Соответствие PCI
Что такое соответствие PCI?
Соответствие индустрии платежных карт (PCI) требуется компаниями-эмитентами кредитных карт для обеспечения безопасности транзакций по кредитным картам в индустрии платежей. Соответствие индустрии платежных карт относится к техническим и операционным стандартам, которым следуют предприятия для обеспечения безопасности и защиты данных кредитных карт, предоставляемых держателями карт и передаваемых посредством транзакций по обработке карт. Стандарты соответствия PCI разрабатываются и управляются Советом по стандартам безопасности PCI.
Понимание соответствия PCI
Федеральная торговая комиссия (FTC) несет ответственность за надзор за обработкой кредитных карт, поскольку она подпадает под необходимость защиты прав потребителей и надзора. Хотя не обязательно существует нормативный мандат на соответствие PCI, он считается обязательным в судебном прецеденте.
В общем, соответствие PCI является основным компонентом протокола безопасности любой компании, выпускающей кредитные карты. Обычно это предписано компаниями, выпускающими кредитные карты, и обсуждается в сетевых соглашениях о кредитных картах.
Совет по стандартам PCI отвечает за разработку стандартов соответствия PCI. Эти стандарты применяются для процессинга продавцов, а также были расширены для определения требований к зашифрованным интернет-транзакциям. Другие ключевые организации, которые также связаны с установлением стандартов в индустрии кредитных карт, включают Сеть карточных ассоциаций и Национальную автоматизированную клиринговую палату (NACHA).
Требования для соответствия PCI
Стандарты соответствия PCI требуют от продавцов и других предприятий безопасного обращения с информацией о кредитных картах, что помогает снизить вероятность кражи конфиденциальной информации о финансовых счетах держателей карт. Если продавцы не обрабатывают информацию о кредитной карте в соответствии со стандартами PCI, информация о карте может быть взломана и использована для множества мошеннических действий. Кроме того, конфиденциальная информация о держателе карты может быть использована для мошенничества с идентификацией.
Быть совместимым с PCI означает последовательно придерживаться набора рекомендаций, установленных Советом по стандартам PCI. Соответствие PCI регулируется Советом по стандартам PCI, организацией, созданной в 2006 году для управления безопасностью кредитных карт.
Требования, разработанные Советом, известны как Стандарты безопасности данных индустрии платежных карт (PCI DSS). PCI DSS содержит 12 ключевых требований, 78 базовых требований и более 400 тестовых процедур. Руководящие принципы также считаются передовыми методами обеспечения безопасности. Его 12 основных требований включают следующее:
Внедрите брандмауэры для защиты данных
Надлежащая защита паролем
Защитите данные держателей карт
Шифрование передаваемых данных о держателях карт
Используйте антивирусное программное обеспечение
Обновляйте программное обеспечение и обслуживайте системы безопасности
Ограничить доступ к данным держателя карты
Уникальные идентификаторы, присвоенные тем, у кого есть доступ к данным
Ограничить физический доступ к данным
Создание и мониторинг журналов доступа
Регулярно тестируйте системы безопасности
Создайте документированную политику, которой можно следовать.
Самая последняя версия PCI DSS была выпущена в мае 2018 года и называется версией 3.2.1. В целом, шесть целей и 12 требований определяют ряд шагов, которым должны постоянно следовать обработчики кредитных карт. Компании сначала просят оценить свои сети и системы, которые включают инфраструктуру информационных технологий, бизнес-процессы и процедуры обработки кредитных карт.
Преимущества соответствия PCI
Постоянное обслуживание и оценка любых пробелов в безопасности также очень важны для предотвращения кражи конфиденциальной информации о держателях карт, такой как номера социального страхования и водительских прав, когда это возможно.
Компании обязаны регулярно предоставлять отчеты о соблюдении требований в рамках своих соглашений об обработке карт. Мониторинг, оценка и аудит стандартов безопасности данных индустрии платежных карт — все это важная часть работы отдела безопасности компании.
Все компании, обрабатывающие информацию о кредитных картах, обязаны поддерживать соответствие PCI в соответствии с их соглашениями об обработке карт. Соответствие PCI является отраслевым стандартом, и бизнес без него может привести к значительным штрафам за нарушение соглашения и небрежность. Без соблюдения PCI компании также очень уязвимы для кражи, мошенничества и утечки данных.
95%
Процент нарушений кибербезопасности,. вызванных человеческим фактором.
Преимущества соответствия включают снижение риска утечки данных, защиту данных держателей карт, что позволяет избежать возможности кражи личных данных. Соблюдение нормативных требований является хорошей практикой для компаний, поскольку это снижает любые штрафы, связанные с утечкой данных, способствует укреплению репутации бренда компании,. делает клиентов счастливыми и уверенными в том, что они имеют дело с ответственной компанией, что приводит к лояльности к бренду.
В первой половине 2020 года в результате утечки данных было раскрыто 36 миллиардов записей. Восемьдесят шесть процентов утечек были финансово мотивированы, а учитывая, что мировой рынок информационной безопасности, как ожидается, достигнет 170 миллиардов долларов в 2020 году, финансовый риск еще выше. Защита данных держателей карт полезна не только для бизнеса, но и является правильным решением, гарантируя, что люди не пострадают и не понесут финансовых потерь.
Соответствие требованиям PCI и утечка данных
Соответствие требованиям PCI помогает избежать мошеннических действий и сводит к минимуму утечку данных. Verizon предоставляет ежегодную оценку безопасности платежей в своем «Отчете о безопасности платежей Verizon». В отчете за 2019 г. PCI DSS посвящен целый раздел под названием «Соответствие требованиям PCI DSS, 2019 г.: и 12 ключевых требований». Некоторые основные моменты PCI DSS из «Отчета Verizon о безопасности платежей за 2019 год» включают следующее:
36,7% организаций активно поддерживали программы PCI DSS в 2018 году.
Азиатско-Тихоокеанский регион опередил Америку, Европу, Ближний Восток и Африку.
С отраслевой точки зрения гостиничный бизнес несколько отстает от других секторов.
Часто задаваемые вопросы о соответствии PCI
Что означает совместимость с PCI?
Соответствие PCI означает, что любая компания или организация, которая принимает, передает или хранит личные данные держателей карт, соблюдает различные меры безопасности, изложенные Советом по стандарту безопасности PCI, чтобы гарантировать безопасность и конфиденциальность данных.
Требуется ли соответствие требованиям PCI по закону?
Не существует нормативного мандата, требующего соблюдения PCI, но он считается обязательным в судебном прецеденте.
Как добиться совместимости с PCI?
Чтобы стать совместимым с PCI, вы должны сначала определить, какую анкету самооценки вам нужно пройти, чтобы стать совместимым. После того, как вы заполните анкету, вам необходимо заполнить и сохранить доказательства прохождения сканирования уязвимостей у поставщика сканирования, утвержденного PCI SSC. Сканирование распространяется только на некоторых продавцов. Затем вам нужно будет пройти Аттестацию соответствия. Последним шагом будет предоставление всей вышеуказанной информации.
Кто должен соответствовать стандарту PCI?
Любая компания или организация, которая принимает, передает или хранит личные данные держателей карт.
Нижняя линия
Соответствие PCI относится к техническим и операционным стандартам, установленным Советом по стандартам безопасности PCI, которые организации должны внедрять и поддерживать. Соответствие стандарту PCI направлено на защиту данных держателей карт и распространяется на любую организацию, которая принимает, передает или хранит эти данные. Соответствие PCI — это хорошая деловая практика, поскольку она ставит безопасность данных потребителей на первое место, а также приносит пользу организации за счет положительной репутации бренда.
Особенности
Компании, которые следуют Стандартам безопасности данных индустрии платежных карт (PCI DSS) и достигают их, считаются соответствующими стандарту PCI.
Соответствие стандарту PCI сокращает утечки данных, защищает данные держателей карт, позволяет избежать штрафов и улучшает репутацию бренда.
PCI DSS содержит 12 ключевых требований, 78 базовых требований и 400 тестовых процедур для обеспечения соответствия организаций требованиям PCI.
Совет по стандартам безопасности PCI отвечает за разработку PCI DSS.
Соблюдение PCI не требуется по закону, но считается обязательным в соответствии с судебным прецедентом.