Zakaj Je Za SMB Potrebna Skladnost PCI

2023 Avtor: Susan Creighton | [email protected]. Nazadnje spremenjeno: 2023-08-25 03:49

Nedavne kršitve velikih trgovcev na drobno so v središču pozornosti postavile predpise o industriji plačilnih kartic (PCI). Vendar se ne smejo samo velika podjetja držati teh predpisov. Pravila veljajo za vsako podjetje, ki se za transakcije zanaša na kreditne in debetne kartice. Tudi če vaše podjetje zaposluje štiri osebe in opravi eno transakcijo s kreditno kartico mesečno, mora biti združljivo s sistemom PCI.

To je lažje reči kot storiti. Poročilo o varnosti plačil Verizon 2018 je ugotovilo, da se večina podjetij bori za izpolnjevanje standarda varnosti podatkov o industriji plačilnih kartic (PCI DSS), nabora predpisov, ki so bili pripravljeni za varno varstvo podatkov s kreditnih in debetnih kartic, z ustreznimi 52%, kar je manj kot 55% v letu 2017.

"To ni dober trend, " je v intervjuju za eWeek dejala Ciske Van Oosten, vodja globalne obveščevalne službe Verizon. "Vemo, da so organizacije, ki ne vzdržujejo skladnosti PCI-DSS, tiste, ki se kršijo."

Kaj je industrija plačilnih kartic?

"Industrija plačilnih kartic" je izraz, ki velja za vse panoge, ki uporabljajo ali uporabljajo kreditne in debetne kartice. To vključuje sisteme na prodajnem mestu, ki jih uporabljajo trgovina in trgovina na drobno, bankomati in institucije, ki za denarne transakcije izdajo kakršno koli kreditno, debetno ali predplačniško kartico.

Leta 2006 so se največja podjetja s kreditnimi karticami - Visa, Mastercard, American Express in Discover ter Japonski kreditni urad - združila in ustvarila Svet za varnost standardov industrije plačilnih kartic (PCI SSC) kot način za reševanje in upravljanje potreb. za izboljšanje varnosti v celotni industriji. To je privedlo do standarda za varnost podatkov o industriji plačilnih kartic.

Opomba urednika: Ali menite, da je storitev za obdelavo kreditnih kartic za vaše podjetje? Če iščete informacije, ki bi vam pomagale izbrati ustreznega za vas, uporabite spodnji vprašalnik in brezplačno pridobite informacije od različnih prodajalcev

widget za kupca

Vsako podjetje, ki sprejema kreditne in debetne kartice, mora slediti PCI DSS, ne glede na obseg transakcij ali velikost podjetja (čeprav PCI SSC tukaj nudi pomoč malim podjetjem). Vendar pa obstajajo štiri stopnje skladnosti, ki temeljijo na količini transakcij Visa v obdobju 12 mesecev. Te stopnje določajo dejanja, ki jih mora organizacija sprejeti, da bodo skladna; več transakcij, več ukrepov je potrebno. Po PCIComplianceGuide.org so to štiri stopnje in njihove zahteve:

• 1. stopnja: Vsak trgovec - ne glede na sprejemni kanal - obdela več kot 6 milijonov transakcij Visa na leto. Vsak trgovec, za katerega družba Visa po lastni presoji ugotovi, mora izpolnjevati zahteve prvega nivoja, da zmanjša tveganje za sistem Visa.
• Stopnja 2: Vsak trgovec - ne glede na sprejemni kanal - obdela 1 milijon do 6 milijonov Visa transakcij na leto.
• 3. stopnja: Vsak trgovec, ki na leto obdela 20.000 do milijon transakcij Visa e-trgovine.
• 4. stopnja: Vsak trgovec, ki na leto obdela manj kot 20.000 transakcij e-trgovine Visa, vsi drugi trgovci - ne glede na kanal sprejema - obdelajo do 1 milijon transakcij Visa na leto.

12 zahtev za PCI DSS

PCI SCC ponuja seznam 12 zahtev za izpolnjevanje PCI DSS:

1. Namestite in vzdržujte konfiguracijo požarnega zidu za zaščito podatkov imetnika kartice.
2. Ne uporabljajte privzetih ponudnikov za sistemska gesla in druge varnostne parametre.
3. Zaščitite shranjene podatke imetnika kartice.
4. Šifrirajte prenos podatkov imetnika kartice prek odprtih javnih omrežij.
5. Uporabljajte in redno posodabljajte protivirusno programsko opremo ali programe.
6. Razviti in vzdrževati varne sisteme in aplikacije.
7. Omejite dostop do podatkov imetnika kartice zaradi poslovne potrebe.
8. Vsaki osebi z dostopom do računalnika dodelite edinstven ID.
9. Omeji fizični dostop do podatkov imetnika kartice.
10. Spremljajte in spremljajte ves dostop do omrežnih virov in podatkov imetnika kartice.
11. Redno testirajte varnostne sisteme in procese.
12. Ohranjajte politiko, ki se nanaša na informacijsko varnost zaposlenih in izvajalcev.

Zakaj je skladnost PCI pomembna

Potrošniki bolj kot kdaj koli prej skrbijo za varnost. S kršitvami podatkov o odmevnih podatkih, ki jih številni prihajajo prek ukradenih kreditnih in debetnih kartic v celotni maloprodajni in storitveni industriji, potrošniki želijo vedeti, da poslujejo varno, in od svojih podjetij s kreditnimi karticami ne bodo slišali o vprašljivih stroških. Potrošniki se bodo oddaljili od podjetij, ki so utrpela kršitve podatkov, in ena sama kršitev bi lahko bila tako draga, da bi lahko na koncu začasno ustavila mala podjetja. Skladnost s PCI ne zagotavlja, da se kršitev podatkov ne bo zgodila, dodaja pa zaščitne ukrepe za izboljšanje varnosti.

Če se pokaže, da podjetje ni v skladu, lahko stane od 5000 do 100.000 dolarjev mesečno glob. Če se neskladnost nadaljuje, se lahko trgovcu odvzamejo storitve obdelave plačil. [Iščete storitev obdelave kreditnih kartic? Oglejte si naše ocene in najboljše kraje.]

Kako ostati PCI združljiv

Če sprejemate kreditne in debetne kartice, o skladnosti PCI ni mogoče pogajati, vendar je priprava na revizijo PCI in zagotavljanje, da vaše podjetje izpolnjuje standarde skladnosti, zastrašujoče. Jeff Vansickel, višji svetovalec pri svetovalnem podjetju SystemExperts, ki se ukvarja z informacijsko tehnologijo, je dal nekaj nasvetov za pripravo na oceno PCI in ohranjanje standardov na varnih ravneh ves čas:

Prepoznajte vse podatke o podjetju in stranki, vključno s podatki o imetniku kartice, njihovo občutljivost in kritičnost. Vansickel je dejal, da je pravilna opredelitev obsega ocene verjetno najtežji in najpomembnejši del vsakega programa skladnosti PCI. Preveč ozek obseg lahko ogrozi podatke imetnikov kartice, medtem ko preveč širok obseg lahko doda neizmerne in nepotrebne stroške in napore programu skladnosti PCI

Spoznajte meje podatkovnega okolja imetnika kartice in vse podatke, ki pritekajo vanj in iz njega. Vsak sistem, ki se poveže s podatkovnim okoljem imetnika kartice, spada v obseg skladnosti in mora zato izpolnjevati zahteve PCI. Podatkovno okolje imetnika kartice vključuje vse procese, tehnologijo in ljudi, ki shranjujejo, obdelujejo ali prenašajo podatke imetnika kartice strank ali podatke za preverjanje pristnosti, pa tudi vse povezane sistemske komponente in vse komponente virtualizacije, kot so strežniki

Vzpostavite nadzor delovanja, da zaščitite zaupnost in celovitost podatkov o imetniku kartice. Podatke o imetnikih kartic je treba varovati, kjer koli se uvažajo, obdelujejo, shranjujejo in prenašajo. Prav tako ga je treba pravilno odstraniti na koncu življenjske dobe. "Varnostne kopije morajo ohranjati tudi zaupnost in celovitost podatkov o imetnikih kartic, " je dejal Vansickel. "Poleg tega je treba vse medije pravilno odstraniti, da zagotovite stalno zaupnost podatkov. Ne pozabite vključiti le trdih diskov, ki jih uporabljajo računalniški sistemi v lasti podjetja, temveč tudi zakupljene sisteme in shranjevanje, ki je vključeno v sodobne kopirne stroje in tiskalnike."

Vzpostavite načrt odzivanja na nesreče. Ko pride do varnostnega incidenta, je pomembno, da imate načrt, da se čim prej vrnete med varne operacije. Ta načrt mora opredeliti vloge, odgovornosti, zahteve po komunikaciji in strategije stikov v primeru kompromisa, vključno z obveščanjem o plačilnih znamkah, pravnem svetovanju in odnosi z javnostmi. To bo zagotovilo pravočasno in učinkovito reševanje vseh ogroženih situacij. "V idealnem primeru bi morala podjetja imeti zasedenega strokovnjaka za forenziko, ki lahko zbira dokaze in po potrebi kot strokovna priča, " je dejal Vansickel