PCI samræmi
Hvað er PCI samræmi?
Fylgni greiðslukortaiðnaðar (PCI) er falið af kreditkortafyrirtækjum til að tryggja öryggi kreditkortaviðskipta í greiðslugeiranum. Samræmi við greiðslukortaiðnaðinn vísar til tæknilegra og rekstrarlegra staðla sem fyrirtæki fylgja til að tryggja og vernda kreditkortagögn sem korthafar veita og sendar með kortavinnslu. PCI staðlar fyrir samræmi eru þróaðir og stjórnað af PCI öryggisstaðlaráði.
Skilningur á PCI samræmi
Federal Trade Commission (FTC) ber ábyrgð á eftirliti með kreditkortavinnslu þar sem það fellur undir þörfina fyrir neytendavernd og eftirlit. Þó að það sé ekki endilega reglugerðarheimild fyrir PCI-fylgni er litið á það sem lögboðið í gegnum fordæmi dómstóla.
Almennt séð er PCI samræmi kjarnaþáttur í öryggisreglum hvers kreditkortafyrirtækis. Það er almennt umboðið af kreditkortafyrirtækjum og fjallað um það í samningum um kreditkortakerfi.
PCI staðlaráð ber ábyrgð á þróun staðla fyrir PCI samræmi. Þessir staðlar eiga við um vinnslu söluaðila og hafa einnig verið stækkaðir til að gera grein fyrir kröfum um dulkóðuð netviðskipti. Aðrir lykilaðilar sem einnig tengjast staðlastillingu í kreditkortaiðnaðinum eru The Card Association Network og National Automated Clearing House (NACHA).
Kröfur um PCI samræmi
PCI fylgnistaðlar krefjast þess að kaupmenn og önnur fyrirtæki meðhöndli kreditkortaupplýsingar á öruggan hátt sem hjálpar til við að draga úr líkum á því að korthafar fái stolið viðkvæmum fjárhagsreikningsupplýsingum. Ef kaupmenn meðhöndla ekki kreditkortaupplýsingar í samræmi við PCI staðla gætu kortaupplýsingarnar verið tölvusnápur og notaðar til margvíslegra svikaaðgerða. Að auki gætu viðkvæmar upplýsingar um korthafa verið notaðar við auðkenningarsvik.
Að vera í samræmi við PCI þýðir að fylgja stöðugt leiðbeiningum sem settar eru fram af PCI Standards Council. PCI samræmi er stjórnað af PCI Standards Council, stofnun sem stofnuð var árið 2006 í þeim tilgangi að stýra öryggi kreditkorta.
Kröfurnar sem ráðið hefur þróað eru þekktar sem Payment Card Industry Data Security Standards (PCI DSS). PCI DSS hefur 12 lykilkröfur, 78 grunnkröfur og yfir 400 prófunaraðferðir. Leiðbeiningarnar eru einnig taldar sem bestu starfsvenjur í öryggismálum. 12 helstu kröfur þess innihalda eftirfarandi:
Settu upp eldveggi til að vernda gögn
Viðeigandi lykilorðavernd
Verndaðu gögn korthafa
Dulkóðun sendra korthafagagna
Notaðu vírusvarnarforrit
Uppfæra hugbúnað og viðhalda öryggiskerfum
Takmarka aðgang að gögnum korthafa
Einstök auðkenni úthlutað þeim sem hafa aðgang að gögnum
Takmarka líkamlegan aðgang að gögnum
Búðu til og fylgdu aðgangsskrám
Prófaðu öryggiskerfi reglulega
Búðu til stefnu sem er skjalfest og hægt er að fylgja eftir
Nýjasta útgáfan af PCI DSS var gefin út í maí 2018 og er vísað til sem útgáfa 3.2.1. Á heildina litið lýsa markmiðin sex og 12 kröfurnar röð skrefa sem kreditkortavinnsluaðilar verða stöðugt að fylgja. Fyrirtæki eru fyrst beðin um að leggja mat á netkerfi sín og kerfi, sem fela í sér innviði upplýsingatækni, viðskiptaferla og greiðslukortameðferð.
Kostir PCI samræmis
Stöðugt viðhald og mat á eyðum í öryggi er einnig mjög mikilvægt til að forðast þjófnað á viðkvæmum korthafaupplýsingum, svo sem almannatryggingum og ökuskírteinisnúmerum, þegar það er hægt.
Fyrirtækjum er skylt að leggja fram reglubundnar skýrslur sem hluti af kortavinnslusamningum sínum. Vöktun, mat og úttektir á gagnaöryggisstöðlum greiðslukortaiðnaðarins eru allt mikilvægur hluti af öryggisdeild fyrirtækis.
Öll fyrirtæki sem vinna úr kreditkortaupplýsingum þurfa að viðhalda PCI samræmi eins og kveðið er á um í kortavinnslusamningum þeirra. PCI samræmi er iðnaðarstaðallinn og viðskipti án þess geta leitt til verulegra sekta fyrir samningsbrot og vanrækslu. Án PCI samræmis eru fyrirtæki einnig mjög viðkvæm fyrir þjófnaði, svikum og gagnabrotum.
95%
Hlutfall netöryggisbrota sem orsakast af mannlegum mistökum.
Ávinningurinn af regluvörslu felur í sér minni hættu á gagnabrotum, verndun korthafagagna og forðast þannig líkur á persónuþjófnaði. Það er góð venja fyrir fyrirtæki að fara eftir reglum þar sem það lækkar allar sektir sem tengjast gagnabrotum, hjálpar vörumerki fyrirtækisins , heldur viðskiptavinum ánægðum og öruggum um að þeir séu í viðskiptum við ábyrgt fyrirtæki, sem leiðir til vörumerkjahollustu.
Á fyrri hluta ársins 2020 voru 36 milljarðar gagna afhjúpaðir vegna gagnabrota. Áttatíu og sex prósent brota voru af fjárhagslegum hvötum og þar sem gert er ráð fyrir að alþjóðlegur upplýsingaöryggismarkaður muni ná 170 milljörðum dala árið 2020 er fjárhagsáhættan enn meiri. Að vernda gögn korthafa er ekki bara gott fyrir fyrirtæki heldur er það líka rétta hluturinn til að tryggja að fólk verði ekki fyrir neikvæðum skaða eða verði fyrir fjárhagslegu tjóni.
PCI samræmi og gagnabrot
PCI samræmi hjálpar til við að forðast sviksamlega starfsemi og dregur úr gagnabrotum. Verizon veitir árlega úttekt á greiðsluöryggi í „Reigin Payment Security Report“. Skýrslan 2019 helgar heilum hluta PCI DSS, sem kallast „Ástand PCI DSS samræmis, 2019: Og 12 lykilkröfur. Sumir PCI DSS hápunktar úr „Verizon 2019 Payment Security Report“ innihalda eftirfarandi:
36,7% stofnana voru virkir að viðhalda PCI DSS forritum árið 2018.
Asíu-Kyrrahafssvæðið stóð sig betur en Ameríku, Evrópu, Miðausturlönd og Afríku.
Frá sjónarhóli iðnaðarins er gestrisni nokkuð á eftir öðrum geirum.
Algengar spurningar um PCI samræmi
Hvað þýðir PCI samhæft?
PCI samhæft þýðir að sérhvert fyrirtæki eða stofnun sem tekur við, sendir eða geymir einkagögn korthafa er í samræmi við hinar ýmsu öryggisráðstafanir sem PCI Security Standard Council útskýrir til að tryggja að gögnunum sé haldið öruggum og persónulegum.
Er PCI-fylgni krafist samkvæmt lögum?
Það er ekki reglugerðarumboð sem krefst PCI samræmis, en það er litið á það sem lögboðið í gegnum fordæmi dómstóla.
Hvernig fæ ég PCI samhæft?
Til að verða PCI samhæfður verður þú fyrst að ákveða hvaða sjálfsmatsspurningalista þú þarft að fylgja til að verða samhæfður. Þegar þú hefur lokið við spurningalistann þarftu að fylla út og hafa sönnunargögn um að varnarleysisskönnun hafi liðið hjá PCI SSC samþykktum skönnunarsöluaðila. Skönnun á aðeins við um suma kaupmenn. Þú þarft þá að ljúka við staðfestingu á samræmi. Síðasta skrefið verður að leggja fram allar ofangreindar upplýsingar.
Hver verður að vera PCI samhæfður?
Sérhvert fyrirtæki eða stofnun sem tekur við, sendir eða geymir einkagögn korthafa.
Aðalatriðið
PCI samræmi vísar til tæknilegra og rekstrarlegra staðla sem settir eru fram af PCI öryggisstaðlaráði sem stofnanir þurfa að innleiða og viðhalda. Markmið þess að vera PCI samhæft er að vernda gögn korthafa og á við um allar stofnanir sem taka við, senda eða geyma þessi gögn. Að vera PCI samhæft er góð viðskiptavenja að því leyti að það setur öryggi neytendagagna í fyrsta sæti og gagnast einnig fyrirtæki með jákvæðu orðspori vörumerkis.
Hápunktar
Fyrirtæki sem fylgja og ná greiðslukortaiðnaðargagnaöryggisstöðlum (PCI DSS) teljast vera PCI samhæft.
Að vera PCI samhæft dregur úr gagnabrotum, verndar gögn korthafa, forðast sektir og bætir orðspor vörumerkis.
PCI DSS hefur 12 lykilkröfur, 78 grunnkröfur og 400 prófunaraðferðir til að tryggja að stofnanir séu PCI samhæfðar.
PCI öryggisstaðlaráðið ber ábyrgð á þróun PCI DSS.
PCI fylgni er ekki krafist samkvæmt lögum en er talið skylt í gegnum dómafordæmi.