Co to jest zgodność z PCI?

Zgodność z branży kart płatniczych (PCI) opiera się na zestawie 12 standardów technicznych i operacyjnych opracowanych przez PCI Security Standards Council (SSC), niezależnego organu utworzonego w 2006 roku przez American Express, Discover, JCB International, MasterCard i Visa. Normy te dotyczą każdej firmy, która akceptuje, przesyła lub przechowuje dane karty kredytowej. Zostały stworzone w celu zapewnienia bezpiecznego środowiska, które chroni informacje o klientach i biznesowych przed problemami, jak naruszenie danych.

Aby lepiej zrozumieć zgodność z PCI, ważne jest, aby wiedzieć, co się z tym wiąże, wymagania i jak to wszystko działa.

Definicja zgodności PCI i wymagania

Zgodność z PCI jest przestrzeganiem zestawu standardów bezpieczeństwa karty kredytowej i ochrony ustalonej przez PCI SSC. Standardy te zostały utworzone w celu zapewnienia bezpiecznego środowiska dla każdej firmy, która przetwarza dane posiadacza karty.

Podczas gdy PCI SSC opracował standardy, marki płatności i kupcy są odpowiedzialne za egzekwowanie zgodności.

Każda marka karty kredytowej może mieć własne specyficzne wymagania PCI, których firmy muszą przestrzegać. Właściciele firm powinni sprawdzić z każdą marką płatności, aby upewnić się, że spełniają wszystkie niezbędne wymagania.

• Alternatywna nazwa: Standard bezpieczeństwa danych w branży płatności
• Akronim: PCI, PCI DSS

Standardy zgodności PCI

Istnieje 12 standardów tworzonych przez PCI DS, które obejmują zarówno komponenty systemu technicznego, jak i operacyjnego:

• Utrzymaj zaporę ogniową w celu ochrony danych posiadacza karty
• Używaj haseł bezpieczeństwa wysokiego poziomu zamiast domyślnych haseł systemowych
• Chroń dane o posiadaczy kart za pomocą odpowiednich protokołów bezpieczeństwa
• Zaszyfrować transmisję danych posiadacza karty
• Chroń wszystkie systemy przed złośliwym oprogramowaniem i regularnie aktualizuj programy antywirusowe
• Opracuj i utrzymuj bezpieczne systemy i aplikacje
• Ogranicz dostęp do informacji o posiadaczy kart
• Zidentyfikuj i uwierzytelnij dostęp do wszystkich komponentów systemu
• Ogranicz fizyczny dostęp do informacji o posiadaczy kart
• Śledź i monitoruj cały dostęp do danych sieciowych i posiadaczy kart
• Często testuj systemy i procesy bezpieczeństwa
• Utrzymuj politykę bezpieczeństwa informacji dla wszystkich personelu

Aby chronić poufne informacje o posiadaczy kart, obowiązkiem każdej firmy, która przetwarza, przesyła i przechowuje dane z kart klientów, aby zapewnić spełnienie standardów PCI. Te standardy mogą pomóc sprzedawcom ochronić się przed hakerami i złodziei informacyjnych.

Nie spełnianie tych wymagań może sprawić, że firma jest bardziej podatna na szkody finansowe i może spowodować kosztowne opłaty niezgodnościowe oceniane przez marki kart kredytowych.

Jak działa zgodność z PCI?

Każdy emitent karty ma własne wytyczne dotyczące zgodności z PCI, więc właściciele firm dobrym pomysłem jest sprawdzenie z każdym emitentem, aby upewnić się, że spełniają odpowiednie kwalifikacje. Aby zostać uznanym za zgodnym z PCI, firmy muszą przejść trzyetapowy proces obejmujący zasięg, ocenę i raportowanie.

Scoping

Podczas zakresu właściciele firm muszą zidentyfikować wszystkie systemy, które w przypadku naruszenia mogą wpłynąć na dane posiadacza karty. Zakłada jest ogólnie rocznym procesem, który obejmuje ocenę wszystkich systemów i sposobów interakcji z firmą posiadacza karty z firmą. Ten proces pomoże określić rodzaj potrzebnej oceny, a także wielkość i koszt.

Ocena

Część oceny zgodności z PCI składa się z kwestionariusza samooceny lub audytu na miejscu przeprowadzonym przez wykwalifikowanego asesora bezpieczeństwa. Która ocena będzie potrzebować firmy, zależy od poziomów handlowych firmy kredytowej. Na przykład firmy, które przetwarzają pod określoną liczbą transakcji karty emitenta każdego roku, mogą wymagać jedynie kwestionariusza samooceny.

Właściciele firm mogą określić poziom sprzedawcy za pośrednictwem wyznaczonej strony internetowej każdej firmy kredytowej, takiej jak Visa, MasterCard i American Express.

Raportowanie

Gdy właściciele firm zakończą samoocenę, będą musieli zgłosić ją firmie z karty kredytowej. Firmy, które kwalifikują się do oceny osobistej, muszą bezpośrednio przedłożyć raport na temat zgodności emitenta karty płatniczej. Oceny zgodności z PCI są wymagane tylko co roku, ale właściciele firm mogą potrzebować kwartalnych skanów podatności na zagrożenia przeprowadzone przez zatwierdzonego sprzedawcę skanowania. Niezależnie od tego, co dokonana jest ocena, zgłaszanie wyników audytu emitentom karty płatniczej jest ostatnim krokiem dla zgodności z PCI.

Kluczowe wyniki

• PCI Zgodność to zestaw standardów branży kart kredytowych, które firmy akceptujące, przesyłające i przechowywanie danych posiadaczy karty muszą przestrzegać.
• Istnieje 12 standardów technicznych i operacyjnych, które należy przestrzegać, aby spełnić zgodność z PCI.
• Istnieje trzyetapowy proces, aby stać się zgodny z PCI: zasięg, ocena i raportowanie.
• Proces oceny obejmuje przeprowadzenie kwestionariusza samooceny lub uzyskanie audytu na miejscu.