Zašto Je Za Mala I Srednja Poduzeća Potrebna Sukladnost PCI-ja

Nedavna kršenja velikih trgovaca stavila su u središte pozornosti propise o industriji platnih kartica (PCI). Međutim, ne moraju se samo velike tvrtke pridržavati ovih propisa. Pravila se primjenjuju na svako poduzeće koje se za transakcije oslanja na kreditne i debitne kartice. Čak i ako vaše poduzeće zapošljava četiri osobe i provodi jednu transakciju s kreditnim karticama mjesečno, to mora biti kompatibilno s PCI-jem.

To je lakše reći nego učiniti. Izvještaj o sigurnosti plaćanja Verizon 2018. utvrdio je da se većina tvrtki bori da ispune standard sigurnosti podataka o platnim karticama (PCI DSS), skup propisa stvorenih za zaštitu podataka o kreditnim i debitnim karticama, u skladu sa samo 52%, u odnosu na 55% u 2017. godini.

"To nije dobar trend", rekla je Ciske Van Oosten, viša menadžerica globalne inteligencije u Verizonu, u intervjuu za eWeek. "Znamo da su organizacije koje ne održavaju PCI-DSS sukladnost, one koje se krše."

Što je industrija platnih kartica?

"Industrija platnih kartica" izraz je sve vrste za industrije koje koriste ili koriste kreditne i debitne kartice. To uključuje sustave na prodajnom mjestu koje koriste trgovina i maloprodajna industrija, bankomati i institucije koje izdaju bilo koju vrstu kreditne, debitne ili pripejd kartice za monetarne transakcije.

Godine 2006. glavne kompanije za izdavanje kreditnih kartica - Visa, Mastercard, American Express i Discover, kao i Japan Credit Bureau - zajedno su stvorili Vijeće za sigurnost industrije platnih kartica (PCI SSC) kao način rješavanja i upravljanja potrebom za poboljšanu sigurnost u cijeloj industriji. To je dovelo do standarda sigurnosti podataka platne kartice.

Napomena urednika: Razmatrate li uslugu obrade kreditnih kartica za vaše poslovanje? Ako tražite informacije koje će vam pomoći u odabiru odgovarajućeg za vas, koristite donji upitnik da biste besplatno dobili informacije od raznih dobavljača

widget za kupca

Svaka tvrtka koja prihvaća kreditne i debitne kartice mora slijediti PCI DSS, bez obzira na količinu transakcija ili veličinu poslovanja (iako PCI SSC ovdje pruža pomoć malim poduzećima). Međutim, postoje četiri razine sukladnosti na temelju volumena Visa transakcija u razdoblju od 12 mjeseci. Ove razine određuju mjere koje organizacija mora poduzeti kako bi bila sukladna; što je više transakcija, to je potrebno više akcija. Prema PCIComplianceGuide.org, to su četiri razine i njihovi zahtjevi:

• Razina 1: Svaki trgovac - bez obzira na kanal prihvaćanja - obrađuje više od 6 milijuna Visa transakcija godišnje. Svaki trgovac koji Visa, prema vlastitom nahođenju, utvrdi treba ispuniti zahtjeve trgovca razine 1 kako bi umanjio rizik za Visa sustav.
• Razina 2: Svaki trgovac - bez obzira na kanal prihvaćanja - obrađuje milijun do 6 milijuna Visa transakcija godišnje.
• Razina 3: Svaki trgovac koji obrađuje 20.000 do milion transakcija e-trgovine Visa godišnje.
• Razina 4: Svaki trgovac koji obrađuje manje od 20 000 transakcija e-trgovine Visa godišnje, a svi ostali trgovci - bez obzira na kanal prihvaćanja - obrađuju do milijun Visa transakcija godišnje.

12 zahtjeva za PCI DSS

PCI SCC nudi popis 12 zahtjeva za ispunjavanje PCI DSS:

1. Instalirajte i održavajte konfiguraciju vatrozida za zaštitu podataka vlasnika kartice.
2. Ne koristite zadane postavke dobavljača za lozinke sustava i druge sigurnosne parametre.
3. Zaštitite pohranjene podatke vlasnika kartice.
4. Šifrirajte prijenos podataka vlasnika kartice putem otvorenih javnih mreža.
5. Koristite i redovito ažurirajte antivirusni softver ili programe.
6. Razviti i održavati sigurne sustave i aplikacije.
7. Ograničite pristup podacima vlasnika kartice poslovnim potrebama.
8. Dodijelite jedinstveni ID svakoj osobi koja ima pristup računalu.
9. Ograniči fizički pristup podacima vlasnika kartice.
10. Pratite i pratite sav pristup mrežnim resursima i podacima vlasnika kartice.
11. Redovito testirajte sigurnosne sustave i procese.
12. Pridržavajte se pravila koja se odnosi na informacijsku sigurnost zaposlenika i izvođača.

Zašto su PCI sukladnosti bitne

Potrošači brinu o sigurnosti više nego ikad prije. Pošto krše podaci o velikom profilu, mnogi od njih dolaze putem ukradenih kreditnih i debitnih kartica u maloprodajnoj i uslužnoj industriji, potrošači žele znati da posluju sigurno i da od svojih tvrtki za izdavanje kreditnih kartica neće čuti o upitnim troškovima. Potrošači će se udaljiti od poduzeća koja su pretrpjela kršenje podataka, a jedno kršenje moglo bi biti toliko skupo da bi na kraju moglo zauvijek prestati s radom male kompanije. Sukladnost s PCI-jem ne garantira kršenje podataka, ali dodaje zaštitne mjere za poboljšanje sigurnosti.

Ako se utvrdi da neko poslovanje ne ispunjava uvjete, novčane kazne mogu koštati od 5.000 do 100.000 USD mjesečno. Ako je nepoštivanje u tijeku, trgovcu bi se moglo oduzeti usluge obrade plaćanja. [Tražite uslugu obrade kreditne kartice? Pogledajte naše recenzije i najbolje ponude.]

Kako ostati PCI kompatibilan

Usklađenost s PCI-jem ne može se pregovarati ako prihvaćate kreditne i debitne kartice, no priprema za PCI reviziju i osiguravanje da vaša tvrtka ispunjava standarde sukladnosti može biti zastrašujuća. Jeff Vansickel, stariji savjetnik u konzultantskoj tvrtki SystemExperts za IT usklađivanje, dao je nekoliko savjeta kako se pripremiti za PCI procjenu i održavati svoje standarde na sigurnim razinama u svakom trenutku:

Prepoznajte sve podatke o tvrtki i klijentima, uključujući sve podatke vlasnika kartice, njihovu osjetljivost i kritičnost. Ispravno definiranje opsega procjene vjerojatno je najteži i najvažniji dio bilo kojeg programa sukladnosti PCI-ja, rekao je Vansickel. Previše uzak opseg može ugroziti podatke vlasnika kartica, dok pretjerano širok opseg može dodati goleme i nepotrebne troškove i napore programu za usklađivanje sa PCI

Razumijejte granice podatkovnog okruženja vlasnika kartice i sve podatke koji se slijevaju u nju i iz njega. Svaki sustav koji se povezuje s podatkovnim okruženjem vlasnika kartice je unutar okvira usklađenosti i, prema tome, mora zadovoljiti PCI zahtjeve. Podatkovno okruženje vlasnika kartice uključuje sve procese, tehnologiju i ljude koji pohranjuju, obrađuju ili prenose podatke vlasnika kartice korisnika ili podatke za provjeru autentičnosti, kao i sve povezane komponente sustava i sve komponente za virtualizaciju, poput poslužitelja

Uspostavite operativne kontrole kako biste zaštitili povjerljivost i integritet svih podataka vlasnika kartice. Podaci vlasnika kartice trebaju biti zaštićeni gdje god se uvoze, obrađuju, pohranjuju i prenose. Također se mora pravilno odlagati na kraju svog životnog vijeka. "Rezervne kopije također moraju čuvati povjerljivost i cjelovitost podataka o vlasnicima kartica", rekao je Vansickel. "Pored toga, svi se mediji moraju pravilno zbrinuti kako bi se osigurala trajna povjerljivost podataka. Obavezno uključite ne samo tvrde diskove koje koriste računalni sustavi u vlasništvu tvrtke, već i unajmljene sustave i spremište sadržano u modernim kopirnim strojevima i pisačima. "

Imati plan za reagiranje na incident. Kad se dogodi sigurnosni incident, važno je imati plan kako se vratiti što sigurnijim operacijama što je brže moguće. Ovaj bi plan trebao definirati uloge, odgovornosti, potrebe komunikacije i strategije kontakta u slučaju kompromisa, uključujući obavijest o robnim markama, pravnim savjetima i odnosima s javnošću. To će osigurati pravovremeno i učinkovito postupanje sa svim kompromitiranim situacijama. "U idealnom slučaju, tvrtke bi trebale imati certificiranog stručnjaka za forenziku koji može prikupiti dokaze i po potrebi svjedočiti kao stručni svjedok", rekao je Vansickel

Objasnite i provodite sigurnosne postupke. Nikada ne možete biti sigurni da zaposlenici razumiju najbolje sigurnosne prakse i ponašanja koja mogu dovesti vašu tvrtku u rizik. Na vama je da se uvjerite da su svi u tvrtki, od zaposlenika niže razine do IT stručnjaka do rukovodstva, educirani o sigurnosnim procedurama i PCI procedurama poštivanja