Investor's wiki
no Norsk
Navigation
Home Glossary
InvestingStocksBondsCryptoPersonal FinanceFundamental AnalysisTechnical AnalysisTradingBankingTaxes
Disclaimer Terms of Use Privacy Policy Cookie Policy
Navigation
Home Glossary
InvestingStocksBondsCryptoPersonal FinanceFundamental AnalysisTechnical AnalysisTradingBankingTaxes
Disclaimer Terms of Use Privacy Policy Cookie Policy

PCI-samsvar

PCI-samsvar
Personal FinanceCredit CardCredit Cards

Hva er PCI-samsvar?

(PCI) er pålagt av kredittkortselskaper for å bidra til å sikre sikkerheten for kredittkorttransaksjoner i betalingsbransjen. Overholdelse av betalingskortindustrien refererer til de tekniske og operasjonelle standardene som bedrifter følger for å sikre og beskytte kredittkortdata levert av kortholdere og overført gjennom kortbehandlingstransaksjoner. PCI-standarder for samsvar er utviklet og administrert av PCI Security Standards Council.

Forstå PCI-samsvar

Federal Trade Commission (FTC) har ansvaret for tilsynet med kredittkortbehandling da det faller inn under behovet for forbrukerbeskyttelse og tilsyn . Selv om det ikke nødvendigvis er et regulatorisk mandat for PCI-overholdelse, anses det som obligatorisk gjennom domstolspredens.

Generelt er PCI-samsvar en kjernekomponent i ethvert kredittkortselskaps sikkerhetsprotokoll. Det er generelt pålagt av kredittkortselskaper og diskutert i kredittkortnettverksavtaler.

PCI Standards Council er ansvarlig for utviklingen av standardene for PCI-samsvar. Disse standardene gjelder for forhandlerbehandling og har også blitt utvidet til å skissere krav til krypterte Internett-transaksjoner. Andre nøkkelenheter som også er knyttet til standardsetting i kredittkortindustrien inkluderer The Card Association Network og National Automated Clearing House (NACHA).

Krav for PCI-samsvar

PCI-samsvarsstandarder krever at selgere og andre virksomheter håndterer kredittkortinformasjon på en sikker måte som bidrar til å redusere sannsynligheten for at kortholdere får stjålet sensitiv finansiell kontoinformasjon. Hvis selgere ikke håndterer kredittkortinformasjon i henhold til PCI-standarder, kan kortinformasjonen bli hacket og brukt til en mengde uredelige handlinger. I tillegg kan sensitiv informasjon om kortinnehaveren brukes i identitetssvindel.

Å være PCI-kompatibel betyr konsekvent å følge et sett med retningslinjer fastsatt av PCI Standards Council. PCI-samsvar styres av PCI Standards Council, en organisasjon som ble dannet i 2006 med det formål å administrere sikkerheten til kredittkort.

Kravene utviklet av rådet er kjent som Payment Card Industry Data Security Standards (PCI DSS). PCI DSS har 12 nøkkelkrav, 78 grunnkrav og over 400 testprosedyrer. Retningslinjene anses også som beste praksis for sikkerhet. De 12 hovedkravene inkluderer følgende:

  1. Implementer brannmurer for å beskytte data

  2. Passende passordbeskyttelse

  3. Beskytt kortholderdata

  4. Kryptering av overførte kortholderdata

  5. Bruk antivirusprogramvare

  6. Oppdater programvare og vedlikehold sikkerhetssystemer

  7. Begrens tilgang til kortholderdata

  8. Unike IDer tildelt de med tilgang til data

  9. Begrens fysisk tilgang til data

  10. Opprett og overvåk tilgangslogger

  11. Test sikkerhetssystemer med jevne mellomrom

  12. Lag en policy som er dokumentert og som kan følges

Den siste versjonen av PCI DSS ble utgitt i mai 2018 og omtales som versjon 3.2.1. Samlet sett skisserer de seks målene og 12 kravene en rekke trinn som kredittkortbehandlere kontinuerlig må følge. Bedrifter blir først bedt om å vurdere nettverkene og systemene deres, som involverer informasjonsteknologiinfrastruktur, forretningsprosesser og prosedyrer for håndtering av kredittkort.

Fordeler med PCI-samsvar

Konstant vedlikehold og vurdering av eventuelle hull i sikkerheten er også svært viktig for å unngå tyveri av sensitiv kortholderinformasjon, som person- og førerkortnummer, når det er mulig.

Selskaper er pålagt å levere samsvarsrapporter med jevne mellomrom som en del av kortbehandlingsavtalene. Overvåking, vurderinger og revisjoner av betalingskortindustriens datasikkerhetsstandarder er alle en viktig del av et selskaps sikkerhetsavdeling.

Alle selskaper som behandler kredittkortinformasjon er pålagt å opprettholde PCI-overholdelse som anvist av deres kortbehandlingsavtaler. PCI-samsvar er bransjestandarden og virksomhet uten det kan resultere i betydelige bøter for avtalebrudd og uaktsomhet. Uten PCI-overholdelse er selskaper også svært sårbare for tyveri, svindel og datainnbrudd.

95 %

Prosentandelen av cybersikkerhetsbrudd som er forårsaket av menneskelige feil.

Fordelene med overholdelse inkluderer redusert risiko for datainnbrudd, sikring av kortholderdata, og unngår dermed sjanser for identitetstyveri. Det er god praksis for selskaper å være kompatible ettersom det reduserer eventuelle bøter knyttet til datainnbrudd, hjelper et selskaps merkevareomdømme , holder kundene glade og trygge på at de gjør forretninger med et ansvarlig selskap, noe som fører til merkelojalitet.

I første halvdel av 2020 var det 36 milliarder poster avslørt gjennom datainnbrudd. Åttiseks prosent av bruddene var økonomisk motivert, og med det globale informasjonssikkerhetsmarkedet som forventes å nå 170 milliarder dollar i 2020, er den økonomiske risikoen enda høyere. Beskyttelse av kortholderdata er ikke bare bra for virksomheten, men er også den rette tingen å gjøre, og sikrer at folk ikke blir negativt skadet eller lider økonomisk tap.

PCI-samsvar og databrudd

PCI-samsvar bidrar til å unngå uredelig aktivitet og reduserer datainnbrudd. Verizon gir en årlig vurdering av betalingssikkerhet i sin "Verizon Payment Security Report". 2019-rapporten vier en hel del til PCI DSS, kalt "Staten for PCI DSS-samsvar, 2019: Og 12 nøkkelkrav." Noen PCI DSS-høydepunkter fra "Verizon 2019 Payment Security Report" inkluderer følgende:

  • 36,7 % av organisasjonene opprettholdt aktivt PCI DSS-programmer i 2018.

  • Asia-Stillehavsregionen klarte seg bedre enn Amerika, Europa, Midtøsten og Afrika.

– Fra et bransjeperspektiv henger gjestfriheten noe etter andre sektorer.

Vanlige spørsmål om PCI-samsvar

Hva betyr PCI-kompatibel?

PCI-kompatibel betyr at enhver bedrift eller organisasjon som aksepterer, overfører eller lagrer de private dataene til kortholdere, er i samsvar med de ulike sikkerhetstiltakene som er skissert av PCI Security Standard Council for å sikre at dataene holdes trygge og private.

Er PCI-samsvar lovpålagt?

Det er ikke et regulatorisk mandat som krever PCI-overholdelse, men det anses som obligatorisk gjennom domstolspredens.

Hvordan blir jeg PCI-kompatibel?

For å bli PCI-kompatibel, må du først finne ut hvilket selvevalueringsskjema du må følge for å bli kompatibel. Når du har fullført spørreskjemaet, må du fylle ut og holde bevis på en bestått sårbarhetsskanning med en PCI SSC-godkjent skanningsleverandør. Skanning gjelder kun for noen selgere. Du må da fullføre attesten for samsvar. Det siste trinnet vil være å sende inn all informasjonen ovenfor.

Hvem må være PCI-kompatibel?

Ethvert selskap eller organisasjon som aksepterer, overfører eller lagrer de private dataene til kortholdere.

Bunnlinjen

PCI-samsvar refererer til de tekniske og operasjonelle standardene fastsatt av PCI Security Standards Council som organisasjoner må implementere og vedlikeholde. Målet med å være PCI-kompatibel er å beskytte kortholderdata og gjelder for enhver organisasjon som aksepterer, overfører eller lagrer disse dataene. Å være PCI-kompatibel er en god forretningspraksis ved at det setter sikkerheten til forbrukerdata først og også fordeler en organisasjon gjennom et positivt merkeomdømme.

##Høydepunkter

  • Selskaper som følger og oppnår Payment Card Industry Data Security Standards (PCI DSS) anses å være PCI-kompatible.

– Å være PCI-kompatibel reduserer datainnbrudd, beskytter dataene til kortholdere, unngår bøter og forbedrer merkevarens omdømme.

  • PCI DSS har 12 nøkkelkrav, 78 grunnkrav og 400 testprosedyrer for å sikre at organisasjoner er PCI-kompatible.

– PCI Security Standards Council er ansvarlig for å utvikle PCI DSS.

  • PCI-samsvar er ikke påkrevd ved lov, men anses som obligatorisk gjennom domstolspredens.