Відповідність індустрії платіжних карток (PCI) базується на наборі з 12 технічних і операційних стандартів, розроблених PCI Security Рада стандартів (SSC), незалежний орган, створений у 2006 році American Express, Discover, JCB International, Mastercard та Віза. Ці стандарти застосовуються до будь-якої компанії, яка приймає, передає або зберігає дані кредитних карток. Вони були створені для забезпечення безпечного середовища, яке захищає клієнтську та ділову інформацію від таких проблем, як порушення даних.
Щоб краще зрозуміти відповідність PCI, важливо знати, що це передбачає, вимоги та як усе це працює.
Визначення та вимоги відповідності PCI
Відповідність вимогам PCI — це дотримання набору стандартів безпеки та захисту кредитних карток, встановлених PCI SSC. Ці стандарти були створені для забезпечення безпечного середовища для будь-якого бізнесу, який обробляє дані власників карток.
У той час як PCI SSC розробив стандарти, платіжні бренди та продавці відповідають за дотримання відповідності.
Кожен бренд кредитної картки може мати свої особливі вимоги PCI, яких підприємства повинні дотримуватися. Власникам бізнесу слід перевірити кожен платіжний бренд, щоб переконатися, що він відповідає всім необхідним вимогам.
- Альтернативна назва: Стандарт безпеки даних індустрії платіжних карток
- акронім: PCI, PCI DSS
Стандарти відповідності PCI
Існує 12 стандартів, створених PCI DSS, які охоплюють як технічні, так і операційні компоненти системи:
- Підтримуйте брандмауер для захисту даних власника картки
- Використовуйте паролі високого рівня безпеки замість стандартних системних паролів
- Захистіть збережені дані власника картки за допомогою відповідних протоколів безпеки
- Шифруйте передачу даних власника картки
- Захищайте всі системи від шкідливих програм і регулярно оновлюйте антивірусні програми
- Розробляти та підтримувати безпечні системи та програми
- Обмежити доступ до інформації про власника картки
- Ідентифікація та автентифікація доступу до всіх компонентів системи
- Обмежте фізичний доступ до інформації про власника картки
- Відстежуйте та контролюйте всі доступи до мережі та даних власників карток
- Часто тестуйте системи та процеси безпеки
- Підтримувати політику інформаційної безпеки для всього персоналу
Кожна компанія, яка обробляє, передає та зберігає дані карток клієнтів, відповідає за захист конфіденційної інформації про власників карток, щоб гарантувати дотримання стандартів PCI. Ці стандарти можуть допомогти продавцям захиститися від хакерів і крадіїв інформації.
Невідповідність цим вимогам може зробити бізнес більш вразливим до фінансових збитків і може призвести до дорогих комісій за недотримання вимог, що нараховуються брендами кредитних карток.
Як працює відповідність PCI?
Кожен емітент картки має власні вказівки щодо дотримання стандарту PCI, тому власникам бізнесу радимо перевіряти в кожного емітента відповідність вимогам. Щоб вважатися сумісними з PCI, компанії повинні пройти триетапний процес, який включає визначення обсягу, оцінку та звітність.
Визначення обсягу
Під час визначення обсягу власникам бізнесу потрібно визначити всі системи, які в разі зламу можуть вплинути на дані власників карток. Визначення обсягу – це, як правило, щорічний процес, який передбачає оцінку всіх систем і способів взаємодії даних власників карток із бізнесом. Цей процес допоможе визначити необхідний тип оцінки, а також її масштаб і вартість.
Оцінка
Частина оцінки відповідності PCI складається або з анкети для самооцінки, або з перевірки на місці, яку проводить кваліфікований експерт з безпеки. Яка оцінка буде потрібна компанії, залежить від рівня продавця компанії, яка видає кредитні картки. Наприклад, компаніям, які щороку обробляють кількість транзакцій за картками, визначену емітентом, може знадобитися лише анкета для самооцінки.
Власники бізнесу можуть визначити свій торговельний рівень на спеціальному веб-сайті кожної компанії, яка займається кредитною карткою, як-от ці для Віза, Mastercard, і American Express.
Звітність
Після того, як власники бізнесу завершать самооцінку, вони повинні будуть повідомити про це компанії, яка видає кредитні картки. Підприємства, які мають право на особисту оцінку, повинні подати звіт про відповідність безпосередньо емітенту платіжної картки. Оцінка відповідності PCI потрібна лише щорічно, але власникам бізнесу може знадобитися щоквартальне сканування вразливостей, яке проводить схвалений постачальник сканування. Яка б оцінка не була проведена, звіт про результати аудиту емітентам платіжних карток є останнім кроком для відповідності PCI.
Ключові висновки
- Відповідність PCI — це набір стандартів індустрії кредитних карток, яких мають дотримуватися компанії, що приймають, передають і зберігають дані власників карток.
- Існує 12 технічних і операційних стандартів, яких компанії повинні дотримуватися, щоб відповідати вимогам PCI.
- Існує три етапи процесу, щоб стати сумісним з PCI: визначення обсягу, оцінювання та звітування.
- Процес оцінювання включає заповнення анкети для самооцінки або проведення аудиту на місці.
