Anonim
Afrika Studio / Shutterstock

Nedávná porušení hlavních maloobchodníků dala hlavní pozornost předpisům v oblasti platebních karet (PCI). Tyto předpisy však nemusí dodržovat pouze velké společnosti. Tato pravidla se vztahují na každou firmu, která se při transakcích spoléhá na kreditní a debetní karty. I když vaše firma zaměstnává čtyři osoby a provádí jednu transakci kreditní kartou měsíčně, musí to být kompatibilní s PCI.

To se snadněji říká, než udělá. Zpráva o zabezpečení plateb Verizon 2018 zjistila, že většina společností bojuje o splnění standardu zabezpečení údajů o platebních kartách (PCI DSS), souboru předpisů vytvořených k zajištění bezpečnosti údajů o kreditních a debetních kartách, s pouze 52% shodou, z 55% v roce 2017.

"Není to dobrý trend, " uvedl Ciske Van Oosten, vedoucí manažer pro globální inteligenci ve Verizonu, v rozhovoru s eWeek. "Víme, že organizace, které nedodržují shodu s PCI-DSS, jsou ty, které jsou porušeny."

Co je odvětví platebních karet?

„Průmysl platebních karet“je pojem „catch-all“pro odvětví, která používají nebo používají kreditní a debetní karty. Patří sem systémy prodejního místa používané obchodními a maloobchodními průmysly, bankomaty a institucemi, které vydávají jakýkoli typ kreditní, debetní nebo předplacené karty pro peněžní transakce.

V roce 2006 se hlavní společnosti vydávající kreditní karty - Visa, Mastercard, American Express a Discover, jakož i Japan Credit Bureau - spojily, aby vytvořily Radu pro bezpečnostní standardy v oblasti platebních karet (PCI SSC) jako způsob řešení a řízení potřeby pro zvýšení bezpečnosti v celém odvětví. To vedlo ke standardu zabezpečení údajů o platebních kartách.

Poznámka editora: Uvažujete o službě zpracování kreditních karet pro vaši firmu? Pokud hledáte informace, které vám pomohou vybrat ten, který je pro vás to pravé, použijte dotazník níže a získejte zdarma informace od různých dodavatelů.

widget widget buyerzone

Každá společnost, která přijímá kreditní a debetní karty, je povinna dodržovat PCI DSS, bez ohledu na objem transakcí nebo velikost firmy (ačkoli PCI SSC zde neposkytuje pomoc malým podnikům). Existují však čtyři úrovně shody založené na objemech transakcí Visa za období 12 měsíců. Tyto úrovně určují akce, které musí organizace podniknout, aby byly v souladu; čím více transakcí, tím více potřebných akcí. Podle PCIComplianceGuide.org se jedná o čtyři úrovně a jejich požadavky:

  • Úroveň 1: Každý obchodník - bez ohledu na přijímací kanál - zpracovává přes 6 milionů vízových transakcí ročně. Každý obchodník, který společnost Visa podle svého vlastního uvážení rozhodne, by měl splnit požadavky obchodníka úrovně 1, aby se minimalizovalo riziko pro systém Visa.
  • Úroveň 2: Každý obchodník - bez ohledu na přijímací kanál - zpracovává 1 až 6 milionů vízových transakcí ročně.
  • Úroveň 3: Každý obchodník zpracovávající 20 000 až 1 milion transakcí elektronického obchodování s vízy ročně.
  • Úroveň 4: Jakýkoli obchodník zpracovávající méně než 20 000 transakcí elektronického obchodu Visa ročně a všichni ostatní obchodníci - bez ohledu na přijímací kanál - zpracovávají až 1 milion transakcí Visa ročně.

12 požadavků na PCI DSS

PCI SCC poskytuje seznam 12 požadavků pro splnění PCI DSS:

  1. Nainstalujte a udržujte konfiguraci brány firewall pro ochranu dat držitelů karet.
  2. Nepoužívejte výchozí nastavení dodaná dodavatelem pro systémová hesla a další bezpečnostní parametry.
  3. Chraňte uložená data držitele karty.
  4. Šifrování přenosu dat držitelů karet přes otevřené veřejné sítě.
  5. Používejte a pravidelně aktualizujte antivirový software nebo programy.
  6. Vývoj a údržba zabezpečených systémů a aplikací.
  7. Omezte přístup k datům držitelů karet podle potřeby podnikání.
  8. Každému člověku přiřaďte jedinečný identifikátor s přístupem k počítači.
  9. Omezte fyzický přístup k datům držitelů karet.
  10. Sledujte a sledujte veškerý přístup k síťovým prostředkům a datům držitelů karet.
  11. Pravidelně testujte bezpečnostní systémy a procesy.
  12. Udržujte zásadu, která řeší zabezpečení informací pro zaměstnance a dodavatele.

Proč záleží na dodržování PCI

Spotřebitelé se více než kdy jindy zajímají o bezpečnost. Díky vysokému profilu porušení dat, z nichž mnozí přicházejí prostřednictvím odcizených kreditních a debetních karet v maloobchodním a servisním průmyslu, chtějí spotřebitelé vědět, že podnikají bezpečně a nebudou od svých společností vydávajících kreditní karty slyšet o sporných poplatcích. Spotřebitelé odejdou od podniků, které utrpěly narušení dat, a jediné porušení by mohlo být tak nákladné, že by to nakonec mohlo vést k tomu, že by malé firmy byly z dobrého stavu. Soulad s PCI nezaručuje, že k narušení dat nedojde, ale přidává záruky pro zvýšení bezpečnosti.

Pokud se zjistí, že podnik nedodržuje předpisy, může stát pokutu pokutou od 5 000 do 100 000 $ měsíčně. Pokud nedochází k rozporům, mohlo by být obchodníkovi odstraněno služeb zpracování plateb. [Hledáte službu zpracování kreditních karet? Podívejte se na naše recenze a nejlepší tipy.]

Jak zůstat v souladu s PCI

Soulad s PCI je nepřijatelný, pokud přijímáte kreditní a debetní karty, ale přípravy na audit PCI a zajištění toho, že vaše společnost splňuje standardy shody, může být skličující. Jeff Vansickel, senior konzultant v poradenské firmě SystemExperts v oblasti IT, poskytl několik tipů, jak se připravit na posouzení PCI a udržet své standardy na bezpečné úrovni za všech okolností:

  1. Identifikujte všechna obchodní a klientská data, včetně jakýchkoli dat držitelů karet, jejich citlivosti a kritičnosti. Správné vymezení rozsahu hodnocení je pravděpodobně nejobtížnější a nejdůležitější součástí jakéhokoli programu shody s PCI, řekl Vansickel. Příliš úzký rozsah může ohrozit data držitelů karet, zatímco příliš široký rozsah může do programu shody s PCI přidat obrovské a zbytečné náklady a úsilí.
  1. Pochopte hranice datového prostředí držitele karty a všechna data, která z něj proudí a odtud vycházejí. Jakýkoli systém, který se připojuje k datovému prostředí držitele karty, spadá do souladu a musí proto splňovat požadavky PCI. Datové prostředí držitele karty zahrnuje všechny procesy, technologii a lidi, kteří ukládají, zpracovávají nebo přenášejí data držitele karty nebo autentizační data, jakož i všechny připojené systémové komponenty a jakékoli komponenty virtualizace, jako jsou servery.
  1. Stanovte provozní ovládací prvky, které chrání důvěrnost a integritu jakýchkoli údajů držitelů karet. Data držitele karty by měla být chráněna bez ohledu na to, kde jsou importována, zpracována, uložena a přenesena. Na konci své životnosti musí být také řádně zlikvidována. "Zálohy musí také zachovat důvěrnost a integritu dat držitelů karet, " řekl Vansickel. „Kromě toho musí být všechna média řádně zlikvidována, aby byla zajištěna trvalá důvěrnost dat. Nezapomeňte zahrnout nejen pevné disky používané podnikovými počítačovými systémy, ale také pronajaté systémy a úložiště obsažené v moderních kopírovacích strojích a tiskárnách. "
  1. Připravte si plán reakce na incidenty. Pokud dojde k bezpečnostní události, je důležité mít plán na co nejrychlejší návrat k zabezpečeným operacím. Tento plán by měl definovat úlohy, odpovědnosti, požadavky na komunikaci a kontaktní strategie v případě kompromisu, včetně oznámení platebních značek, právního poradenství a public relations. Tím bude zajištěno včasné a efektivní řešení všech ohrožených situací. "V ideálním případě by společnosti měly mít certifikovaného forenzního specialistu na zadržovatele, který může shromažďovat důkazy a v případě potřeby svědčit jako znalec, " řekl Vansickel.
  1. Vysvětlete a prosazujte bezpečnostní postupy. Nikdy si nemůžete být jisti, že zaměstnanci rozumějí nejlepším bezpečnostním postupům a chování, které mohou ohrozit vaši firmu. Je jen na vás, abyste se ujistili, že všichni ve společnosti, od nižších zaměstnanců po IT specialisty až po správu, jsou poučeni o bezpečnostních postupech a postupech dodržování PCI.