Investor's wiki

PCI-yhteensopivuus

PCI-yhteensopivuus

Mikä on PCI-yhteensopivuus?

Maksukorttialan (PCI) vaatimustenmukaisuus on luottokorttiyhtiöiden valtuuttama auttaakseen varmistamaan luottokorttitapahtumien turvallisuuden maksualalla. Maksukorttialan vaatimustenmukaisuus tarkoittaa teknisiä ja toiminnallisia standardeja, joita yritykset noudattavat suojatakseen ja suojellakseen kortinhaltijoiden toimittamia ja kortinkäsittelytapahtumien kautta siirrettyjä luottokorttitietoja. PCI-standardien noudattamista valvoo ja hallinnoi PCI Security Standards Council.

PCI-yhteensopivuuden ymmärtäminen

Federal Trade Commission (FTC) on vastuussa luottokorttien käsittelyn valvonnasta, koska se kuuluu kuluttajansuojan ja valvonnan tarpeisiin. Vaikka PCI-vaatimusten noudattamiselle ei välttämättä ole säädösmääräystä, sen katsotaan olevan pakollista tuomioistuimen ennakkotapauksen perusteella.

Yleensä PCI-yhteensopivuus on minkä tahansa luottokorttiyhtiön suojausprotokollan ydinkomponentti. Se on yleensä luottokorttiyhtiöiden määräämä ja siitä keskustellaan luottokorttiverkkosopimuksissa.

PCI-standardineuvosto vastaa PCI-yhteensopivuuden standardien kehittämisestä. Nämä standardit koskevat kauppiaiden käsittelyä, ja niitä on myös laajennettu määrittelemään salattujen Internet-tapahtumien vaatimukset. Muita avainyksiköitä, jotka liittyvät myös luottokorttialan standardien asettamiseen, ovat The Card Association Network ja National Automated Clearing House (NACHA).

PCI-yhteensopivuuden vaatimukset

PCI-yhteensopivuusstandardit edellyttävät, että kauppiaat ja muut yritykset käsittelevät luottokorttitietoja turvallisesti, mikä auttaa vähentämään todennäköisyyttä, että kortinhaltijoilta varastetaan arkaluontoisia taloustilitietoja. Jos kauppiaat eivät käsittele luottokorttitietoja PCI-standardien mukaisesti, korttitiedot voidaan hakkeroida ja niitä voidaan käyttää moniin vilpillisiin toimiin. Lisäksi kortinhaltijaa koskevia arkaluontoisia tietoja voidaan käyttää henkilöllisyyspetoksissa.

PCI-yhteensopivuus tarkoittaa johdonmukaista PCI-standardineuvoston antamien ohjeiden noudattamista. PCI-yhteensopivuutta valvoo PCI Standards Council, vuonna 2006 perustettu organisaatio, jonka tehtävänä on hallita luottokorttien turvallisuutta.

Neuvoston kehittämät vaatimukset tunnetaan nimellä Payment Card Industry Data Security Standards (PCI DSS). PCI DSS:llä on 12 keskeistä vaatimusta, 78 perusvaatimusta ja yli 400 testimenettelyä. Ohjeita pidetään myös turvallisuuden parhaina käytäntöinä. Sen 12 päävaatimusta sisältävät seuraavat:

  1. Ota palomuurit käyttöön tietojen suojaamiseksi

  2. Asianmukainen salasanasuojaus

  3. Suojaa kortinhaltijan tiedot

  4. Siirrettyjen kortinhaltijatietojen salaus

  5. Käytä virustorjuntaohjelmistoa

  6. Päivitä ohjelmisto ja ylläpidä turvajärjestelmiä

  7. Rajoita pääsyä kortinhaltijan tietoihin

  8. Yksilölliset tunnukset niille, joilla on pääsy tietoihin

  9. Rajoita fyysistä pääsyä tietoihin

  10. Luo ja valvo pääsylokeja

  11. Testaa turvajärjestelmiä säännöllisesti

  12. Luo käytäntö, joka on dokumentoitu ja jota voidaan noudattaa

PCI DSS:n uusin versio julkaistiin toukokuussa 2018, ja sitä kutsutaan versioksi 3.2.1. Kaiken kaikkiaan kuusi tavoitetta ja 12 vaatimusta hahmottelevat sarjan vaiheita, joita luottokorttien käsittelijöiden on jatkuvasti noudatettava. Yrityksiä pyydetään ensin arvioimaan verkkojaan ja järjestelmiään, joihin liittyy tietotekniikan infrastruktuuri, liiketoimintaprosessit ja luottokorttien käsittelytavat.

PCI-yhteensopivuuden edut

sosiaaliturva- ja ajokorttinumeroiden, varkauksien välttämiseksi aina kun mahdollista.

Yritysten on toimitettava vaatimustenmukaisuusraportit säännöllisesti osana korttien käsittelysopimuksia. Maksukorttialan tietoturvastandardien seuranta, arvioinnit ja auditoinnit ovat kaikki tärkeä osa yrityksen turvallisuusosastoa.

Kaikkien luottokorttitietoja käsittelevien yritysten on ylläpidettävä PCI-yhteensopivuutta korttien käsittelysopimusten mukaisesti. PCI-yhteensopivuus on alan standardi ja liiketoiminta ilman sitä voi johtaa merkittäviin sakkoihin sopimusrikkomuksista ja huolimattomuudesta. Ilman PCI-yhteensopivuutta yritykset ovat myös erittäin alttiita varkauksille, petoksille ja tietomurroille.

95 %

Inhimillisen erehdyksen aiheuttamien kyberturvaloukkausten prosenttiosuus .

Vaatimustenmukaisuuden etuja ovat muun muassa tietomurtojen riskin väheneminen, kortinhaltijan tietojen suojaaminen, jolloin vältytään identiteettivarkauksilta. Yritysten on hyvä käytäntö noudattaa vaatimuksia, koska se vähentää tietomurron aiheuttamia sakkoja, parantaa yrityksen brändin mainetta,. pitää asiakkaat tyytyväisinä ja luottavaisina siitä, että he tekevät liiketoimintaa vastuullisen yrityksen kanssa, mikä johtaa brändiuskoisuuteen.

Vuoden 2020 ensimmäisellä puoliskolla tietomurtojen kautta paljastettiin 36 miljardia tietuetta. 86 prosenttia tietoturvaloukkauksista oli taloudellisia, ja koska maailmanlaajuisten tietoturvamarkkinoiden odotetaan nousevan 170 miljardiin dollariin vuonna 2020, taloudellinen riski on vielä suurempi. Kortinhaltijoiden tietojen suojaaminen ei ole vain hyväksi yrityksille, vaan se on myös oikea tapa varmistaa, ettei ihmisille aiheudu kielteistä vahinkoa tai taloudellisia menetyksiä.

PCI-yhteensopivuus ja tietoturvaloukkaukset

PCI-yhteensopivuus auttaa välttämään vilpillistä toimintaa ja vähentämään tietomurtoja. Verizon tarjoaa vuosittain arvion maksun turvallisuudesta Verizon Payment Security Report -raportissaan. Vuoden 2019 raportissa on kokonainen osio PCI DSS:lle, nimeltään "PCI DSS -yhteensopivuuden tila, 2019: Ja 12 avainvaatimusta". Jotkut PCI DSS -kohokohdat "Verizon 2019 Payment Security Report" -raportista sisältävät seuraavat:

  • 36,7 % organisaatioista ylläpiti aktiivisesti PCI DSS -ohjelmia vuonna 2018.

  • Aasian ja Tyynenmeren alue menestyi Amerikan, Euroopan, Lähi-idän ja Afrikan paremmin.

  • Teollisuuden näkökulmasta vieraanvaraisuus on jonkin verran muita sektoreita jäljessä.

PCI-yhteensopivuuden UKK

Mitä PCI-yhteensopiva tarkoittaa?

PCI-yhteensopiva tarkoittaa, että mikä tahansa yritys tai organisaatio, joka hyväksyy, lähettää tai tallentaa kortinhaltijoiden yksityisiä tietoja, noudattaa PCI Security Standard Councilin määrittelemiä erilaisia turvatoimia varmistaakseen, että tiedot pysyvät turvassa ja yksityisinä.

Vaatiiko laki PCI-yhteensopivuuden?

PCI-vaatimusten noudattamista edellyttävää sääntelyä ei ole olemassa, mutta sitä pidetään pakollisena tuomioistuimen ennakkotapauksen perusteella.

Miten saan PCI-yhteensopivan?

Jotta voit tulla PCI-yhteensopivaksi, sinun on ensin määritettävä, mitä itsearviointilomaketta sinun on noudatettava tullaksesi yhteensopivaksi. Kun olet täyttänyt kyselylomakkeen, sinun on täytettävä ja säilytettävä todisteet läpäisevästä haavoittuvuudesta PCI SSC:n hyväksymän tarkistustoimittajan kanssa. Skannaus koskee vain joitain kauppiaita. Tämän jälkeen sinun on täytettävä vaatimustenmukaisuustodistus. Viimeinen vaihe on kaikkien yllä olevien tietojen toimittaminen.

Kenen tulee olla PCI-yhteensopiva?

Mikä tahansa yritys tai organisaatio, joka hyväksyy, välittää tai tallentaa kortinhaltijoiden yksityisiä tietoja.

Bottom Line

PCI-yhteensopivuus viittaa PCI Security Standards Councilin asettamiin teknisiin ja toiminnallisiin standardeihin, jotka organisaatioiden on otettava käyttöön ja ylläpidettävä. PCI-yhteensopivuuden tavoitteena on suojata kortinhaltijoiden tietoja, ja se koskee kaikkia organisaatioita, jotka hyväksyvät, lähettävät tai tallentavat kyseiset tiedot. PCI-yhteensopivuus on hyvä liiketapa, koska se asettaa kuluttajatietojen turvallisuuden etusijalle ja hyödyttää myös organisaatiota positiivisen brändin maineen kautta.

##Kohokohdat

  • Yritykset, jotka noudattavat ja saavuttavat maksukorttialan tietoturvastandardeja (PCI DSS), katsotaan PCI-yhteensopiviksi.

  • PCI-yhteensopivuus vähentää tietomurtoja, suojaa kortinhaltijoiden tietoja, välttää sakkoja ja parantaa brändin mainetta.

  • PCI DSS:ssä on 12 keskeistä vaatimusta, 78 perusvaatimusta ja 400 testimenettelyä varmistaakseen, että organisaatiot ovat PCI-yhteensopivia.

  • PCI Security Standards Council vastaa PCI DSS:n kehittämisestä.

  • PCI-vaatimusten noudattaminen ei ole lakisääteistä, mutta sitä pidetään pakollisena tuomioistuimen ennakkoratkaisun perusteella.