Защо PCI съответствието е необходимо за SMBs

2023 Автор: Susan Creighton | [email protected]. Последно модифициран: 2023-11-26 12:32

Последните нарушения срещу големите търговци на дребно поставиха в центъра на вниманието наредбите за индустрията на разплащателни карти (PCI). Не само големите компании трябва да спазват тези разпоредби. Правилата важат за всеки бизнес, който разчита на кредитни и дебитни карти за транзакции. Дори ако във вашия бизнес работят четирима души и извършва една транзакция с кредитна карта месечно, тя трябва да е съвместима с PCI.

Това е по-лесно да се каже, отколкото да се направи. Докладът за сигурност на плащанията Verizon 2018 установи, че повечето компании се борят да спазват стандарта за защита на данните за индустрията на платежните карти (PCI DSS), набора от регулации, създадени за запазване на данните за кредитни и дебитни карти, със сигурност само 52%, спрямо 55% през 2017г.

„Това не е добра тенденция“, заяви в интервю за eWeek Сиске Ван Оостен, старши мениджър на глобалното разузнаване в Verizon. „Знаем, че организациите, които не поддържат PCI-DSS съответствие, са тези, които се нарушават.“

Какво представлява индустрията за разплащателни карти?

„Индустрия на разплащателни карти“е терминът за улов на всички индустрии, които разгръщат или използват кредитни и дебитни карти. Това включва системи за продажба на търговски обекти и дребно, банкомати и институции, които издават всякакъв вид кредитна, дебитна или предплатена карта за парични транзакции.

През 2006 г. големите компании за кредитни карти - Visa, Mastercard, American Express и Discover, както и Японското кредитно бюро - се обединиха, за да създадат Съвета за стандарти за сигурност на индустрията на плащания (PCI SSC) като начин за справяне и управление на нуждата за подобрена сигурност в цялата индустрия. Това доведе до стандарта за сигурност на данните в индустрията за плащания.

Бележка на редактора: Имате предвид услугата за обработка на кредитна карта за вашия бизнес? Ако търсите информация, която да ви помогне да изберете най-подходящата за вас, използвайте въпросника по-долу, за да получите безплатно информация от различни доставчици

купувачка джаджа

Всяка компания, която приема кредитни и дебитни карти, е длъжна да следва PCI DSS, независимо от обема на транзакциите или размера на бизнеса (въпреки че PCI SSC предоставя помощ за малкия бизнес тук). Съществуват обаче четири нива на съответствие въз основа на обемите на транзакции Visa за период от 12 месеца. Тези нива определят действията, които организацията трябва да предприеме, за да бъдат съобразени; колкото повече транзакции, толкова повече действия са необходими. Според PCIComplianceGuide.org, това са четирите нива и техните изисквания:

• Ниво 1: Всеки търговец - независимо от канала за приемане - обработва над 6 милиона транзакции с Visa годишно. Всеки търговец, който Visa, по свое усмотрение, определи, трябва да отговаря на изискванията на търговците от ниво 1, за да сведе до минимум риска за системата Visa.
• Ниво 2: Всеки търговец - независимо от канала за приемане - обработва 1 милион до 6 милиона Visa транзакции годишно.
• Ниво 3: Всеки търговец, обработващ 20 000 до 1 милион транзакции за електронна търговия Visa годишно.
• Ниво 4: Всеки търговец, обработващ по-малко от 20 000 транзакции за електронна търговия Visa годишно, а всички останали търговци - независимо от канала за приемане - обработват до 1 милион транзакции с Visa годишно.

12 изисквания за PCI DSS

PCI SCC предоставя списък от 12 изисквания, за да отговаря на PCI DSS:

1. Инсталирайте и поддържайте конфигурация на защитната стена, за да защитите данните на картодържателя.
2. Не използвайте доставчиците на доставчик по подразбиране за системни пароли и други параметри за защита.
3. Защитете запаметените данни на притежателя на картата.
4. Криптиране на предаване на данни на притежателя на картата в отворени, обществени мрежи.
5. Използвайте и редовно актуализирайте антивирусен софтуер или програми.
6. Разработване и поддържане на сигурни системи и приложения.
7. Ограничете достъпа до данните на притежателя на картата чрез бизнес необходимост да знаете.
8. Задайте уникален идентификационен номер на всеки човек с достъп до компютър.
9. Ограничете физическия достъп до данните на притежателя на картата.
10. Проследявайте и следете целия достъп до мрежовите ресурси и данните на картодържателя.
11. Редовно тествайте системи и процеси за сигурност.
12. Поддържайте политика, която се отнася до сигурността на информацията за служителите и изпълнителите.

Защо има значение спазването на PCI

Повече от всякога потребителите се грижат за сигурността. С нарушенията на високопрофилните данни, много от които идват чрез откраднати кредитни и дебитни карти в търговията на дребно и услуги, потребителите искат да знаят, че правят бизнес безопасно и няма да чуят от компаниите си за кредитни карти за съмнителни такси. Потребителите ще се отдалечат от предприятията, които са претърпели нарушения на данните, а едно нарушение може да бъде толкова скъпо, че да завърши завинаги малките компании. Съответствието с PCI не гарантира нарушаване на данните няма да се случи, но добавя предпазни мерки за подобряване на сигурността.

Ако се установи, че даден бизнес не отговаря на изискванията, той може да струва от 5000 до 100 000 долара глоби на месец. Ако несъответствието продължава, търговецът може да бъде лишен от услуги за обработка на плащания. [Търсите услуга за обработка на кредитна карта? Вижте нашите отзиви и най-добрите снимки.]

Как да останем PCI съвместими

Съответствието с PCI не е по договаряне, ако приемате кредитни и дебитни карти, но подготовката за PCI одит и гарантирането, че вашата компания отговаря на стандартите за съответствие може да бъде обезсърчаваща. Jeff Vansickel, старши консултант в консултантската фирма за съответствие с информационни технологии SystemExperts, даде няколко съвета, за да се подготвите за PCI оценка и да поддържате стандартите си на сигурни нива по всяко време:

Идентифицирайте всички бизнес данни и клиентски данни, включително всички данни за притежателя на картата, нейната чувствителност и критичност. Правилното дефиниране на обхвата на оценката е вероятно най-трудната и важна част от всяка програма за съответствие на PCI, каза Vansickel. Прекалено тесният обхват може да застраши данните за притежателите на карти, докато прекалено широкият обхват може да добави огромни и ненужни разходи и усилия към програмата за съответствие на PCI

Разберете границите на средата за данни на картодържателя и всички данни, които се вливат в и извън нея. Всяка система, която се свързва с средата на данни на картодържателя, е в обхвата на съответствие и следователно трябва да отговаря на изискванията на PCI. Средата с данни на притежателя на картата включва всички процеси, технологии и хора, които съхраняват, обработват или предават данни на притежателя на картата на клиента или данни за удостоверяване, както и всички свързани системни компоненти и всички компоненти за виртуализация, като сървъри

Създайте оперативни контроли за защита на поверителността и целостта на всички данни на притежателя на картата. Данните на картодържателя трябва да бъдат защитени, където и да се внасят, обработват, съхраняват и предават. Той също трябва да бъде изхвърлен правилно в края на продължителността на живота си. „Архивирането трябва също да запази поверителността и целостта на данните на притежателя на картата“, каза Vansickel. "Освен това, всички носители трябва да бъдат правилно изхвърлени, за да се гарантира постоянната конфиденциалност на данните. Не забравяйте да включите не само твърдите дискове, използвани от компютърните системи, които са собственост на компанията, но и лизингованите системи и съхранението, включено в съвременните копирни машини и принтери."

Създайте план за реагиране на инцидент. Когато се случи инцидент със сигурност, важно е да имате план за връщане към сигурни операции възможно най-бързо. Този план трябва да дефинира ролите, отговорностите, изискванията за комуникация и стратегиите за контакт в случай на компромис, включително уведомяване за марките за плащане, правен съвет и връзки с обществеността. Това ще осигури навременно и ефективно справяне с всички компрометирани ситуации. "В идеалния случай компаниите трябва да разполагат със сертифициран специалист по криминалистика по фиксатора, който може да събере доказателства и да даде показания като експертен свидетел, ако е необходимо", каза Vansickel