Соответствие индустрии платежных карт (PCI) основано на наборе из 12 технических и операционных стандартов, разработанных PCI Security. Совет по стандартам (SSC), независимый орган, созданный в 2006 году компаниями American Express, Discover, JCB International, Mastercard и Виза. Эти стандарты применяются к любому бизнесу, который принимает, передает или хранит данные кредитных карт. Они были созданы для обеспечения безопасной среды, защищающей информацию о клиентах и бизнесе от таких проблем, как утечка данных.
Чтобы лучше понять соответствие PCI, важно знать, что это влечет за собой, требования и как все это работает.
Определение и требования соответствия PCI
Соответствие PCI — это соблюдение набора стандартов безопасности и защиты кредитных карт, установленных PCI SSC. Эти стандарты были созданы для обеспечения безопасной среды для любого бизнеса, который обрабатывает данные держателей карт.
В то время как PCI SSC разработал стандарты, платежные бренды и продавцы несут ответственность за обеспечение соблюдения.
У каждого бренда кредитных карт могут быть свои особые требования PCI, которым должны следовать предприятия. Владельцы бизнеса должны проверить каждую платежную систему, чтобы убедиться, что они соответствуют всем необходимым требованиям.
- Альтернативное имя: Стандарт безопасности данных индустрии платежных карт
- Акроним: PCI, PCI DSS
Стандарты соответствия PCI
PCI DSS создано 12 стандартов, которые охватывают как технические, так и операционные компоненты системы:
- Поддержка брандмауэра для защиты данных держателей карт
- Используйте пароли безопасности высокого уровня вместо системных паролей по умолчанию
- Защитите сохраненные данные держателей карт с помощью надлежащих протоколов безопасности.
- Шифровать передачу данных держателя карты
- Защитите все системы от вредоносных программ и регулярно обновляйте антивирусные программы
- Разрабатывать и поддерживать безопасные системы и приложения
- Ограничить доступ к информации о держателях карт
- Идентифицировать и аутентифицировать доступ ко всем компонентам системы
- Ограничить физический доступ к информации о держателях карт
- Отслеживайте и контролируйте весь доступ к сети и данным держателей карт
- Часто тестируйте системы и процессы безопасности
- Поддерживать политику информационной безопасности для всего персонала
Каждое предприятие, которое обрабатывает, передает и хранит данные карт клиентов, обязано защищать конфиденциальную информацию о держателях карт, чтобы обеспечить соблюдение стандартов PCI. Эти стандарты могут помочь продавцам защититься от хакеров и похитителей информации.
Несоблюдение этих требований может сделать бизнес более уязвимым к финансовому ущербу и может привести к дорогостоящим штрафам за несоблюдение требований, взимаемых брендами кредитных карт.
Как работает соответствие PCI?
У каждого эмитента карт есть свои собственные правила соответствия PCI, поэтому владельцам бизнеса рекомендуется проверить каждого эмитента, чтобы убедиться, что они соответствуют надлежащей квалификации. Чтобы считаться совместимым с PCI, компании должны пройти трехэтапный процесс, который включает определение объема, оценку и отчетность.
Обзор
При анализе владельцы бизнеса должны определить все системы, компрометация которых может повлиять на данные держателей карт. Определение масштаба обычно представляет собой ежегодный процесс, который включает в себя оценку всех систем и способов взаимодействия данных держателей карт с бизнесом. Этот процесс поможет определить тип необходимой оценки, а также масштабы и стоимость.
оценка
Часть оценки соответствия PCI состоит либо из вопросника самооценки, либо из аудита на месте, проводимого квалифицированным оценщиком безопасности. Какая оценка потребуется бизнесу, определяется уровнем продавца кредитной карты. Например, компаниям, которые ежегодно обрабатывают определенное эмитентом количество транзакций по картам, может потребоваться только анкета для самооценки.
Владельцы бизнеса могут определить свой уровень продавца через специальный веб-сайт каждой кредитной компании, например, для Виза, Мастеркард, и American Express.
Составление отчетов
После того, как владельцы бизнеса завершат самооценку, они должны будут сообщить об этом в компанию, выпускающую кредитные карты. Предприятия, которые имеют право на личную оценку, должны представить Отчет о соответствии непосредственно эмитенту платежной карты. Оценка соответствия PCI требуется только ежегодно, но владельцам бизнеса может потребоваться ежеквартальное сканирование уязвимостей, проводимое утвержденным поставщиком сканирования. Какая бы оценка ни проводилась, отчет о результатах аудита эмитентам платежных карт является последним шагом в обеспечении соответствия требованиям PCI.
Ключевые выводы
- Соответствие PCI — это набор стандартов индустрии кредитных карт, которым должны следовать предприятия, принимающие, передающие и хранящие данные о держателях карт.
- Существует 12 технических и операционных стандартов, которых должны придерживаться предприятия, чтобы соответствовать требованиям PCI.
- Чтобы стать совместимым с PCI, необходимо пройти трехэтапный процесс: обзор, оценка и отчетность.
- Процесс оценки включает либо заполнение анкеты для самооценки, либо проведение аудита на месте.
