Haladás 0 / 22 kérdés megválaszolva

PCI DSS AI Megfelelőségi Ellenőrzőlista

Mérd fel AI-rendszered PCI DSS megfelelőségét! 22 kérdés, 5 kategóriában.

Kártyabirtokosi Adatok Védelme AI-környezetben

A kártyabirtokosi adatok titkosítása, tárolása és minimalizálása az AI-rendszerben, a PCI DSS követelményeinek megfelelően.

Az AI-rendszered csak a működéshez minimálisan szükséges kártyabirtokosi adatokat tárolja és dolgozza fel (pl. nem tárolja a teljes kártyaszámot [PAN] vagy a CVV-kódot, ha az nem elengedhetetlen)?

A PCI DSS 3.1-es követelménye előírja a tárolt kártyabirtokosi adatok minimalizálását. Az AI-modellek a tanítási fázis után nem őrizhetnek meg érzékeny hitelesítési adatokat (SAD).

Nem, a teljes adatkör tárolásra kerül Részben, de tárolunk felesleges adatokat is Igen, csak a minimálisan szükséges adatok Nem tudom

Titkosítva vannak a kártyabirtokosi adatok nyugalmi állapotban (at rest) az AI tanító adathalmazokban és a modell súlyokban (model weights)?

PCI DSS 3.4: Minden tárolt kártyabirtokosi adathoz (CHD) erős titkosítás (pl. AES-256) szükséges, beleértve az AI-adathalmazokat is.

Nem, nincs titkosítás Gyenge titkosítást használunk (elavult algoritmus) Igen, AES-256 vagy erősebb titkosítást alkalmazunk Nem tudom

Titkosítva vannak a kártyabirtokosi adatok átvitel közben (in transit), amikor az AI-rendszer API-kon keresztül kommunikál (TLS 1.2+ protokollal)?

PCI DSS 4.1: Nyilvános hálózatokon történő CHD-átvitelhez erős kriptográfiai protokollok (minimum TLS 1.2) használata kötelező.

Nincs, vagy elavult (pl. TLS 1.1) protokollt használunk Igen, TLS 1.2 protokollt használunk Igen, a legbiztonságosabb TLS 1.3 protokollt használjuk Nem tudom

Alkalmazol tokenizációt vagy formátum-megőrző titkosítást (FPE), hogy az AI-modellek ne férjenek hozzá az eredeti kártyaszámokhoz (PAN)?

A tokenizáció egy bevált gyakorlat a PCI DSS hatókörének (scope) csökkentésére. Így az AI-modellek az eredeti kártyaszámok helyett tokenekkel dolgozhatnak.

Nem, az eredeti kártyaszámokat használjuk Részben, a tokenizáció nem teljes körű Igen, teljes körű tokenizációt vagy FPE-t alkalmazunk Nem tudom

Létezik dokumentált kulcskezelési eljárásrendetek az AI-rendszer titkosítási kulcsaira (létrehozás, rotálás, visszavonás)?

PCI DSS 3.5 és 3.6: A titkosítási kulcsok védelmét és rendszeres (legalább évente történő) rotálását biztosítani kell.

Nincs formális kulcskezelési eljárásrendünk Van, de a kulcsokat nem rotáljuk rendszeresen Igen, dokumentált, automatizált rotációval és HSM-védelemmel Nem tudom

Hozzáférés-szabályozás és Hitelesítés

A kártyabirtokosi adatokhoz való hozzáférés korlátozása az AI-rendszerben, szerepkör-alapú hozzáférés-szabályozás (RBAC) és erős hitelesítés alkalmazásával.

Alkalmazol szerepkör-alapú hozzáférés-szabályozást (RBAC), amely a "szükséges ismeret" (need-to-know) elve alapján korlátozza a kártyabirtokosi adatokhoz való hozzáférést?

PCI DSS 7.1: A kártyabirtokosi adatokhoz (CHD) való hozzáférést az üzleti szükségesség ("need-to-know") elve alapján kell korlátozni.

Nincs, a hozzáférés nincs korlátozva Van, de az elveket nem tartjuk be szigorúan Igen, szigorú, "need-to-know" alapú RBAC Nem tudom

Kötelező a többfaktoros hitelesítés (MFA) minden olyan felhasználó számára, aki hozzáfér a kártyabirtokosi adatokat kezelő AI-rendszerhez (pl. adatelemzők, ML-mérnökök)?

PCI DSS 8.3: Az MFA kötelező minden, a kártyabirtokosi adatok környezetébe (CDE) irányuló hozzáféréshez.

Nincs, csak jelszavas védelmet használunk Részben, csak az adminisztrátorok számára kötelező Igen, minden CDE-hozzáféréshez kötelező Nem tudom

Amennyiben az AI egy ügyféloldali chatbot, a felhasználóknak hitelesíteniük kell magukat, mielőtt a bot tranzakciós adatokat vagy fiókinformációkat jelenít meg?

A chatbotok nem jeleníthetnek meg kártyabirtokosi vagy fizetési adatokat hitelesítés nélkül. Erős ügyfél-hitelesítés (SCA) alkalmazása szükséges.

Nincs hitelesítés a chatbotban Van, de gyenge (pl. csak e-mail cím alapján) Igen, erős ügyfél-hitelesítést (SCA) alkalmazunk Nem releváns, nincs ügyféloldali chatbotunk

Minden felhasználó egyedi azonosítóval (user ID) rendelkezik a rendszerhez, és a megosztott/általános fiókok használata tiltott?

PCI DSS 8.1: A naplózhatóság érdekében minden hozzáférésnek egyedi azonosítóhoz kell kötődnie. A megosztott fiókok ("csapat", "admin") használata tilos.

Igen, engedélyezzük a megosztott fiókokat Többnyire egyedi, de előfordulnak megosztott fiókok Nem, minden hozzáférés egyedi azonosítóhoz kötött Nem tudom

A rendszer automatikusan lezárja az inaktív felhasználói munkameneteket (legfeljebb 15 perc inaktivitás után)?

PCI DSS 8.1.8: A CDE-rendszerekben kötelező az inaktív munkamenetek automatikus lezárása (max. 15 perc után).

Nincs automatikus munkamenet-lezárás Van, de 15 percnél hosszabb idő után Igen, legfeljebb 15 perc után Nem tudom

AI-alapú Csalásfelderítés és Monitorozás

AI-alapú anomáliaészlelés, valós idejű monitorozás és auditnaplózás a gyanús tevékenységek azonosítására.

Használ az AI-rendszer valós idejű anomáliaészlelést a gyanús tranzakciók vagy hozzáférési mintázatok azonosítására?

A PCI DSS 11.4 előírja a jogosulatlan hozzáférések észlelésére szolgáló eszközök használatát. Az AI-alapú csalásfelderítés bevált gyakorlatnak számít.

Nincs anomáliaészlelés Csak szabályalapú (nem AI) rendszert használunk Igen, AI-alapú, valós idejű észlelést Nem tudom

Naplózol minden, kártyabirtokosi adatokhoz (CHD) való hozzáférést és modell-következtetést (inference), rögzítve a felhasználói azonosítót, az időbélyegzőt és a végrehajtott műveletet?

PCI DSS 10.2: Minden, kártyabirtokosi adatokhoz történő egyedi felhasználói hozzáférést naplózni kell. Az AI-következtetéseknek is auditálhatónak kell lenniük.

Nincs auditnaplózás A naplózás részleges (hiányos adatokkal) Igen, a naplózás teljes körű (felhasználó, idő, művelet) Nem tudom

Az auditnaplókat legalább 1 évig megőrzitek, és működtettek automatizált riasztási rendszert a gyanús események jelzésére?

PCI DSS 10.7: A naplókat legalább 1 évig meg kell őrizni (ebből 3 hónapnak online elérhetőnek kell lennie). Az automatizált riasztás a gyors reagálást segíti.

Nem őrizzük meg a naplókat 1 évnél rövidebb ideig, vagy nincs riasztás Igen, 1+ évig, automatizált riasztásokkal Nem tudom

Védve vannak az auditnaplók a jogosulatlan módosítások ellen (pl. egyszer írható tároló, kriptográfiai hash)?

PCI DSS 10.5: A naplófájlokat védeni kell a módosítástól. Ehhez hamisításbiztos tárolás (pl. WORM) vagy hash-alapú integritás-ellenőrzés szükséges.

Nincs védelem a módosítás ellen Csak alapvető fájlrendszer-jogosultságok védik Igen, hamisításbiztos tárolással vagy kriptográfiai hash-sel Nem tudom

Külső Fél Által Nyújtott AI-szolgáltatások

A külső AI-szolgáltatók megfelelőségének értékelése, API-biztonság és a compliance ellenőrzése.

Minden külső AI-szolgáltató (pl. OpenAI, Google AI), amely kártyabirtokosi adatokhoz fér hozzá, rendelkezik érvényes PCI DSS Megfelelőségi Tanúsítvánnyal (AOC)?

PCI DSS 12.8: Minden, kártyabirtokosi adatot tároló, feldolgozó vagy továbbító szolgáltatót évente dokumentált megfelelőségi felülvizsgálatnak kell alávetni.

Nem ellenőrizzük a tanúsítványokat Csak néhány szolgáltatónk rendelkezik tanúsítvánnyal Igen, minden érintett szolgáltatónk PCI DSS-kompatibilis Nem releváns, nem használunk külső AI-szolgáltatót

Korlátozva van a külső AI API-khoz való hozzáférés (pl. API-kulcsok rotálása, rate limiting, IP-cím szűrés)?

Az API-kulcsokat rendszeresen rotálni kell, a rate limiting pedig védelmet nyújt a "brute-force" támadások ellen.

Nincsenek hozzáférési korlátozások Vannak, de csak részlegesen (pl. csak rate limit) Igen, teljes körűen (kulcsrotáció, rate limit, IP-szűrés) Nem tudom

Rendelkezel írásos megállapodással (SLA) a külső AI-szolgáltatókkal, amely rögzíti az adatbiztonsági és incidensbejelentési kötelezettségeket?

PCI DSS 12.8.2: A szolgáltatókkal írásos megállapodást kell kötni, amely rögzíti a biztonsági felelősségi köröket és az incidensbejelentési határidőket.

Nincs ilyen írásos megállapodásunk Van, de nem tér ki a PCI DSS biztonsági követelményeire Igen, minden szolgáltatóval PCI DSS-kompatibilis szerződésünk van Nem tudom

Dokumentálod és ismered, hogy a külső AI-szolgáltatók földrajzilag hol tárolják a kártyabirtokosi adatokat (adatrezidencia), és ez megfelel-e a PCI DSS előírásainak?

A PCI DSS hatóköre a távoli helyszínekre is kiterjed. Ismerni kell, mely adatközpontokban találhatók a CHD-t tartalmazó AI-modellek.

Nem tudjuk, hol tárolják az adatokat Tudjuk, de nincs dokumentálva Igen, dokumentáltan, PCI DSS-kompatibilis adatközpontban Nem tudom

Incidenskezelés és Auditkészség

Incidensreagálási terv, adatsértés-bejelentési folyamat és a PCI DSS auditra való felkészültség.

Rendelkezel dokumentált incidensreagálási tervvel az AI-rendszert érintő lehetséges adatszivárgások vagy kompromittálódás esetére?

PCI DSS 12.10: Kötelező az incidensreagálási terv, amely tartalmazza a felelősségi köröket, a kommunikációs tervet és az üzletmenet-folytonossági lépéseket.

Nincs incidensreagálási tervünk Van általános, de nem AI-specifikus tervünk Igen, van dokumentált, AI-specifikus tervünk Nem tudom

Létezik kidolgozott eljárásrendetek a kártyatársaságok (pl. Visa, Mastercard) és az elfogadó bank értesítésére egy esetleges adatsértést követő 72 órán belül?

A PCI DSS megköveteli a gyors adatsértés-bejelentést. A Visa és a Mastercard külön is előírja a 72 órán belüli jelentéstételt.

Nincs bejelentési eljárásrendünk Létezik, de nincs formálisan dokumentálva Igen, van dokumentált, 72 órás bejelentési folyamatunk Nem tudom

Rendelkezel naprakész dokumentációval az AI-rendszer adatfolyamatairól (data flow diagram), hálózati topológiájáról és minden CDE-komponensről?

PCI DSS 12.1: A CDE hatókörének meghatározásához és az audithoz elengedhetetlen a naprakész hálózati diagram és adatfolyam-dokumentáció.

Nincs dokumentációnk Van, de elavult (több mint 6 hónapos) Igen, naprakész és teljes körű dokumentációval rendelkezünk Nem tudom

Az AI-rendszeren végeznek legalább évente sérülékenységvizsgálatot és behatolástesztelést, és minden kritikus sebezhetőséget javítotok?

PCI DSS 11.3: Minden CDE-rendszeren kötelező az éves behatolástesztelés, beleértve a publikus AI API-kat és a modellkiszolgáló infrastruktúrát is.

Nem végzünk ilyen teszteket Végzünk, de nem évente Igen, évente, a feltárt hibák javításával együtt Nem tudom

Az AI Biztonsági Értékelésed

/100

📧 Kérem a részletes eredményeket emailben

Elküldjük a teljes riportot minden válasszal és javaslattal

Elfogadom a Felhasználási feltételeket.

Szeretnél mélyebb elemzést?

Szakértőink segítenek egy részletes AI Red Team audit elvégzésében

Ingyenes konzultáció foglalása →

Az AI csalásmegelőző rendszered PCI DSS kompatibilis?

Töltsd ki 3 perces PCI DSS és AI Ellenőrző Listánkat! Az AI használata a fizetési rendszerekben (pl. real-time csalásfelderítés) komoly kockázatokat rejt a kártyabirtokosi adatokra (CHD) nézve. Ez a gyors audit segít felmérni, hogy az AI modelljeid és a Kártyabirtokosi Adatkörnyezet (CDE) megfelel-e a szigorú PCI DSS követelményeknek, beleértve az adathozzáférést, a naplózást és a modellbiztonságot. Töltsd ki 3 perc alatt, és kapj egy azonnali pontszámot a sebezhetőségeidről!

A részletes megfelelőségi riportot e-mailben küldjük.