Overholdelse af betalingskortindustrien (PCI) er baseret på et sæt af 12 tekniske og operationelle standarder udviklet af PCI Security Standards Council (SSC), et uafhængigt organ dannet i 2006 af American Express, Discover, JCB International, Mastercard og Visum. Disse standarder gælder for enhver virksomhed, der accepterer, transmitterer eller opbevarer kreditkortdata. De blev skabt for at sikre et sikkert miljø, der beskytter kunde- og virksomhedsoplysninger mod problemer såsom databrud.
For bedre at forstå PCI-overholdelse er det vigtigt at vide, hvad det indebærer, kravene, og hvordan det hele fungerer.
PCI Compliance Definition og Krav
PCI-overholdelse er overholdelse af et sæt standarder for kreditkortsikkerhed og -beskyttelse fastsat af PCI SSC. Disse standarder blev skabt for at sikre et sikkert miljø for enhver virksomhed, der behandler kortholderdata.
Mens PCI SSC udviklede standarderne, er betalingsmærkerne og forhandlerne ansvarlige for at håndhæve overholdelse.
Hvert kreditkortmærke kan have sine egne specifikke PCI-krav, som virksomheder skal følge. Virksomhedsejere bør tjekke med hvert betalingsmærke for at sikre, at de opfylder alle de nødvendige krav.
- Alternativ navn: Betalingskortindustriens datasikkerhedsstandard
- Akronym: PCI, PCI DSS
PCI-overholdelsesstandarder
Der er 12 standarder skabt af PCI DSS, der dækker både tekniske og operationelle systemkomponenter:
- Vedligehold en firewall for at beskytte kortholderens data
- Brug sikkerhedsadgangskoder på højt niveau i stedet for standardsystemadgangskoder
- Beskyt lagrede kortholderdata gennem korrekte sikkerhedsprotokoller
- Krypter overførslen af kortholderdata
- Beskyt alle systemer mod malware og opdater regelmæssigt antivirusprogrammer
- Udvikle og vedligeholde sikre systemer og applikationer
- Begræns adgangen til kortholderoplysninger
- Identificer og autentificer adgang til alle systemkomponenter
- Begræns fysisk adgang til kortholderoplysninger
- Spor og overvåg al adgang til netværks- og kortholderdata
- Test ofte sikkerhedssystemer og -processer
- Oprethold en informationssikkerhedspolitik for alt personale
For at beskytte følsomme kortholderoplysninger er det hver virksomheds ansvar, der behandler, transmitterer og opbevarer kundekortdata for at sikre, at PCI-standarderne overholdes. Disse standarder kan hjælpe handlende med at beskytte sig mod hackere og informationstyve.
Hvis du ikke opfylder disse krav, kan det efterlade en virksomhed mere sårbar over for økonomisk skade og kan resultere i dyre manglende overholdelsesgebyrer vurderet af kreditkortmærker.
Hvordan virker PCI Compliance?
Hver kortudsteder har sine egne retningslinjer for PCI-overholdelse, så det er en god idé for virksomhedsejere at tjekke med hver enkelt udsteder for at sikre, at de opfylder de rette kvalifikationer. For at blive betragtet som PCI-kompatibel skal virksomheder gennemgå en tre-trins proces, der inkluderer scoping, vurdering og rapportering.
Omfang
I scoping skal virksomhedsejere identificere alle systemer, der, hvis de kompromitteres, kan påvirke kortholders data. Scoping er generelt en årlig proces, der involverer evaluering af alle systemer og måder, hvorpå kortholderdata interagerer med en virksomhed. Denne proces vil hjælpe med at bestemme, hvilken type vurdering der er nødvendig samt omfanget og omkostningerne.
Vurderer
Vurderingsdelen af PCI-overholdelse består af enten et selvevalueringsspørgeskema eller en audit på stedet udført af en kvalificeret sikkerhedsevaluator. Hvilken vurdering en virksomhed skal bruge, bestemmes af kreditkortselskabets købmandsniveau. For eksempel kan virksomheder, der behandler under en udsteders specificerede antal korttransaktioner hvert år, kun have brug for et selvevalueringsspørgeskema.
Virksomhedsejere kan bestemme deres købmandsniveau gennem hvert kreditkortselskabs udpegede websted, såsom disse for Visum, Mastercard, og American Express.
Indberetning
Når virksomhedsejere har gennemført selvevalueringen, skal de indberette det til kreditkortselskabet. Virksomheder, der kvalificerer sig til en personlig vurdering, skal indsende en rapport om overholdelse direkte til betalingskortudstederen. PCI-overensstemmelsesvurderinger er kun påkrævet årligt, men virksomhedsejere kan have brug for kvartalsvise sårbarhedsscanninger udført af en godkendt scanningsleverandør. Uanset hvilken vurdering der foretages, er rapportering af revisionsresultaterne til betalingskortudstedere det sidste trin for PCI-overholdelse.
Nøgle takeaways
- PCI-overholdelse er kreditkortindustriens sæt af standarder, som virksomheder, der accepterer, transmitterer og opbevarer kortholderdata, skal følge.
- Der er 12 tekniske og operationelle standarder, virksomheder skal overholde for at opfylde PCI-overholdelse.
- Der er en tre-trins proces for at blive PCI-kompatibel: omfang, vurdering og rapportering.
- Vurderingsprocessen involverer enten at tage et selvevalueringsspørgeskema eller få en audit på stedet.