Podstawy zgodności z PCI: co musisz wiedzieć
Opublikowany: 2023-04-14Informacje o kartach kredytowych to najcenniejszy rodzaj danych dla cyberprzestępców, ponieważ te zestawy danych są warte miliony dolarów na czarnym rynku.
Obecnie firmy każdej wielkości przetwarzają informacje o kartach kredytowych i debetowych klientów oraz otrzymują płatności kartami kredytowymi. Każda firma, która przetwarza, przechowuje i przesyła dane finansowe, znajduje się na celowniku złośliwych aktorów i jest narażona na najwyższe ryzyko cyberataków.
Z tych powodów główne firmy obsługujące karty kredytowe stworzyły standard PCI, aby zapewnić wytyczne dotyczące bezpieczeństwa dla firm w celu zabezpieczenia danych finansowych klientów. W tym artykule przyjrzymy się podstawom zgodności z PCI.
Zacznijmy od dalszego wyjaśnienia zgodności z PCI DSS.
Co to jest zgodność z PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) to techniczny i operacyjny zestaw specyfikacji bezpieczeństwa w celu ochrony danych posiadaczy kart kredytowych.
Zgodność z PCI została założona przez główne firmy obsługujące karty kredytowe, takie jak Visa, Mastercard, American Express, Discover Financial Services i JCB Express. PCI ma na celu stworzenie międzynarodowych ram zabezpieczania danych finansowych klientów.
Wszystkie firmy, które zbierają, przechowują i przesyłają, podlegają zgodności z PCI DSS i są zobowiązane do przestrzegania wytycznych i wymagań bezpieczeństwa.
PCI DSS ma cztery poziomy zgodności (1,2,3,4). Poziomy zgodności firm ze standardami PCI są określane na podstawie liczby transakcji w ciągu roku. Firmy należące do poziomu 4 przetwarzają mniej niż 20 000 transakcji rocznie.
Poziom 3 dotyczy sprzedawców, którzy przetwarzają transakcje między 20 000 a 1 milionem rocznie. Poziom 2 dotyczy firm, które przetwarzają transakcje między 1-6 mln rocznie. Firmy, które przetwarzają więcej niż 6 transakcji rocznie, należą do poziomu 1.
Wymagania PCI stają się coraz bardziej rygorystyczne, gdy poziom przechodzi z 4 na 1. Jednak niezależnie od poziomu zgodności, wszystkie firmy są zobowiązane do pewnego stopnia spełnienia wszystkich wymagań PCI.
Ramy bezpiecznej obsługi danych posiadaczy kart są podzielone na sześć kategorii według zgodności z PCI. Kategorie wymagań PCI obejmują ochronę danych posiadaczy kart, plan zarządzania lukami w zabezpieczeniach, monitorowanie sieci, bezpieczne zarządzanie siecią i systemami, ograniczenia kontroli dostępu oraz politykę bezpieczeństwa informacji.
Treść tych kategorii składa się w sumie z dwunastu etapów wymagań. Wymagania PCI zapewniają bezpieczeństwo obsługi danych posiadaczy kart. Oto lista kontrolna zgodności z PCI.
Wymagania PCI
1- Zainstaluj i utrzymuj zaporę ogniową w celu ochrony danych posiadaczy kart
Ponieważ zapory ogniowe są pierwszym mechanizmem obronnym sieci, właściwa konfiguracja i konserwacja zapory ogniowej ma kluczowe znaczenie dla zapewnienia bezpieczeństwa danych posiadaczy kart. Zapory ogniowe są bardzo skutecznymi narzędziami do ochrony wrażliwych danych przed cyberzagrożeniami, ponieważ ograniczają ruch sieciowy i blokują nieautoryzowany dostęp. Dlatego ustanowienie zapory ogniowej jest pierwszym wymaganiem.
02. Miej odpowiednią ochronę hasłem
Większość usług sieciowych, systemów punktów sprzedaży (POS) i produktów innych firm jest skonfigurowanych z ustawieniami domyślnymi.
Cyberprzestępcy mogą łatwo uzyskać dostęp do sieci i poufnych danych, jeśli organizacje nie zrekonfigurują tych ustawień fabrycznych, ponieważ domyślne hasła i nazwy użytkowników są powszechnie znane.
Oprócz zmiany ustawień haseł organizacje muszą regularnie zmieniać hasła do wszystkich urządzeń i oprogramowania, które tego wymagają.
03. Chroń przechowywane dane posiadaczy kart
Wszystkie przechowywane dane posiadacza karty muszą być zaszyfrowane. Sprzedawcy muszą zapewnić ochronę tych poufnych danych za pomocą kluczy kryptograficznych i algorytmów oraz przeprowadzać regularne skanowanie.
04. Szyfruj przesyłane dane posiadaczy kart
Utrzymanie bezpieczeństwa danych posiadaczy kart jest najważniejszym wymogiem zgodności ze standardem PCI. Dlatego sprzedawcy muszą również szyfrować i zabezpieczać transmisję danych posiadaczy kart w sieciach publicznych.
05. Korzystaj z oprogramowania antywirusowego
Posiadanie oprogramowania antywirusowego jest niezbędne do ochrony danych przed złośliwym oprogramowaniem. Dlatego organizacje muszą wykorzystywać i często aktualizować swoje oprogramowanie antywirusowe na wszystkich urządzeniach, aby wykrywać i eliminować złośliwe oprogramowanie.
06. Konserwacja oprogramowania i systemu
Całe oprogramowanie i systemy powinny być regularnie aktualizowane w celu łatania luk w zabezpieczeniach. Należy pamiętać, że niektóre programy, takie jak bazy danych, oprogramowanie antywirusowe i zapory sieciowe, wymagają częstszych aktualizacji.
07. Ogranicz dostęp do danych
Tylko upoważniony personel powinien mieć dostęp do danych posiadaczy kart w razie potrzeby. Osoby trzecie i pracownicy nie powinni mieć dostępu do poufnych informacji.
08. Unikalna identyfikacja dostępu użytkownika
Każdemu upoważnionemu użytkownikowi, który ma dostęp do danych posiadacza karty, należy nadać unikalny zestaw nazw użytkownika i haseł. Poświadczenia dostępu użytkownika zapewniają odpowiedzialność i skracają czas reakcji.
09. Ogranicz fizyczny dostęp
Dostęp fizyczny musi być również ograniczony w takim samym stopniu, jak dostęp cyfrowy, aby chronić wrażliwe dane. Organizacje muszą przechowywać dane posiadaczy kart w fizycznie bezpiecznym miejscu i egzekwować ścisłe kontrole i autoryzację.
10- Śledź i monitoruj dostęp do sieci
Cały dostęp do sieci i ruch sieciowy muszą być śledzone i monitorowane, jeśli chodzi o dane posiadaczy kart i podstawowe numery kont. Dzienniki dostępu obejmujące dane posiadaczy kart muszą być utrzymywane i przeglądane w sposób ciągły.
11- Regularna ocena systemów bezpieczeństwa
Należy przeprowadzać regularne oceny systemów bezpieczeństwa i testy penetracyjne w celu określenia i załatania luk w zabezpieczeniach. Procedura ta zapewnia określenie aktualnego stanu systemów bezpieczeństwa i odpowiednią jego poprawę.
12- Utrzymuj politykę bezpieczeństwa cybernetycznego
Wszystkie wymagania PCI muszą być uwzględnione i udokumentowane w polityce bezpieczeństwa cybernetycznego. Utrzymując politykę bezpieczeństwa cybernetycznego, organizacje mogą zapewnić zgodność i bezpieczeństwo swoich sieci.
Konsekwencje nieprzestrzegania PCI DSS
Nieprzestrzeganie PCI DSS może wiązać się z wysokimi grzywnami i karami. W zależności od wagi i czasu trwania naruszeń, władze PCI mogą nakładać grzywny w wysokości od 5000 do 100 000 USD miesięcznie.
Grzywny mogą rosnąć z miesiąca na miesiąc w miarę wydłużania się czasu trwania naruszenia. Ponadto, po incydencie naruszenia danych, firmy mogą zostać zobowiązane do pokrycia wszystkich kosztów ponownego wydania i środków zaradczych.
Inne niż te, nieprzestrzeganie PCI może skutkować dodatkowymi karami, takimi jak wzrost opłat transakcyjnych i utrata akceptantów płatności kartą kredytową na jakiś czas lub na stałe. Spełnienie wymagań PCI jest niezbędne, aby uniknąć kar i zabezpieczyć poufne dane finansowe klientów.
Ostatnie słowa
Dane finansowe klientów muszą być zawsze chronione przed cyberatakami.
Zgodność ze standardem Payment Card Industry Data Security Standard (PCI DSS) może pomóc firmom zabezpieczyć zbiory danych finansowych, które są przetwarzane, przechowywane i przesyłane.
W epoce, w której ryzyko cybernetyczne, grzywny i kary za nieprzestrzeganie przepisów są tak wysokie, każda firma podlegająca PCI powinna spełnić jej wymagania i uzyskać zgodność z PCI.
English
Arabic
Chinese (Simplified)
Dutch
French
German
Italian
Portuguese
Russian
Spanish