Mokėjimo kortelių pramonės (PCI) atitiktis pagrįsta 12 techninių ir veiklos standartų rinkiniu, kurį sukūrė PCI Security Standartų taryba (SSC), nepriklausoma institucija, kurią 2006 m. sudarė American Express, Discover, JCB International, Mastercard ir viza. Šie standartai taikomi bet kuriai įmonei, kuri priima, perduoda arba saugo kredito kortelių duomenis. Jie buvo sukurti siekiant užtikrinti saugią aplinką, apsaugančią klientų ir verslo informaciją nuo tokių problemų kaip duomenų pažeidimai.
Norint geriau suprasti PCI atitiktį, svarbu žinoti, ką tai reiškia, kokius reikalavimus ir kaip visa tai veikia.
PCI atitikties apibrėžimas ir reikalavimai
PCI atitiktis – tai PCI SSC nustatytų kredito kortelių saugumo ir apsaugos standartų laikymasis. Šie standartai buvo sukurti siekiant užtikrinti saugią aplinką bet kokiai kortelių turėtojo duomenis apdorojančiam verslui.
Nors PCI SSC sukūrė standartus, mokėjimo prekių ženklai ir prekybininkai yra atsakingi už jų laikymąsi.
Kiekvienas kredito kortelės prekės ženklas gali turėti savo specifinius PCI reikalavimus, kurių turi laikytis įmonės. Įmonių savininkai turėtų patikrinti kiekvieną mokėjimo prekės ženklą, kad įsitikintų, jog jie atitinka visus būtinus reikalavimus.
- Alternatyvus vardas: Mokėjimo kortelių pramonės duomenų apsaugos standartas
- Akronimas: PCI, PCI DSS
PCI atitikties standartai
Yra 12 PCI DSS sukurtų standartų, apimančių tiek techninius, tiek operacinius sistemos komponentus:
- Palaikykite ugniasienę, kad apsaugotumėte kortelės savininko duomenis
- Vietoj numatytųjų sistemos slaptažodžių naudokite aukšto lygio saugos slaptažodžius
- Apsaugokite saugomus kortelės savininko duomenis naudodami tinkamus saugos protokolus
- Užšifruoti kortelės turėtojo duomenų perdavimą
- Apsaugokite visas sistemas nuo kenkėjiškų programų ir reguliariai atnaujinkite antivirusines programas
- Kurti ir prižiūrėti saugias sistemas ir programas
- Apriboti prieigą prie kortelės savininko informacijos
- Nustatykite ir patvirtinkite prieigą prie visų sistemos komponentų
- Apriboti fizinę prieigą prie kortelės savininko informacijos
- Stebėkite ir stebėkite visą prieigą prie tinklo ir kortelės savininko duomenų
- Dažnai testuokite apsaugos sistemas ir procesus
- Laikytis informacijos saugumo politikos visiems darbuotojams
Siekiant apsaugoti neskelbtiną kortelės turėtojo informaciją, kiekvienos įmonės, kuri apdoroja, perduoda ir saugo kliento kortelių duomenis, pareiga yra užtikrinti, kad būtų laikomasi PCI standartų. Šie standartai gali padėti prekybininkams apsisaugoti nuo įsilaužėlių ir informacijos vagių.
Jei nesilaikysite šių reikalavimų, įmonė gali būti labiau pažeidžiama dėl finansinės žalos ir gali būti taikomi brangūs mokesčiai už reikalavimų nesilaikymą, kuriuos įvertins kredito kortelių prekės ženklai.
Kaip veikia PCI atitiktis?
Kiekvienas kortelės išdavėjas turi savo PCI atitikties gaires, todėl verslo savininkams verta pasiteirauti su kiekvienu išdavėju, kad įsitikintų, jog jie atitinka reikiamas kvalifikacijas. Kad įmonės būtų laikomos atitinkančiomis PCI, jos turi atlikti trijų etapų procesą, apimantį apimties nustatymą, įvertinimą ir ataskaitų teikimą.
Taikymo sritis
Siekdami nustatyti apimtį, verslo savininkai turi nustatyti visas sistemas, kurios, jei būtų pažeistos, galėtų paveikti kortelės turėtojo duomenis. Apimties nustatymas paprastai yra kasmetinis procesas, kurio metu įvertinamos visos sistemos ir būdai, kaip kortelės turėtojo duomenys sąveikauja su įmone. Šis procesas padės nustatyti reikalingo įvertinimo tipą, mastą ir kainą.
Vertinant
PCI atitikties vertinimo dalis susideda iš savęs vertinimo klausimyno arba audito vietoje, kurį atlieka kvalifikuotas saugumo vertintojas. Kokio įvertinimo reikės verslui, lemia kredito kortelių įmonės prekybininkų lygiai. Pavyzdžiui, įmonėms, kurios kiekvienais metais apdoroja išdavėjo nurodytą kortelių operacijų skaičių, gali prireikti tik savęs vertinimo klausimyno.
Verslo savininkai gali nustatyti savo prekybininko lygį per kiekvienos kredito kortelių įmonės paskirtą svetainę, pvz., skirtą viza, Mastercard, ir American Express.
Ataskaitų teikimas
Kai verslo savininkai atliks savęs vertinimą, jie turės apie tai pranešti kredito kortelių įmonei. Įmonės, kurios turi teisę į asmeninį vertinimą, turi pateikti atitikties ataskaitą tiesiogiai mokėjimo kortelės išdavėjui. PCI atitikties vertinimai reikalingi tik kasmet, tačiau verslo savininkams gali prireikti kas ketvirtį pažeidžiamumo nuskaitymo, kurį atlieka patvirtintas nuskaitymo tiekėjas. Kad ir koks vertinimas būtų atliktas, audito rezultatų pateikimas mokėjimo kortelių išdavėjams yra paskutinis PCI atitikties žingsnis.
Key Takeaways
- PCI atitiktis yra kredito kortelių pramonės standartų rinkinys, kurio turi laikytis įmonės, priimančios, perduodančios ir saugančios kortelių turėtojų duomenis.
- Yra 12 techninių ir veiklos standartų, kurių įmonės turi laikytis, kad atitiktų PCI reikalavimus.
- Norint, kad jis atitiktų PCI, reikia atlikti tris veiksmus: apimties nustatymas, įvertinimas ir ataskaitų teikimas.
- Vertinimo procesas apima savęs vertinimo klausimyną arba auditą vietoje.