Investor's wiki

PCI-overholdelse

PCI-overholdelse

Hvad er PCI-overholdelse?

Overholdelse af betalingskortindustrien (PCI) er påbudt af kreditkortselskaber for at hjælpe med at sikre sikkerheden ved kreditkorttransaktioner i betalingsindustrien. Overholdelse af betalingskortindustrien henviser til de tekniske og operationelle standarder, som virksomheder følger for at sikre og beskytte kreditkortdata leveret af kortholdere og transmitteret gennem kortbehandlingstransaktioner. PCI-standarder for overholdelse er udviklet og administreret af PCI Security Standards Council.

Forstå PCI-overholdelse

( FTC) har ansvaret for tilsynet med kreditkortbehandling, da det falder ind under behovet for forbrugerbeskyttelse og tilsyn. Selvom der ikke nødvendigvis er et lovmæssigt mandat til PCI-overholdelse, betragtes det som obligatorisk gennem retspræcedens.

Generelt er PCI-overholdelse en kernekomponent i ethvert kreditkortselskabs sikkerhedsprotokol. Det er generelt påbudt af kreditkortselskaber og diskuteret i kreditkortnetværksaftaler.

PCI Standards Council er ansvarlig for udviklingen af standarderne for PCI-overholdelse. Disse standarder gælder for købmandsbehandling og er også blevet udvidet til at skitsere krav til krypterede internettransaktioner. Andre nøgleenheder, der også er forbundet med standardindstilling i kreditkortindustrien, omfatter The Card Association Network og National Automated Clearing House (NACHA).

Krav til PCI-overholdelse

PCI-overholdelsesstandarder kræver, at handlende og andre virksomheder håndterer kreditkortoplysninger på en sikker måde, der hjælper med at reducere sandsynligheden for, at kortholdere vil få stjålet følsomme finansielle kontooplysninger. Hvis handlende ikke håndterer kreditkortoplysninger i henhold til PCI-standarder, kan kortoplysningerne blive hacket og brugt til en lang række svigagtige handlinger. Derudover kan følsomme oplysninger om kortholderen blive brugt til identitetssvindel.

At være PCI-kompatibel betyder, at man konsekvent overholder et sæt retningslinjer fastsat af PCI Standards Council. PCI-overholdelse er styret af PCI Standards Council, en organisation, der blev dannet i 2006 med det formål at administrere sikkerheden på kreditkort.

Kravene udviklet af Rådet er kendt som Payment Card Industry Data Security Standards (PCI DSS). PCI DSS har 12 nøglekrav, 78 basiskrav og over 400 testprocedurer. Retningslinjerne betragtes også som bedste praksis for sikkerhed. Dens 12 hovedkrav omfatter følgende:

  1. Implementer firewalls for at beskytte data

  2. Passende adgangskodebeskyttelse

  3. Beskyt kortholders data

  4. Kryptering af overførte kortholderdata

  5. Brug antivirussoftware

  6. Opdater software og vedligehold sikkerhedssystemer

  7. Begræns adgangen til kortholders data

  8. Unikke ID'er tildelt dem med adgang til data

  9. Begræns fysisk adgang til data

  10. Opret og overvåg adgangslogfiler

  11. Test sikkerhedssystemer på regelmæssig basis

  12. Lav en politik, der er dokumenteret, og som kan følges

Den seneste version af PCI DSS blev udgivet i maj 2018 og omtales som version 3.2.1. Overordnet set skitserer de seks mål og 12 krav en række trin, som kreditkortbehandlere konstant skal følge. Virksomheder bliver først bedt om at vurdere deres netværk og systemer, som involverer informationsteknologisk infrastruktur, forretningsprocesser og kreditkorthåndteringsprocedurer.

Fordele ved PCI-overholdelse

Konstant vedligeholdelse og vurdering af eventuelle huller i sikkerheden er også meget vigtigt for at undgå tyveri af følsomme kortholderoplysninger, såsom socialsikrings- og kørekortnumre, når det er muligt.

Virksomheder er forpligtet til at levere overholdelsesrapporter på regelmæssig basis som en del af deres kortbehandlingsaftaler. Overvågning, vurderinger og revisioner af betalingskortindustriens datasikkerhedsstandarder er alle en vigtig del af en virksomheds sikkerhedsafdeling.

Alle virksomheder, der behandler kreditkortoplysninger, er forpligtet til at opretholde PCI-overholdelse som anvist af deres kortbehandlingsaftaler. PCI-overholdelse er industristandarden, og forretning uden det kan resultere i betydelige bøder for overtrædelse af aftalen og uagtsomhed. Uden PCI-overholdelse er virksomheder også meget sårbare over for tyveri, svindel og databrud.

95 %

Procentdelen af cybersikkerhedsbrud,. der er forårsaget af menneskelige fejl.

Fordelene ved overholdelse omfatter den reducerede risiko for databrud, sikring af kortholders data og dermed undgår chancer for identitetstyveri. Det er god praksis for virksomheder at overholde reglerne, da det reducerer eventuelle bøder relateret til databrud, hjælper en virksomheds brandomdømme,. holder kunderne glade og sikre på, at de handler med en ansvarlig virksomhed, hvilket fører til brandloyalitet.

I første halvdel af 2020 var der 36 milliarder registreringer afsløret gennem databrud. 86 procent af brudene var økonomisk motiverede, og med det globale informationssikkerhedsmarked, der forventes at nå op på 170 milliarder dollars i 2020, er den finansielle risiko endnu højere. Beskyttelse af kortholders data er ikke kun godt for virksomheden, men er også den rigtige ting at gøre, og sikrer, at folk ikke kommer til skade eller lider økonomisk tab.

PCI-overholdelse og databrud

PCI-overholdelse hjælper med at undgå svigagtig aktivitet og mindsker databrud. Verizon giver en årlig vurdering af betalingssikkerhed i sin "Verizon Payment Security Report". 2019-rapporten afsætter et helt afsnit til PCI DSS, kaldet "Staten for PCI DSS-overholdelse, 2019: Og 12 nøglekrav." Nogle PCI DSS-højdepunkter fra "Verizon 2019 Payment Security Report" inkluderer følgende:

  • 36,7 % af organisationerne vedligeholdt aktivt PCI DSS-programmer i 2018.

  • Asien-Stillehavsregionen klarede sig bedre end Amerika, Europa, Mellemøsten og Afrika.

  • Fra et brancheperspektiv halter gæstfriheden noget efter andre sektorer.

Ofte stillede spørgsmål om PCI-overholdelse

Hvad betyder PCI-kompatibel?

PCI-kompatibel betyder, at enhver virksomhed eller organisation, der accepterer, transmitterer eller opbevarer kortindehavernes private data, er i overensstemmelse med de forskellige sikkerhedsforanstaltninger, der er skitseret af PCI Security Standard Council for at sikre, at dataene holdes sikre og private.

Er PCI-overholdelse påkrævet ved lov?

Der er ikke et lovgivningsmandat, der kræver PCI-overholdelse, men det betragtes som obligatorisk gennem retspræcedens.

Hvordan bliver jeg PCI-kompatibel?

For at blive PCI-kompatibel skal du først bestemme, hvilket selvevalueringsspørgeskema du skal følge for at blive kompatibel. Når du har afsluttet spørgeskemaet, skal du udfylde og have bevis for en bestået sårbarhedsscanning med en PCI SSC-godkendt scanningsleverandør. Scanning gælder kun for nogle forhandlere. Du skal derefter udfylde attesten for overholdelse. Det sidste trin vil være at indsende alle ovenstående oplysninger.

Hvem skal være PCI-kompatibel?

Enhver virksomhed eller organisation, der accepterer, transmitterer eller opbevarer kortindehavernes private data.

Bundlinjen

PCI-overholdelse refererer til de tekniske og operationelle standarder fastsat af PCI Security Standards Council, som organisationer skal implementere og vedligeholde. Målet med at være PCI-kompatibel er at beskytte kortholders data og gælder for enhver organisation, der accepterer, transmitterer eller gemmer disse data. At være PCI-kompatibel er en god forretningspraksis, idet det sætter sikkerheden for forbrugerdata først og også gavner en organisation gennem et positivt brandomdømme.

Højdepunkter

  • Virksomheder, der følger og opnår betalingskortindustriens datasikkerhedsstandarder (PCI DSS), anses for at være PCI-kompatible.

  • At være PCI-kompatibel reducerer databrud, beskytter kortholdernes data, undgår bøder og forbedrer brandets omdømme.

  • PCI DSS har 12 nøglekrav, 78 basiskrav og 400 testprocedurer for at sikre, at organisationer er PCI-kompatible.

  • PCI Security Standards Council er ansvarlig for at udvikle PCI DSS.

  • PCI-overholdelse er ikke påkrævet ved lov, men anses for obligatorisk gennem retspræcedens.