читаемую форму, используя известный метод только отправителю и получателю. См. Также Шифрование.
Кибератака
Любые оскорбительные действия с целью взлома компьютера или системы. Кибератаки могут варьироваться от установки шпионского ПО на
ПК, взлом платежной системы с целью кражи данных карты или попытка взлома критически важной инфраструктуры, такой как электрическая сеть.
Данные нарушения
Нарушение данных - это инцидент, при котором конфиденциальные данные могли быть просмотрены, украдены или использованы несанкционированной транзакацией. Нарушения данных могут касаться данных карты, личной медицинской информации (PHI), лично идентифицируемая информация (PII), коммерческая тайна или интеллектуальная собственность и т.д.
Пароль по умолчанию
Простой пароль, который прилагается к новому программному или аппаратному обеспечению. Пароли по умолчанию (например, «admin» или «password»
или «123456») легко угадываются и обычно доступны через поиск в Интернете. Они предназначены как заполнитель и не предлагают реальной безопасности - и его необходимо изменить на более надежный пароль после установки нового программного обеспечения или
оборудование.
Основы безопасности данных (DSE)
Data Security Essentials for Small Merchants - это набор образовательных ресурсов и инструмент оценки, которые помогают продавцам упрощать свою безопасность и снижают риски. DSE задуман как альтернативный подход к PCI DSS. Анкеты самооценки (SAQ) для тех продавцов, которые определены платежными брендами и их эквайеры (торговые банки).
Электронный кассовый аппарат (ECR)
Устройство, которое регистрирует и рассчитывает транзакции и может распечатывать чеки, но не принимает платежи по картам клиентов. Также называется «касса».
Шифрование
Процесс использования криптографии для математического преобразования информации в форму, непригодную для использования, за исключением владельцев
специальный цифровой ключ. Использование шифрования защищает информацию, принижая ее для преступников. См. Также Криптография .
Брандмауэр
Оборудование и / или программное обеспечение, защищающее сетевые ресурсы от несанкционированного доступа. Брандмауэр разрешает или запрещает связь между компьютерами или сетями с разными уровнями безопасности на основе набора правил и других критериев.
Судмедэксперт
Судебные следователи PCI (PFI) - это компании, утвержденные Советом PCI, чтобы помочь определить, когда и как произошла утечка данных карты. Они проводят расследования в финансовой индустрии, используя проверенные методы расследования, методологии и инструменты. Они также работают с правоохранительными органами, чтобы поддержать заинтересованные стороны в любых возникающих уголовные расследования.
Хакер
Лицо или организация, которые пытаются обойти меры безопасности компьютерных систем, чтобы получить контроль и доступ. Обычно это делается с целью кражи данных карты.
Хостинг-провайдер
Предлагает различные услуги продавцам и другим поставщикам услуг, где данные их клиентов «размещены» или резидент на серверах провайдера. Типичные услуги включают в себя общее пространство для нескольких продавцов на сервере, предоставление выделенного сервера для одного продавца или веб-приложений, таких как веб-сайт с опциями «корзины покупок».
Интегрированный платежный терминал
Платежный терминал и электронная касса в одном устройстве, которое принимает платежи, регистрирует и рассчитывает транзакций и распечатывает квитанции.
Интегратор / реселлер
Это компания, с которой продавцы работают, чтобы помочь настроить свою платежную систему. Это может включать установку, настройку и поддержку. Эти компании могут также продавать платежные устройства или приложения как часть их обслуживания. См. Также Квалифицированный реселлер-интегратор (QIR) .
Журнал
Файл, который создается автоматически при возникновении определенных предопределенных (часто связанных с безопасностью) событий в
компьютерная система или сеть. Данные журнала включают дату / время, описание события и информацию.
уникальный для этого события. Эти файлы полезны для устранения технических проблем или расследования утечки данных.
Также называется «журналом аудита» или «журналом аудита».
Вредоносное ПО
Вредоносное программное обеспечение, предназначенное для проникновения в компьютерную систему с целью кражи данных или повреждения приложения или операционная система. Такое программное обеспечение обычно входит в сеть в течение многих разрешенных для бизнеса такие действия, как электронная почта или просмотр веб-сайтов. Примеры вредоносного ПО включают вирусы, черви, трояны (или троянские программы).
лошади), шпионское, рекламное ПО и руткиты.
Торговый банк
Банк или финансовое учреждение, которое обрабатывает платежи по кредитным и / или дебетовым картам от имени продавцов. Также
называется «эквайер», «банк-эквайер», «процессор карт» или «платежный процессор». См. Также « Платежный процессор» .
Мобильное устройство
Небольшие портативные устройства, такие как смартфоны и планшеты, которые можно подключать к компьютерным сетям.
без проводов.
Прием мобильных платежей
Использование мобильного устройства для приема и обработки платежных операций. Мобильное устройство обычно сопрягается с доступным в продаже аксессуаром для чтения карт.
Многофакторная аутентификация
Метод аутентификации пользователя при проверке двух или более факторов. Эти факторы включают что у пользователя есть (например, смарт-карта или ключ) что-то, что пользователь знать (например, пароль, кодовая фраза или PIN-код) или то, что пользователь делает или делает (например, отпечатки пальцев, другие формы биометрии и т. д.).
Сеть
Два или более компьютера соединены физическим или беспроводным способом.
Операционная система
Программное обеспечение в компьютерной системе, обеспечивающее общее управление и координацию компьютерной деятельности.
Примеры включают Microsoft Windows, Apple OSX, iOS, Android, Linux и UNIX.
P2PE
Акроним от стандарта Point-to-Point-Encryption Совета по стандартам безопасности PCI.
PA-DSS
Акроним от стандарта безопасности данных платежных приложений Совета по стандартам безопасности PCI.
Пароль
Слово, фраза или строка символов, используемые для аутентификации пользователя. В сочетании с именем пользователя пароль предназначен для подтверждения личности пользователя для доступа к ресурсам компьютера.
Патч
Обновление существующего программного обеспечения, которое добавляет функциональность или исправляет дефект (или «ошибку»).
Платежное приложение
Связано с PA-DSS, программным приложением, которое хранит, обрабатывает или передает данные о держателях карт как часть
авторизация или расчет платежных операций.
Поставщик платежного приложения
Поставщик, который продает приложения, которые хранят, обрабатывают и / или передают данные карты во время платежных транзакций.
Платежное промежуточное ПО
Общий термин для программного обеспечения, которое объединяет два или более, возможно, не связанных друг с другом платежных приложения. Для
Например, он может передавать данные карты между приложением на платежном терминале и другими торговыми системами, которые
отправить данные карты в процессор.
Платежная система
Организация, привлеченная продавцами для обработки транзакций по платежным картам от их имени. Пока платежные системы обычно предоставляют услуги эквайринга, платежные системы не считаются эквайерами (коммерческими банками), если только определяется как таковой бренд платежной карты. Также называется «платежный шлюз» или «поставщик платежных услуг».
(PSP). См. Также Торговый банк.
Система оплаты
Охватывает весь процесс приема карточных платежей в торговой точке (включая магазины / магазины).
и витрины электронной коммерции) и может включать в себя платежный терминал, электронный кассовый аппарат, другие устройства или системы, подключенные к платежному терминалу (например, Wi-Fi для подключения или ПК, используемый для инвентаризации), серверы с компонентами электронной коммерции, такими как платежные страницы, и подключения к торговому банку.
Поставщик платежной системы
Поставщик, который продает, лицензирует или распространяет готовое платежное решение продавцу. Решение включает оборудование и программное обеспечение, необходимое для обработки платежей в магазине, и предоставляет метод для подключения к платежной системе.
Платежный терминал
Аппаратное устройство, используемое для приема платежей по карте клиента с помощью смахивания, погружения, вставки или касания. Также называется "точка продажи"
(POS) терминал», «автомат для кредитных карт» или «терминал PDQ».
PCI
Акроним для индустрии платежных карт.
PCI DSS
Акроним от PCI Council «Стандарт безопасности данных индустрии платежных карт».
Соответствие PCI DSS
Постоянное соблюдение всех применимых требований действующего стандарта PCI DSS в обычном режиме подхода. Соответствие оценивается и подтверждается в один момент времени; однако каждый продавец должен постоянно соблюдать требования, чтобы обеспечить надежную безопасность. Торговые банки и / или платежные бренды могут предъявлять требования к официальной ежегодной проверке соответствия PCI DSS.
Подтверждено PCI DSS
Предоставление доказательств того, что все применимые требования PCI DSS выполняются в определенный момент времени. В зависимости от требования к конкретному торговому банку и / или платежному бренду, проверка может быть достигнута с помощью применимых анкет для самооценки PCI DSS или отчет о соответствии, полученный в результате оценки на месте.
Программное обеспечение
Программное обеспечение для платежных приложений, сертифицированное PCI, которое было проверено на соответствие стандарту безопасности данных платежных приложений PCI (PA-DSS) и указано на веб-сайте Совета PCI.
Платежный терминал, одобренный PCI
Платежный терминал, одобренный в соответствии со стандартом безопасности транзакций (PTS) PCI PIN и указанный на веб-сайте Совета PCI.
Точка-точка, внесенная в список PCI
Решение для шифрования, которое было проверено на соответствие стандарту PCI Point-to-Point-Encryption (P2PE) и внесено в список на сайте Совета PCI.
PED
Акроним от «Устройство ввода PIN-кода». Клавиатура, в которую клиент вводит свой PIN-код. Также называется «клавиатура для ввода PIN-кода».
ПИН
Акроним от «личный идентификационный номер». Уникальный номер, известный только пользователю, и система, аутентифицировать пользователя в системе. Типичные PIN-коды используются в банкоматах для выдачи наличных, транзакций, или для карт с чипом EMV вместо подписи держателя карты. PIN-коды помогают определить, что держатель карты имеет право использовать карту и предотвращать ее несанкционированное использование в случае кражи карты.
Номер основного счета (PAN)
Уникальный номер кредитной и дебетовой карты, который идентифицирует счет владельца карты.
Злоупотребление привилегиями
Оскорбительное использование привилегий доступа к компьютерной системе. Примеры включают системного администратора с доступом к данным карты в злонамеренных целях или кража и использование расширенного доступа администратора с привилегиями для злонамеренных целей.
PTS
Акроним стандарта безопасности транзакций с помощью PIN-кодов Совета PCI. PTS - это набор модульных требований к оценке
для терминалов точек взаимодействия (POI) для приема PIN-кода.
QIR
Акроним от «Квалифицированный интегратор или реселлер». QIR - интеграторы и торговые посредники, прошедшие специальное обучение в PCI.
Совет по стандартам безопасности для решения критически важных мер безопасности при установке торговых систем оплаты.
Квалифицированный специалист по оценке безопасности (QSA)
Компания, утвержденная Советом по стандартам безопасности PCI для проверки соблюдения организацией PCI DSS.
требования.
Периодический платеж
Метод выставления счетов, при котором продавцы регулярно выставляют счет своим клиентам с течением времени, например за ежемесячное членство или подписки. Безопасный способ сделать это - для эквайера / процессора токенизировать данные карты, что гарантирует его защиту и освобождает продавца от этой ответственности.
Удаленный доступ
Доступ к компьютерной сети из места за пределами этой сети. Подключения удаленного доступа могут исходят либо из собственной сети компании, либо из удаленного места. Пример техники для удаленного доступа используется виртуальная частная сеть (VPN). Удаленный доступ может быть внутренним (например, поддержка ИТ) или
внешние (например, поставщики услуг, сторонние агенты, интеграторы / реселлеры).
Торговый посредник / Интегратор
Организация, которая продает и / или интегрирует платежные приложения, но не разрабатывает их.
Маршрутизатор
Аппаратное или программное обеспечение, которое соединяет две или более внутренних или внешних компьютерных сетей для «маршрутизации» или направления
данные через сеть, а также для обеспечения надлежащего обмена данными между этими сетями. Маршрутизатор также может повысить безопасность, разрешив только одобренный трафик и запретив неутвержденный трафик.
Устройство чтения защищенных карт (SCR)
Утвержденное PTS устройство, которое подключается к мобильному телефону или планшету для безопасного приема платежных карт. PCI одобренные PTS SCR защищают и шифруют данные карты с помощью SRED.
Код безопасности
Трех- или четырехзначное значение, напечатанное на передней или задней панели для подписи платежной карты. Этот код однозначно ассоциируется с отдельной картой и используется в качестве дополнительной проверки, чтобы убедиться, что карта находится в владение законным держателем карты, обычно во время транзакции без предъявления карты. Также называется кодом безопасности карты.
Анкета самооценки (SAQ)
Анкета, охватывающая набор требований PCI DSS, заполняемая самой организацией для подтверждения соответствия этим требованиям.
Конфиденциальные данные аутентификации
Информация, связанная с безопасностью, используемая для аутентификации держателей карт и / или авторизации транзакций по платежным картам, хранится на магнитной полосе или чипе карты.
Поставщик услуг
Бизнес-субъект, предоставляющий продавцам различные услуги. Обычно эти объекты хранят, обрабатывают или передают данные карты от имени другого лица (например, продавца) ИЛИ являются поставщиками управляемых услуг, которые предоставляют управляемые межсетевые экраны, обнаружение вторжений, хостинг и другие ИТ-услуги. Также называется «продавец».
Скимминг
Кража данных карты напрямую с платежной карты потребителя или из платежной инфраструктуры местоположения продавца, такое как несанкционированный переносной считыватель карт или посредством изменений, внесенных в платежный терминал. Его цель - совершить мошенничество, угроза серьезна и может нанести ущерб любому торговому окружению.
Скимминговое устройство
Физическое устройство, часто присоединенное к устройству для чтения карт, предназначенное для незаконного захвата и / или хранения информация с платежной карты. Также называется «кард-скиммер».
Мелкий продавец
Небольшой торговец - это, как правило, независимый бизнес с одним или несколькими филиалами с ограниченным ИТ-бюджетом или без него и часто без ИТ-персонала.
Требуется ли мелкий продавец для проверки соответствия требованиям PCI определяется платежным брендом или эквайером (торговым банком).
SRED (СРЕД)
Акроним от «Безопасное чтение и обмен данными». Набор требований PCI PTS, предназначенных для защиты и зашифровки данных карты в платежных терминалах. Решение для шифрования точка-точка (P2PE), внесенное в список Совета PCI должно использовать одобренный PTS и зарегистрированный платежный терминал с включенным SRED и активно обрабатывающий шифрование данных карт.
Автономный терминал
Платежный терминал, не требующий подключения к какому-либо другому устройству в среде продавца и не выполняет никаких других функций. Единственное требование для его работы - подключение к процессору через Интернет-соединение или телефонную линию. Если терминал требует подключения к компьютеризированной электронный кассовый аппарат или многофункциональный (как мобильное устройство), это не автономный терминал.
Надежная аутентификация
Используется для проверки личности пользователя или устройства, чтобы обеспечить безопасность защищаемой системы. Термин сильный
Аутентификация часто подразумевает многофакторную аутентификацию (MFA).
Тилл
См. Электронный кассовый аппарат.
Токенизация
Процесс, с помощью которого номер основного счета (PAN) заменяется альтернативным значением, называемым токеном.
Токены могут использоваться вместо оригинального PAN для выполнения функций при отсутствии карты, таких как аннулирование, возврат средств, или повторяющееся выставление счетов. Токены также обеспечивают большую безопасность в случае кражи, потому что они непригодны для использования и, следовательно, не имеют ценность для преступника.
Незашифрованные данные
Любые данные, которые можно прочитать без предварительной расшифровки. Также называются данными «открытый текст».
Поставщик (вендор)
Бизнес-субъект, который поставляет продавцу товар или услугу, необходимые для ведения бизнеса. Где предлагаются услуги, поставщик может считаться поставщиком услуг и может потребовать доступ к физическому местоположению или компьютерные системы в торговой среде, которые могут повлиять на безопасность данных карты.
См. Также Поставщик услуг.
Виртуальный платежный терминал
Доступ через веб-браузер к веб-сайту эквайера, процессора или стороннего поставщика услуг для авторизации
операции с платежными картами. В отличие от физических терминалов, виртуальные платежные терминалы не считывают данные напрямую из платежной карты. Продавец вручную вводит данные платежной карты через надежно подключенный веб-браузер.
Поскольку транзакции по платежным картам вводятся вручную, обычно используются виртуальные платежные терминалы вместо физических терминалов в торговых средах с небольшими объемами транзакций.
Виртуальная частная сеть (VPN)
Программное обеспечение, которое создает безопасный частный канал для обмена данными и телефонных звонков через Интернет.
Вирус
Вредоносное ПО, которое копирует себя в другое программное обеспечение или файлы данных на «зараженном» компьютере. На
при репликации вирус может выполнять вредоносную полезную нагрузку, например, удалять все данные на компьютере. Вирус может лгать
бездействует и выполняет свои полезные данные позже, иначе он может никогда не запустить вредоносное действие. Вирус, который размножается
повторная отправка себя как вложения электронной почты или как часть сетевого сообщения называется «червем».
Уязвимость
Недостаток или слабость, злоупотребление которыми может привести к преднамеренной или непреднамеренной компрометации системы.
Сканирование уязвимостей
Программный инструмент, который обнаруживает и классифицирует потенциальные слабые места (уязвимости) на компьютере или в сети.
Ежеквартальное сканирование внешних уязвимостей в соответствии с требованием 11.2.2 PCI DSS должно проводиться утвержденным поставщиком сканирования. Другое сканирование уязвимостей (например, внутреннее сканирование и сканирование, выполняемое после изменений сети) может проводиться квалифицированным персоналом ИТ-отдела организации или поставщиком услуг безопасности (например, утвержденный поставщик сканирования). См. Также Утвержденный поставщик сканирования (ASV).
Wi-Fi
Беспроводная сеть, соединяющая компьютеры без физического подключения к проводам.
Беспроводной платежный терминал
Платежный терминал, который подключается к Интернету с помощью любой из различных беспроводных технологий
(c) Совет по стандартам безопасности PCI, LLC
См. Торговый банк и Платежная система.
Антивирусная программа
Программа, которая обнаруживает, удаляет и защищает от вредоносного ПО (также называемого «вредоносным ПО»).
включая вирусы, черви, трояны или троянские программы, шпионское ПО, рекламное ПО и руткиты. Также называется "антивирус программного обеспечения".
Заявка
Программа или группа программ, которая работает на ПК, смартфоне, планшете, внутреннем сервере или веб-сервере.
Утвержденный поставщик сканирования (ASV)
Компания, одобренная Советом по стандартам безопасности PCI для предоставления услуг сканирования внешних уязвимостей
для выявления общих недостатков в конфигурации системы.
Аутентификация
Метод проверки личности человека, устройства или процесса, пытающегося получить доступ к компьютеру.
Чтобы подтвердить подлинность личности / пользователя, предоставляется одно или несколько из следующего:
• Пароль или кодовая фраза (что-то, что знает пользователь)
• Токен, смарт-карта или цифровой сертификат, уникальный для пользователя (то, что есть у пользователя).
• Биометрический идентификатор, например отпечаток пальца (то, что пользователь делает или делает).
Авторизация
При транзакции с платежной картой авторизация происходит, когда продавец получает подтверждение транзакции после эквайер подтверждает транзакцию с эмитентом / обработчиком.
Банковский идентификационный номер (БИН)
Первые шесть цифр (или более) номера платежной карты, идентифицирующей финансовое учреждение, выпустившее платежную карта держателю карты.
Деловая необходимость
Принцип, согласно которому доступ к системам или данным предоставляется бизнес-потребностями пользователя - только то, что необходимо для должностной функции пользователя.
Данные карты / данные карты клиента
Как минимум, данные карты включают номер основного счета (PAN), а также могут включать имя держателя карты и срок годности. Номер PAN виден на лицевой стороне карты и закодирован на магнитной полосе карты.
И/или встроенный чип. Также называется данными держателя карты. См. Также Конфиденциальные данные аутентификации для дополнительных элементов данных, которые могут быть частью платежной транзакции, но которые не должны храниться после авторизованной транзакции.
Чип
Также известен как «EMV Chip». Микропроцессор (или «чип») на платежной карте, используемый при обработке транзакции в соответствии с международными спецификациями для транзакций EMV.
Чип и PIN-код
Процесс проверки, при котором потребитель вводит свой PIN-код в платежный терминал с чипом EMV, когда он покупает товары или услуги.
Чип и подпись
Процесс проверки, при котором потребитель использует свою подпись с платежным терминалом с чипом EMV, когда они покупают товары или услуги.
Учетные данные
Информация, используемая для идентификации и аутентификации пользователя для доступа к системе. Например, учетные данные часто имя пользователя и пароль. Учетные данные могут включать отпечаток пальца, сканирование сетчатки глаза или одноразовый номер, сгенерированный с помощью портативного «токен-генератора». Безопасность выше, когда для доступа требуется несколько учетных данных.
Криптография
Криптография - это метод защиты данных, делая их непонятными для человека или компьютера. Криптография полезна только тогда, когда предполагаемый получатель может повторно собрать данные в читаемую форму, используя известный метод только отправителю и получателю. См. Также Шифрование.
Кибератака
Любые оскорбительные действия с целью взлома компьютера или системы. Кибератаки могут варьироваться от установки шпионского ПО на
ПК, взлом платежной системы с целью кражи данных карты или попытка взлома критически важной инфраструктуры, такой как электрическая сеть.
Данные нарушения
Нарушение данных - это инцидент, при котором конфиденциальные данные могли быть просмотрены, украдены или использованы несанкционированной транзакацией. Нарушения данных могут касаться данных карты, личной медицинской информации (PHI), лично идентифицируемая информация (PII), коммерческая тайна или интеллектуальная собственность и т.д.
Пароль по умолчанию
Простой пароль, который прилагается к новому программному или аппаратному обеспечению. Пароли по умолчанию (например, «admin» или «password»
или «123456») легко угадываются и обычно доступны через поиск в Интернете. Они предназначены как заполнитель и не предлагают реальной безопасности - и его необходимо изменить на более надежный пароль после установки нового программного обеспечения или
оборудование.
Основы безопасности данных (DSE)
Data Security Essentials for Small Merchants - это набор образовательных ресурсов и инструмент оценки, которые помогают продавцам упрощать свою безопасность и снижают риски. DSE задуман как альтернативный подход к PCI DSS. Анкеты самооценки (SAQ) для тех продавцов, которые определены платежными брендами и их эквайеры (торговые банки).
Электронный кассовый аппарат (ECR)
Устройство, которое регистрирует и рассчитывает транзакции и может распечатывать чеки, но не принимает платежи по картам клиентов. Также называется «касса».
Шифрование
Процесс использования криптографии для математического преобразования информации в форму, непригодную для использования, за исключением владельцев
специальный цифровой ключ. Использование шифрования защищает информацию, принижая ее для преступников. См. Также Криптография .
Брандмауэр
Оборудование и / или программное обеспечение, защищающее сетевые ресурсы от несанкционированного доступа. Брандмауэр разрешает или запрещает связь между компьютерами или сетями с разными уровнями безопасности на основе набора правил и других критериев.
Судмедэксперт
Судебные следователи PCI (PFI) - это компании, утвержденные Советом PCI, чтобы помочь определить, когда и как произошла утечка данных карты. Они проводят расследования в финансовой индустрии, используя проверенные методы расследования, методологии и инструменты. Они также работают с правоохранительными органами, чтобы поддержать заинтересованные стороны в любых возникающих уголовные расследования.
Хакер
Лицо или организация, которые пытаются обойти меры безопасности компьютерных систем, чтобы получить контроль и доступ. Обычно это делается с целью кражи данных карты.
Хостинг-провайдер
Предлагает различные услуги продавцам и другим поставщикам услуг, где данные их клиентов «размещены» или резидент на серверах провайдера. Типичные услуги включают в себя общее пространство для нескольких продавцов на сервере, предоставление выделенного сервера для одного продавца или веб-приложений, таких как веб-сайт с опциями «корзины покупок».
Интегрированный платежный терминал
Платежный терминал и электронная касса в одном устройстве, которое принимает платежи, регистрирует и рассчитывает транзакций и распечатывает квитанции.
Интегратор / реселлер
Это компания, с которой продавцы работают, чтобы помочь настроить свою платежную систему. Это может включать установку, настройку и поддержку. Эти компании могут также продавать платежные устройства или приложения как часть их обслуживания. См. Также Квалифицированный реселлер-интегратор (QIR) .
Журнал
Файл, который создается автоматически при возникновении определенных предопределенных (часто связанных с безопасностью) событий в
компьютерная система или сеть. Данные журнала включают дату / время, описание события и информацию.
уникальный для этого события. Эти файлы полезны для устранения технических проблем или расследования утечки данных.
Также называется «журналом аудита» или «журналом аудита».
Вредоносное ПО
Вредоносное программное обеспечение, предназначенное для проникновения в компьютерную систему с целью кражи данных или повреждения приложения или операционная система. Такое программное обеспечение обычно входит в сеть в течение многих разрешенных для бизнеса такие действия, как электронная почта или просмотр веб-сайтов. Примеры вредоносного ПО включают вирусы, черви, трояны (или троянские программы).
лошади), шпионское, рекламное ПО и руткиты.
Торговый банк
Банк или финансовое учреждение, которое обрабатывает платежи по кредитным и / или дебетовым картам от имени продавцов. Также
называется «эквайер», «банк-эквайер», «процессор карт» или «платежный процессор». См. Также « Платежный процессор» .
Мобильное устройство
Небольшие портативные устройства, такие как смартфоны и планшеты, которые можно подключать к компьютерным сетям.
без проводов.
Прием мобильных платежей
Использование мобильного устройства для приема и обработки платежных операций. Мобильное устройство обычно сопрягается с доступным в продаже аксессуаром для чтения карт.
Многофакторная аутентификация
Метод аутентификации пользователя при проверке двух или более факторов. Эти факторы включают что у пользователя есть (например, смарт-карта или ключ) что-то, что пользователь знать (например, пароль, кодовая фраза или PIN-код) или то, что пользователь делает или делает (например, отпечатки пальцев, другие формы биометрии и т. д.).
Сеть
Два или более компьютера соединены физическим или беспроводным способом.
Операционная система
Программное обеспечение в компьютерной системе, обеспечивающее общее управление и координацию компьютерной деятельности.
Примеры включают Microsoft Windows, Apple OSX, iOS, Android, Linux и UNIX.
P2PE
Акроним от стандарта Point-to-Point-Encryption Совета по стандартам безопасности PCI.
PA-DSS
Акроним от стандарта безопасности данных платежных приложений Совета по стандартам безопасности PCI.
Пароль
Слово, фраза или строка символов, используемые для аутентификации пользователя. В сочетании с именем пользователя пароль предназначен для подтверждения личности пользователя для доступа к ресурсам компьютера.
Патч
Обновление существующего программного обеспечения, которое добавляет функциональность или исправляет дефект (или «ошибку»).
Платежное приложение
Связано с PA-DSS, программным приложением, которое хранит, обрабатывает или передает данные о держателях карт как часть
авторизация или расчет платежных операций.
Поставщик платежного приложения
Поставщик, который продает приложения, которые хранят, обрабатывают и / или передают данные карты во время платежных транзакций.
Платежное промежуточное ПО
Общий термин для программного обеспечения, которое объединяет два или более, возможно, не связанных друг с другом платежных приложения. Для
Например, он может передавать данные карты между приложением на платежном терминале и другими торговыми системами, которые
отправить данные карты в процессор.
Платежная система
Организация, привлеченная продавцами для обработки транзакций по платежным картам от их имени. Пока платежные системы обычно предоставляют услуги эквайринга, платежные системы не считаются эквайерами (коммерческими банками), если только определяется как таковой бренд платежной карты. Также называется «платежный шлюз» или «поставщик платежных услуг».
(PSP). См. Также Торговый банк.
Система оплаты
Охватывает весь процесс приема карточных платежей в торговой точке (включая магазины / магазины).
и витрины электронной коммерции) и может включать в себя платежный терминал, электронный кассовый аппарат, другие устройства или системы, подключенные к платежному терминалу (например, Wi-Fi для подключения или ПК, используемый для инвентаризации), серверы с компонентами электронной коммерции, такими как платежные страницы, и подключения к торговому банку.
Поставщик платежной системы
Поставщик, который продает, лицензирует или распространяет готовое платежное решение продавцу. Решение включает оборудование и программное обеспечение, необходимое для обработки платежей в магазине, и предоставляет метод для подключения к платежной системе.
Платежный терминал
Аппаратное устройство, используемое для приема платежей по карте клиента с помощью смахивания, погружения, вставки или касания. Также называется "точка продажи"
(POS) терминал», «автомат для кредитных карт» или «терминал PDQ».
PCI
Акроним для индустрии платежных карт.
PCI DSS
Акроним от PCI Council «Стандарт безопасности данных индустрии платежных карт».
Соответствие PCI DSS
Постоянное соблюдение всех применимых требований действующего стандарта PCI DSS в обычном режиме подхода. Соответствие оценивается и подтверждается в один момент времени; однако каждый продавец должен постоянно соблюдать требования, чтобы обеспечить надежную безопасность. Торговые банки и / или платежные бренды могут предъявлять требования к официальной ежегодной проверке соответствия PCI DSS.
Подтверждено PCI DSS
Предоставление доказательств того, что все применимые требования PCI DSS выполняются в определенный момент времени. В зависимости от требования к конкретному торговому банку и / или платежному бренду, проверка может быть достигнута с помощью применимых анкет для самооценки PCI DSS или отчет о соответствии, полученный в результате оценки на месте.
Программное обеспечение
Программное обеспечение для платежных приложений, сертифицированное PCI, которое было проверено на соответствие стандарту безопасности данных платежных приложений PCI (PA-DSS) и указано на веб-сайте Совета PCI.
Платежный терминал, одобренный PCI
Платежный терминал, одобренный в соответствии со стандартом безопасности транзакций (PTS) PCI PIN и указанный на веб-сайте Совета PCI.
Точка-точка, внесенная в список PCI
Решение для шифрования, которое было проверено на соответствие стандарту PCI Point-to-Point-Encryption (P2PE) и внесено в список на сайте Совета PCI.
PED
Акроним от «Устройство ввода PIN-кода». Клавиатура, в которую клиент вводит свой PIN-код. Также называется «клавиатура для ввода PIN-кода».
ПИН
Акроним от «личный идентификационный номер». Уникальный номер, известный только пользователю, и система, аутентифицировать пользователя в системе. Типичные PIN-коды используются в банкоматах для выдачи наличных, транзакций, или для карт с чипом EMV вместо подписи держателя карты. PIN-коды помогают определить, что держатель карты имеет право использовать карту и предотвращать ее несанкционированное использование в случае кражи карты.
Номер основного счета (PAN)
Уникальный номер кредитной и дебетовой карты, который идентифицирует счет владельца карты.
Злоупотребление привилегиями
Оскорбительное использование привилегий доступа к компьютерной системе. Примеры включают системного администратора с доступом к данным карты в злонамеренных целях или кража и использование расширенного доступа администратора с привилегиями для злонамеренных целей.
PTS
Акроним стандарта безопасности транзакций с помощью PIN-кодов Совета PCI. PTS - это набор модульных требований к оценке
для терминалов точек взаимодействия (POI) для приема PIN-кода.
QIR
Акроним от «Квалифицированный интегратор или реселлер». QIR - интеграторы и торговые посредники, прошедшие специальное обучение в PCI.
Совет по стандартам безопасности для решения критически важных мер безопасности при установке торговых систем оплаты.
Квалифицированный специалист по оценке безопасности (QSA)
Компания, утвержденная Советом по стандартам безопасности PCI для проверки соблюдения организацией PCI DSS.
требования.
Периодический платеж
Метод выставления счетов, при котором продавцы регулярно выставляют счет своим клиентам с течением времени, например за ежемесячное членство или подписки. Безопасный способ сделать это - для эквайера / процессора токенизировать данные карты, что гарантирует его защиту и освобождает продавца от этой ответственности.
Удаленный доступ
Доступ к компьютерной сети из места за пределами этой сети. Подключения удаленного доступа могут исходят либо из собственной сети компании, либо из удаленного места. Пример техники для удаленного доступа используется виртуальная частная сеть (VPN). Удаленный доступ может быть внутренним (например, поддержка ИТ) или
внешние (например, поставщики услуг, сторонние агенты, интеграторы / реселлеры).
Торговый посредник / Интегратор
Организация, которая продает и / или интегрирует платежные приложения, но не разрабатывает их.
Маршрутизатор
Аппаратное или программное обеспечение, которое соединяет две или более внутренних или внешних компьютерных сетей для «маршрутизации» или направления
данные через сеть, а также для обеспечения надлежащего обмена данными между этими сетями. Маршрутизатор также может повысить безопасность, разрешив только одобренный трафик и запретив неутвержденный трафик.
Устройство чтения защищенных карт (SCR)
Утвержденное PTS устройство, которое подключается к мобильному телефону или планшету для безопасного приема платежных карт. PCI одобренные PTS SCR защищают и шифруют данные карты с помощью SRED.
Код безопасности
Трех- или четырехзначное значение, напечатанное на передней или задней панели для подписи платежной карты. Этот код однозначно ассоциируется с отдельной картой и используется в качестве дополнительной проверки, чтобы убедиться, что карта находится в владение законным держателем карты, обычно во время транзакции без предъявления карты. Также называется кодом безопасности карты.
Анкета самооценки (SAQ)
Анкета, охватывающая набор требований PCI DSS, заполняемая самой организацией для подтверждения соответствия этим требованиям.
Конфиденциальные данные аутентификации
Информация, связанная с безопасностью, используемая для аутентификации держателей карт и / или авторизации транзакций по платежным картам, хранится на магнитной полосе или чипе карты.
Поставщик услуг
Бизнес-субъект, предоставляющий продавцам различные услуги. Обычно эти объекты хранят, обрабатывают или передают данные карты от имени другого лица (например, продавца) ИЛИ являются поставщиками управляемых услуг, которые предоставляют управляемые межсетевые экраны, обнаружение вторжений, хостинг и другие ИТ-услуги. Также называется «продавец».
Скимминг
Кража данных карты напрямую с платежной карты потребителя или из платежной инфраструктуры местоположения продавца, такое как несанкционированный переносной считыватель карт или посредством изменений, внесенных в платежный терминал. Его цель - совершить мошенничество, угроза серьезна и может нанести ущерб любому торговому окружению.
Скимминговое устройство
Физическое устройство, часто присоединенное к устройству для чтения карт, предназначенное для незаконного захвата и / или хранения информация с платежной карты. Также называется «кард-скиммер».
Мелкий продавец
Небольшой торговец - это, как правило, независимый бизнес с одним или несколькими филиалами с ограниченным ИТ-бюджетом или без него и часто без ИТ-персонала.
Требуется ли мелкий продавец для проверки соответствия требованиям PCI определяется платежным брендом или эквайером (торговым банком).
SRED (СРЕД)
Акроним от «Безопасное чтение и обмен данными». Набор требований PCI PTS, предназначенных для защиты и зашифровки данных карты в платежных терминалах. Решение для шифрования точка-точка (P2PE), внесенное в список Совета PCI должно использовать одобренный PTS и зарегистрированный платежный терминал с включенным SRED и активно обрабатывающий шифрование данных карт.
Автономный терминал
Платежный терминал, не требующий подключения к какому-либо другому устройству в среде продавца и не выполняет никаких других функций. Единственное требование для его работы - подключение к процессору через Интернет-соединение или телефонную линию. Если терминал требует подключения к компьютеризированной электронный кассовый аппарат или многофункциональный (как мобильное устройство), это не автономный терминал.
Надежная аутентификация
Используется для проверки личности пользователя или устройства, чтобы обеспечить безопасность защищаемой системы. Термин сильный
Аутентификация часто подразумевает многофакторную аутентификацию (MFA).
Тилл
См. Электронный кассовый аппарат.
Токенизация
Процесс, с помощью которого номер основного счета (PAN) заменяется альтернативным значением, называемым токеном.
Токены могут использоваться вместо оригинального PAN для выполнения функций при отсутствии карты, таких как аннулирование, возврат средств, или повторяющееся выставление счетов. Токены также обеспечивают большую безопасность в случае кражи, потому что они непригодны для использования и, следовательно, не имеют ценность для преступника.
Незашифрованные данные
Любые данные, которые можно прочитать без предварительной расшифровки. Также называются данными «открытый текст».
Поставщик (вендор)
Бизнес-субъект, который поставляет продавцу товар или услугу, необходимые для ведения бизнеса. Где предлагаются услуги, поставщик может считаться поставщиком услуг и может потребовать доступ к физическому местоположению или компьютерные системы в торговой среде, которые могут повлиять на безопасность данных карты.
См. Также Поставщик услуг.
Виртуальный платежный терминал
Доступ через веб-браузер к веб-сайту эквайера, процессора или стороннего поставщика услуг для авторизации
операции с платежными картами. В отличие от физических терминалов, виртуальные платежные терминалы не считывают данные напрямую из платежной карты. Продавец вручную вводит данные платежной карты через надежно подключенный веб-браузер.
Поскольку транзакции по платежным картам вводятся вручную, обычно используются виртуальные платежные терминалы вместо физических терминалов в торговых средах с небольшими объемами транзакций.
Виртуальная частная сеть (VPN)
Программное обеспечение, которое создает безопасный частный канал для обмена данными и телефонных звонков через Интернет.
Вирус
Вредоносное ПО, которое копирует себя в другое программное обеспечение или файлы данных на «зараженном» компьютере. На
при репликации вирус может выполнять вредоносную полезную нагрузку, например, удалять все данные на компьютере. Вирус может лгать
бездействует и выполняет свои полезные данные позже, иначе он может никогда не запустить вредоносное действие. Вирус, который размножается
повторная отправка себя как вложения электронной почты или как часть сетевого сообщения называется «червем».
Уязвимость
Недостаток или слабость, злоупотребление которыми может привести к преднамеренной или непреднамеренной компрометации системы.
Сканирование уязвимостей
Программный инструмент, который обнаруживает и классифицирует потенциальные слабые места (уязвимости) на компьютере или в сети.
Ежеквартальное сканирование внешних уязвимостей в соответствии с требованием 11.2.2 PCI DSS должно проводиться утвержденным поставщиком сканирования. Другое сканирование уязвимостей (например, внутреннее сканирование и сканирование, выполняемое после изменений сети) может проводиться квалифицированным персоналом ИТ-отдела организации или поставщиком услуг безопасности (например, утвержденный поставщик сканирования). См. Также Утвержденный поставщик сканирования (ASV).
Wi-Fi
Беспроводная сеть, соединяющая компьютеры без физического подключения к проводам.
Беспроводной платежный терминал
Платежный терминал, который подключается к Интернету с помощью любой из различных беспроводных технологий
(c) Совет по стандартам безопасности PCI, LLC
