Zgodność z PCI - KamilTaylan.blog
5 maja 2021 0:49

Zgodność z PCI

Co to jest zgodność ze standardem PCI?

Zgodność z branżą kart płatniczych (PCI) jest wymagana przez firmy obsługujące Radę Standardów Bezpieczeństwa PCI.

Kluczowe wnioski

  • Firmy, które przestrzegają i osiągają standardy bezpieczeństwa danych w branży kart płatniczych (PCI DSS), są uznawane za zgodne ze standardami PCI.
  • Za opracowanie PCI DSS odpowiada Rada Norm Bezpieczeństwa PCI.
  • PCI DSS ma 12 kluczowych wymagań, 78 podstawowych wymagań i 400 procedur testowych, aby zapewnić zgodność organizacji ze standardem PCI.
  • Zgodność z PCI ogranicza naruszenia bezpieczeństwa danych, chroni dane posiadaczy kart, pozwala uniknąć kar i poprawia reputację marki.
  • Zgodność z PCI nie jest wymagana przez prawo, ale jest uważana za obowiązkową w orzecznictwie sądowym.

Zrozumienie zgodności PCI

orzecznictwie sądowym.

Ogólnie rzecz biorąc, zgodność ze standardem PCI jest podstawowym elementem protokołu bezpieczeństwa firmy obsługującej karty kredytowe. Jest to generalnie wymagane przez firmy obsługujące karty kredytowe i omówione w umowach dotyczących sieci kart kredytowych.

Rada ds. Standardów PCI jest odpowiedzialna za rozwój standardów zgodności PCI. Standardy te dotyczą przetwarzania przez handlowców i zostały również rozszerzone, aby nakreślić wymagania dotyczące kluczowe podmioty, które są również związane z ustanawianiem standardów w branży kart kredytowych, to The Card Association Network i National Automated Clearing House (NACHA).

Wymagania dotyczące zgodności z PCI

Standardy zgodności PCI wymagają od sprzedawców i innych firm postępowania z informacjami o kartach kredytowych w bezpieczny sposób, który pomaga zmniejszyć prawdopodobieństwo kradzieży poufnych informacji finansowych posiadaczy kart. Jeśli handlowcy nie przetwarzają informacji o karcie kredytowej zgodnie ze standardami PCI, dane karty mogą zostać zhakowane i wykorzystane do wielu nieuczciwych działań. Ponadto poufne informacje o posiadaczu karty mogą zostać wykorzystane do  fałszowania tożsamości.

Zgodność z PCI oznacza konsekwentne przestrzeganie zestawu wytycznych określonych przez Radę ds. Standardów PCI. Zgodność z PCI jest regulowana przez Radę Standardów PCI, organizację utworzoną w 2006 roku w celu zarządzania bezpieczeństwem kart kredytowych.

Wymagania opracowane przez Radę są znane jako standardy bezpieczeństwa danych w branży kart płatniczych (PCI DSS). PCI DSS ma 12 kluczowych wymagań, 78 podstawowych wymagań i ponad 400 procedur testowych. Wytyczne są również uważane za najlepsze praktyki w zakresie bezpieczeństwa. Jego 12 głównych wymagań obejmuje:

  1. Wdrażaj zapory ogniowe, aby chronić dane
  2. Odpowiednia ochrona hasłem
  3. Chroń dane posiadaczy kart
  4. Szyfrowanie przesyłanych danych posiadacza karty
  5. Korzystaj z oprogramowania antywirusowego
  6. Aktualizuj oprogramowanie i utrzymuj systemy bezpieczeństwa
  7. Ogranicz dostęp do danych posiadacza karty
  8. Unikalne identyfikatory przypisywane osobom mającym dostęp do danych
  9. Ogranicz fizyczny dostęp do danych
  10. Twórz i monitoruj dzienniki dostępu
  11. Regularnie testuj systemy bezpieczeństwa
  12. Utwórz politykę, która jest udokumentowana i której można przestrzegać

Najnowsza wersja PCI DSS został wydany w maju 2018 roku i jest określany jako wersja 3.2.1. Ogólnie rzecz biorąc, sześć celów i 12 wymagań określa szereg kroków, które podmioty przetwarzające karty kredytowe muszą stale przestrzegać. Firmy są najpierw proszone o ocenę swoich sieci i systemów, które obejmują infrastrukturę informatyczną, procesy biznesowe i procedury obsługi kart kredytowych.

Korzyści ze zgodności z PCI

Stałe utrzymywanie i ocena wszelkich luk w zabezpieczeniach są również bardzo ważne, aby w  miarę możliwości unikać kradzieży poufnych informacji posiadacza karty, takich jak  numer ubezpieczenia społecznego i numer prawa jazdy.

Firmy są zobowiązane do regularnego dostarczania raportów zgodności w ramach umów dotyczących przetwarzania kart. Monitorowanie, oceny i audyty standardów bezpieczeństwa danych branży kart płatniczych są ważną częścią działu bezpieczeństwa firmy.

Wszystkie firmy, które przetwarzają informacje o kartach kredytowych, są zobowiązane do zachowania zgodności ze standardem PCI zgodnie z ich umowami dotyczącymi przetwarzania kart. Zgodność z PCI jest standardem branżowym, a biznes bez niej może skutkować znacznymi karami za naruszenie umowy i zaniedbanie. Bez zgodności ze standardem PCI firmy są również bardzo narażone na kradzież, oszustwa i naruszenia bezpieczeństwa danych.

95%

Odseteknaruszeń cyberbezpieczeństwa spowodowanych błędem ludzkim.

Korzyści wynikające ze zgodności obejmują mniejsze ryzyko naruszenia danych, ochronę danych posiadaczy kart, a tym samym unikanie szans na kradzież tożsamości. Jest to dobra praktyka dla firm, aby zachować zgodność, ponieważ zmniejsza wszelkie grzywny związane z naruszeniem danych, poprawia reputację marki, zapewnia klientom zadowolenie i pewność, że współpracują z odpowiedzialną firmą, co prowadzi do lojalności wobec marki.

W pierwszej połowie 2020 roku w wyniku naruszenia bezpieczeństwa danych ujawniono 36 miliardów rekordów. Osiemdziesiąt sześć procent naruszeń było motywowanych finansowo, a ponieważ globalny rynek bezpieczeństwa informacji osiągnie 170 miliardów dolarów w 2020 roku, ryzyko finansowe jest jeszcze wyższe. Ochrona danych posiadaczy kart jest nie tylko dobra dla biznesu, ale jest również słuszną rzeczą do zrobienia, zapewniając, że ludzie nie poniosą negatywnych szkód ani nie poniosą strat finansowych.

Zgodność z PCI i naruszenia danych

Zgodność z PCI pomaga uniknąć oszukańczych działań i ogranicza naruszenia bezpieczeństwa danych. Firma Verizon przedstawia coroczną ocenę bezpieczeństwa płatności w swoim „Raporcie bezpieczeństwa płatności Verizon”. Raport 2019 poświęca całą sekcję PCI DSS, zatytułowaną „Stan zgodności PCI DSS, 2019: i 12 kluczowych wymagań”. Niektóre najważniejsze informacje dotyczące PCI DSS z „Raportu bezpieczeństwa płatności Verizon 2019” obejmują:

  • 36,7% organizacji aktywnie utrzymywało programy PCI DSS w 2018 roku.
  • Region Azji i Pacyfiku osiągnął lepsze wyniki niż obie Ameryki, Europa, Bliski Wschód i Afryka.
  • Z punktu widzenia branży hotelarstwo pozostaje nieco w tyle za innymi sektorami.

Często zadawane pytania dotyczące zgodności z PCI

Co oznacza zgodność ze standardem PCI?

Zgodność ze standardem PCI oznacza, że ​​każda firma lub organizacja, która akceptuje, przesyła lub przechowuje prywatne dane posiadaczy kart, przestrzega różnych środków bezpieczeństwa określonych przez Radę Standardów Bezpieczeństwa PCI, aby zapewnić bezpieczeństwo i prywatność danych.

Czy zgodność z PCI jest wymagana przez prawo?

Nie ma mandatu regulacyjnego, który wymagałby zgodności z PCI, ale jest on uważany za obowiązkowy w orzecznictwie sądowym.

Jak uzyskać zgodność ze standardem PCI?

Aby uzyskać zgodność ze standardem PCI, należy najpierw określić, który kwestionariusz samooceny należy wypełnić, aby uzyskać zgodność. Po wypełnieniu kwestionariusza należy wypełnić i zachować dowód pozytywnego wyniku skanowania podatności u dostawcy skanowania zatwierdzonego przez PCI SSC. Skanowanie dotyczy tylko niektórych sprzedawców. Będziesz wtedy musiał wypełnić poświadczenie zgodności. Ostatnim krokiem będzie przesłanie wszystkich powyższych informacji.

Kto musi być zgodny ze standardem PCI?

Każda firma lub organizacja, która przyjmuje, przesyła lub przechowuje prywatne dane posiadaczy kart.

Podsumowanie

Zgodność z PCI odnosi się do technicznych i operacyjnych standardów określonych przez Radę Norm Bezpieczeństwa PCI, które organizacje muszą wdrożyć i utrzymywać. Celem zgodności ze standardem PCI jest ochrona danych posiadaczy kart i ma zastosowanie do każdej organizacji, która akceptuje, przesyła lub przechowuje te dane. Zgodność z PCI jest dobrą praktyką biznesową, ponieważ stawia bezpieczeństwo danych konsumentów na pierwszym miejscu, a także przynosi korzyści organizacji dzięki pozytywnej reputacji marki.