Фінансова енциклопедія

Відповідність PCI

Що таке відповідність PCI?

Відповідність індустрії платіжних карток (PCI) зобов’язана компаніям, що займаються стандартів безпеки PCI.

Ключові винос

  • Компанії, які дотримуються та досягають стандартів безпеки даних платіжних карток (PCI DSS), вважаються відповідними PCI.
  • Рада зі стандартів безпеки PCI відповідає за розробку PCI DSS.
  • PCI DSS має 12 ключових вимог, 78 базових вимог та 400 процедур тестування, щоб гарантувати, що організації відповідають PCI.
  • Відповідність PCI зменшує порушення даних, захищає дані власників карток, уникає штрафу та покращує репутацію бренду.
  • Дотримання PCI не вимагається законом, але вважається обов’язковим через судовий прецедент.

Розуміння відповідності PCI

судовий прецедент.

Загалом, відповідність PCI є основною складовою протоколу безпеки будь-якої кредитної картки. Як правило, це вимагається компаніями, що займаються кредитними картками, і обговорюється в угодах про мережі кредитних карток.

Рада зі стандартів PCI відповідає за розробку стандартів відповідності PCI. Ці стандарти застосовуються до обробки продавців, а також були розширені, щоб окреслити вимоги до ключові організації, які також пов’язані із встановленням стандартів у галузі кредитних карток, включають Мережу асоціацій карток та Національну автоматизовану клірингову палату (NACHA).

Вимоги до відповідності PCI

Стандарти відповідності PCI вимагають від торговців та інших підприємств безпечної обробки інформації про кредитні картки, що сприяє зменшенню ймовірності викрадення конфіденційної інформації про фінансовий рахунок. Якщо торговці не обробляють інформацію про кредитні картки відповідно до стандартів PCI, інформацію про картку можна зламати і використовувати для безлічі шахрайських дій. Крім того, конфіденційна інформація про власника картки може бути використана для  шахрайства.

Відповідність PCI означає постійне дотримання набору керівних принципів, викладених Радою зі стандартів PCI. Відповідність PCI регулюється Радою зі стандартів PCI, організацією, сформованою в 2006 році з метою управління безпекою кредитних карток.

Вимоги, розроблені Радою, відомі як стандарти захисту даних індустрії платіжних карток (PCI DSS). PCI DSS має 12 ключових вимог, 78 базових вимог та понад 400 процедур тестування. Настанови також вважаються найкращими практиками безпеки. Його 12 основних вимог включають наступне:

  1. Впровадити брандмауери для захисту даних
  2. Відповідний захист паролем
  3. Захистіть дані власника картки
  4. Шифрування переданих даних власника картки
  5. Використовуйте антивірусне програмне забезпечення
  6. Оновлення програмного забезпечення та підтримка систем безпеки
  7. Обмежте доступ до даних власників карток
  8. Унікальні ідентифікатори, призначені тим, хто має доступ до даних
  9. Обмежте фізичний доступ до даних
  10. Створення та моніторинг журналів доступу
  11. Регулярно тестуйте системи безпеки
  12. Створіть політику, яка задокументована і якої можна дотримуватися

Сама остання версія PCI DSS була випущена в травні 2018 року і згадується як версія 3.2.1. Загалом, шість цілей та 12 вимог окреслюють низку кроків, яким повинні постійно слідувати процесори, що працюють з кредитними картками. Спочатку компаніям пропонується оцінити свої мережі та системи, які включають інфраструктуру інформаційних технологій, бізнес-процеси та процедури обробки кредитних карток.

Переваги відповідності PCI

Постійне технічне обслуговування та оцінка будь-яких прогалин у безпеці також дуже важливі для того, щоб уникнути розкрадання такої конфіденційної інформації про власника картки, як  соціальний захист  та номери водійських прав, за можливості.

Компанії повинні регулярно подавати звіти про відповідність у рамках договорів про обробку карток. Моніторинг, оцінка та аудит стандартів безпеки даних платіжних карток – це важлива частина відділу безпеки компанії.

Усі компанії, які обробляють інформацію про кредитні картки, зобов’язані підтримувати відповідність PCI відповідно до своїх угод про обробку карток. Відповідність PCI є галузевим стандартом, і без неї бізнес може спричинити значні штрафи за порушення угоди та недбалість. Без дотримання вимог PCI компанії також вразливі до крадіжок, шахрайства та порушення даних.

95%

Відсотокпорушень кібербезпеки, спричинених людською помилкою.

Переваги дотримання вимог включають зменшення ризику порушення даних, захист даних власників карток, тим самим уникаючи шансів на крадіжку особистих даних. Для компаній є дотриманням вимог дотримання вимог, оскільки це зменшує штрафи, пов’язані з порушенням даних, допомагає репутації компанії, підтримує клієнтів щасливими та впевненими, що вони ведуть бізнес із відповідальною компанією, що призводить до лояльності до бренду.

У першій половині 2020 року було виявлено 36 мільярдів записів через порушення даних.Вісімдесят шість відсотків порушень були фінансово мотивовані, і, як очікується, світовий ринок інформаційної безпеки досягне 170 мільярдів доларів у 2020 році, фінансовий ризик ще більше.Захист даних власників карток не тільки корисний для бізнесу, але й правильний спосіб зробити, гарантуючи, що людям не буде завдано негативних збитків чи фінансових збитків.

Відповідність PCI та порушення даних

Відповідність PCI допомагає уникнути шахрайської діяльності та пом’якшує порушення даних. Verizon надає щорічну оцінку безпеки платежів у своєму “Звіті про безпеку платежів Verizon”. Звіт за 2019 рік присвячує цілий розділ PCI DSS, який називається «Стан відповідності PCI DSS, 2019: та 12 ключових вимог». Деякі основні моменти PCI DSS із «Звіту про безпеку платежів Verizon 2019» включають наступне:

  • 36,7% організацій активно підтримували програми PCI DSS у 2018 році.
  • Азіатсько-Тихоокеанський регіон перевершив Америку, Європу, Близький Схід та Африку.
  • З галузевої точки зору гостинність дещо відстає від інших галузей.

Поширені запитання про відповідність стандарту PCI

Що означає сумісність з PCI?

Відповідність PCI означає, що будь-яка компанія чи організація, яка приймає, передає або зберігає приватні дані власників карток, відповідає різним заходам безпеки, викладеним Радою стандарту безпеки PCI, щоб забезпечити безпеку та конфіденційність даних.

Чи передбачено законодавством дотримання вимог PCI?

Існує не нормативний мандат, який вимагає дотримання PCI, але він розглядається як обов’язковий через судовий прецедент.

Як отримати PCI-сумісний?

Щоб стати сумісним з PCI, спочатку слід визначити, яку анкету для самооцінки потрібно виконати, щоб стати відповідною.Після того, як ви заповнили анкету, вам потрібно заповнити та зберегти докази проходження успішного сканування вразливості у затвердженого постачальника сканування PCI SSC.Сканування стосується лише деяких продавців.Потім вам потрібно буде заповнити Атестацію відповідності.Останнім кроком буде подання всієї вищезазначеної інформації.

Хто повинен відповідати PCI?

Будь-яка компанія чи організація, яка приймає, передає або зберігає приватні дані власників карток.

Суть

Відповідність PCI відноситься до технічних та експлуатаційних стандартів, встановлених Радою стандартів безпеки PCI, які організації повинні впроваджувати та підтримувати. Метою відповідності PCI є захист даних власників карток і застосовується до будь-якої організації, яка приймає, передає або зберігає ці дані. Відповідність PCI – це хороша ділова практика, оскільки вона ставить безпеку даних споживачів на перше місце, а також приносить користь організації завдяки позитивній репутації бренду.