Conformitate PCI
Ce este conformitatea PCI?
Conformitatea industriei de carduri de plată (PCI) este obligatorie de către companiile de Consiliul Standardelor de Securitate PCI.
Chei de luat masa
- Companiile care respectă și ating standardele de securitate a datelor din industria cardurilor de plată (PCI DSS) sunt considerate conforme PCI.
- Consiliul pentru standardele de securitate PCI este responsabil pentru dezvoltarea PCI DSS.
- PCI DSS are 12 cerințe cheie, 78 cerințe de bază și 400 de proceduri de testare pentru a se asigura că organizațiile sunt conforme cu PCI.
- Respectarea PCI reduce încălcările de date, protejează datele deținătorilor de carduri, evită amenzile și îmbunătățește reputația mărcii.
- Conformitatea PCI nu este cerută de lege, dar este considerată obligatorie prin precedentele instanței.
Înțelegerea conformității PCI
Comisia instanțelor precedente.
În general, conformitatea PCI este o componentă de bază a protocolului de securitate al oricărei companii de carduri de credit. Acesta este, în general, mandatat de companiile de carduri de credit și discutat în acordurile de rețea ale cardurilor de credit.
Consiliul pentru standarde PCI este responsabil pentru dezvoltarea standardelor de conformitate PCI. Aceste standarde se aplică procesării comercianților și au fost, de asemenea, extinse pentru a contura cerințele pentru tranzacțiile entități cheie care sunt, de asemenea, asociate cu stabilirea standardelor în industria cardurilor de credit includ Rețeaua de asociere a cardurilor și Casa Națională de Compensare Automată (NACHA).
Cerințe pentru conformitate PCI
Standardele de conformitate PCI impun comercianților și altor întreprinderi să gestioneze informațiile cardului de credit într-o manieră sigură, care ajută la reducerea probabilității ca posesorii de carduri să aibă furate informații sensibile despre contul financiar. În cazul în care comercianții nu gestionează informațiile despre cardul de credit în conformitate cu standardele PCI, informațiile despre card pot fi piratate și utilizate pentru o multitudine de acțiuni frauduloase. În plus, informațiile sensibile despre deținătorul cardului ar putea fi utilizate în frauda de identitate.
A fi conform cu PCI înseamnă a adera în mod constant la un set de linii directoare stabilite de Consiliul pentru standarde PCI. Conformitatea PCI este guvernată de PCI Standards Council, o organizație formată în 2006 în scopul gestionării securității cardurilor de credit.
Cerințele elaborate de Consiliu sunt cunoscute sub numele de Standarde de securitate a datelor din industria cardurilor de plată (PCI DSS). PCI DSS are 12 cerințe cheie, 78 cerințe de bază și peste 400 de proceduri de testare. Liniile directoare sunt, de asemenea, considerate cele mai bune practici de securitate. Cele 12 cerințe majore ale acestuia includ următoarele:
- Implementați firewall-uri pentru a proteja datele
- Protecție adecvată prin parolă
- Protejați datele deținătorului de card
- Criptarea datelor transmise deținătorului de card
- Utilizați software antivirus
- Actualizați software și întrețineți sistemele de securitate
- Limitați accesul la datele deținătorului de card
- ID-uri unice atribuite celor cu acces la date
- Limitați accesul fizic la date
- Creați și monitorizați jurnalele de acces
- Testați sistemele de securitate în mod regulat
- Creați o politică care este documentată și care poate fi urmată
Cea mai recentă versiune a PCI DSS a fost lansată în mai 2018 și este denumită versiunea 3.2.1. Per total, cele șase obiective și cele 12 cerințe subliniază o serie de pași pe care procesatorii de carduri de credit trebuie să-i urmeze continuu. Companiilor li se cere mai întâi să își evalueze rețelele și sistemele, care implică infrastructura tehnologiei informației, procesele de afaceri și procedurile de gestionare a cardurilor de credit.
Avantajele conformității PCI
Întreținerea constantă și evaluarea oricăror lacune în securitate sunt, de asemenea, foarte importante pentru a evita furtul de informații sensibile ale deținătorului de card, cum ar fi securitatea socială și numerele permisului de conducere, ori de câte ori este posibil.
Companiile sunt obligate să furnizeze rapoarte de conformitate în mod regulat ca parte a contractelor lor de procesare a cardului. Monitorizarea, evaluările și auditurile standardelor de securitate a datelor din industria cardurilor de plată sunt toate o parte importantă a departamentului de securitate al unei companii.
Toate companiile care procesează informații despre cardul de credit sunt obligate să mențină conformitatea PCI conform instrucțiunilor din contractele lor de procesare a cardului. Conformitatea PCI este standardul industriei, iar activitatea fără aceasta poate duce la amenzi substanțiale pentru încălcarea acordului și neglijență. Fără conformitatea PCI, companiile sunt, de asemenea, extrem de vulnerabile la furt, fraudă și încălcarea datelor.
95%
Procentul deîncălcăriale securității cibernetice cauzate de erori umane.
Avantajele conformității includ riscul redus de încălcare a datelor, protejarea datelor deținătorului de card, evitând astfel șansele de furt de identitate. Este o bună practică pentru companii să fie conforme, deoarece reduce eventualele amenzi legate de încălcarea datelor, ajută reputația mărcii unei companii, menține clienții fericiți și încrezători că fac afaceri cu o companie responsabilă, ducând la loialitatea față de marcă.
În prima jumătate a anului 2020, au existat 36 de miliarde de înregistrări expuse prin încălcarea datelor. Optzeci și șase la sută din încălcări au fost motivate din punct de vedere financiar, iar piața globală a securității informației se așteaptă să ajungă la 170 miliarde de dolari în 2020, riscul financiar este chiar mai mare. Protejarea datelor deținătorului de card nu este numai bună pentru afaceri, ci este, de asemenea, ceea ce trebuie făcut, asigurându-vă că oamenii nu sunt afectați negativ sau nu suferă nicio pierdere financiară.
Conformitate PCI și încălcări de date
Conformitatea PCI ajută la evitarea activităților frauduloase și la atenuarea încălcărilor de date. Verizon oferă o evaluare anuală a securității plăților în „Raportul de securitate al plăților Verizon”. Raportul 2019 dedică o întreagă secțiune PCI DSS, numită „Starea conformității PCI DSS, 2019: și 12 cerințe cheie”. Unele aspecte PCI DSS din „Raportul de securitate a plăților Verizon 2019” includ următoarele:
- 36,7% dintre organizații întrețineau în mod activ programele PCI DSS în 2018.
- Regiunea Asia-Pacific a depășit America, Europa, Orientul Mijlociu și Africa.
- Din perspectiva industriei, ospitalitatea rămâne oarecum în urma celorlalte sectoare.
Întrebări frecvente privind conformitatea PCI
Ce înseamnă PCI compatibil?
Conform cu PCI înseamnă că orice companie sau organizație care acceptă, transmite sau stochează datele private ale deținătorilor de carduri este conformă cu diferitele măsuri de securitate prezentate de Consiliul standardului de securitate PCI pentru a se asigura că datele sunt păstrate în siguranță și private.
Conformitatea PCI este cerută de lege?
Nu există un mandat de reglementare care să necesite conformitatea PCI, dar este considerat obligatoriu prin precedentele instanțelor.
Cum devin compatibil PCI?
Pentru a deveni conform cu PCI, trebuie mai întâi să determinați ce chestionar de autoevaluare trebuie să urmați pentru a deveni conform. Odată ce ați terminat chestionarul, trebuie să completați și să păstrați dovezi ale unei scanări de vulnerabilitate trecătoare cu un furnizor de scanare aprobat PCI SSC. Scanarea se aplică numai unor comercianți. Apoi, va trebui să completați Atestarea conformității. Ultimul pas va fi trimiterea tuturor informațiilor de mai sus.
Cine trebuie să respecte PCI?
Orice companie sau organizație care acceptă, transmite sau stochează datele private ale deținătorilor de carduri.
Linia de fund
Conformitatea PCI se referă la standardele tehnice și operaționale stabilite de Consiliul pentru standarde de securitate PCI pe care organizațiile trebuie să le implementeze și să le întrețină. Obiectivul conformității PCI este de a proteja datele deținătorului de card și se aplică oricărei organizații care acceptă, transmite sau stochează aceste date. Respectarea PCI este o bună practică comercială prin faptul că pune siguranța datelor consumatorilor pe primul loc și, de asemenea, beneficiază o organizație printr-o reputație pozitivă a mărcii.