Bazele conformității PCI: Ce trebuie să știți

Informațiile despre cardul de credit sunt cel mai valoros tip de date pentru infractorii cibernetici, deoarece aceste seturi de date valorează milioane de dolari pe piața neagră.

Astăzi, companiile de toate dimensiunile procesează informațiile despre cardurile de credit și de debit ale clienților și primesc plăți cu cardul de credit. Fiecare companie care procesează, stochează și transmite date financiare se află sub radarul actorilor rău intenționați și se confruntă cu cele mai mari riscuri de atac cibernetic.

Din aceste motive, marile companii de carduri de credit au creat standardul PCI pentru a oferi linii directoare de securitate companiilor pentru a securiza datele financiare ale clienților. În acest articol, vom examina elementele de bază ale conformității PCI.

Să începem cu explicarea conformității PCI DSS în continuare.

Ce este conformitatea cu PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) este un set tehnic și operațional de specificații de securitate pentru a proteja datele deținătorilor de carduri de credit.

Conformitatea PCI a fost fondată de mari companii de carduri de credit precum Visa, Mastercard, American Express, Discover Financial Services și JCB Express. PCI urmărește să permită un cadru internațional pentru securizarea datelor financiare ale clienților.

Toate companiile care colectează, stochează și transmit sunt supuse conformității PCI DSS și sunt obligate să urmeze instrucțiunile și cerințele de securitate.

PCI DSS are patru niveluri de conformitate (1,2,3,4). Nivelurile de conformitate PCI ale companiilor sunt determinate pe baza volumului tranzacțiilor pe parcursul unui an. Companiile care se încadrează sub nivelul 4 procesează mai puțin de 20.000 de tranzacții pe an.

Nivelul 3 se aplică comercianților care procesează tranzacții între 20.000-1 milion pe an. Nivelul 2 se aplică companiilor care procesează tranzacții între 1-6 milioane pe an. Companiile care procesează mai mult de 6 tranzacții pe an se încadrează la nivelul 1.

Cerințele PCI devin mai stricte pe măsură ce nivelul trece de la 4 la 1. Dar, indiferent de nivelul de conformitate, toate companiile sunt obligate să îndeplinească toate cerințele PCI într-o anumită măsură.

Cadrul securizat de gestionare a datelor deținătorului de card este stabilit în șase categorii prin conformitatea PCI. Categoriile de cerințe PCI constau în protecția datelor deținătorului de card, planul de gestionare a vulnerabilităților, monitorizarea rețelei, managementul rețelelor și sistemelor securizate, restricțiile de control al accesului și politica de securitate a informațiilor.

Conținutul acestor categorii formează un total de douăsprezece pași de cerințe. Cerințele PCI asigură securitatea manipulării datelor deținătorului de card. Iată o listă de verificare pentru conformitatea PCI.

Cerințe PCI

1- Instalați și mențineți un firewall pentru protecția datelor deținătorilor de card

Deoarece firewall-urile sunt primul mecanism de apărare al rețelei, configurarea și menținerea corectă a unui firewall este crucială pentru a menține în siguranță datele deținătorului cardului. Firewall-urile sunt instrumente extrem de eficiente pentru protecția datelor sensibile împotriva amenințărilor cibernetice, deoarece restricționează traficul în rețea și blochează accesul neaprobat. De aceea, stabilirea firewall-ului este prima cerință.

02. Aveți o protecție adecvată prin parolă

Majoritatea serviciilor de rețea, a sistemelor de puncte de vânzare (POS) și a produselor terțe sunt configurate cu setări implicite.

Infractorii cibernetici pot obține cu ușurință acces la rețele și la date sensibile dacă organizațiile nu reconfigurează aceste setări din fabrică, deoarece parolele și numele de utilizator implicite sunt cunoscute pe scară largă.

Pe lângă schimbarea setărilor parolei, organizațiile trebuie să schimbe în mod regulat parolele tuturor dispozitivelor și software-ului care necesită una.

03. Protejați datele stocate ale titularului de card

Toate datele stocate ale titularului de card trebuie să fie criptate. Comercianții trebuie să asigure protecția acestor date sensibile prin chei criptografice și algoritmi și să efectueze scanări regulate.

04. Criptați datele transmise deținătorilor de carduri

Menținerea securității datelor deținătorului de card este cea mai importantă cerință în conformitate cu PCI. Deci, comercianții trebuie, de asemenea, să cripteze și să securizeze transmiterea datelor deținătorilor de card prin rețele publice.

05. Utilizați software antivirus

Deținerea unui software antivirus este o necesitate pentru protecția datelor împotriva programelor malware. Deci, organizațiile trebuie să utilizeze și să actualizeze frecvent software-ul antivirus pe toate dispozitivele pentru a detecta și elimina orice malware.

06. Întreținere software și sistem

Toate programele și sistemele ar trebui actualizate în mod regulat pentru a corecta vulnerabilitățile de securitate. Rețineți că unele software, cum ar fi baze de date, software antivirus și firewall-uri necesită actualizări mai frecvente.

07. Restricționați accesul la date

Numai personalului autorizat ar trebui să li se acorde acces la datele deținătorilor de card atunci când este necesar. Terții și membrii personalului nu ar trebui să aibă acces la informații sensibile.

08. Identificare unică pentru accesul utilizatorului

Fiecare utilizator autorizat care are acces la datele deținătorului cardului trebuie să fie oferit un set unic de nume de utilizator și parole. Acreditările de acces ale utilizatorilor asigură responsabilitatea și reduc timpul de răspuns.

09. Restricționați accesul fizic

Accesul fizic trebuie, de asemenea, restricționat la fel de mult ca și accesul digital pentru a proteja datele sensibile. Organizațiile trebuie să stocheze datele deținătorilor de carduri într-o locație sigură din punct de vedere fizic și să impună controale și autorizare stricte.

10- Urmăriți și monitorizați accesul la rețea

Tot accesul la rețea și traficul trebuie urmărite și monitorizate atunci când vine vorba de datele deținătorilor de carduri și numerele de cont principale. Jurnalele de acces care implică datele deținătorului cardului trebuie menținute și revizuite în mod continuu.

11- Evaluarea regulată a sistemelor de securitate

Ar trebui efectuate evaluări regulate ale sistemului de securitate și teste de penetrare pentru a determina și corecta vulnerabilitățile de securitate. Această procedură asigură determinarea stării curente a sistemelor de securitate și îmbunătățirea acestuia în consecință.

12- Mențineți o politică de securitate cibernetică

Toate cerințele PCI trebuie abordate și documentate cu o politică de securitate cibernetică. Prin menținerea unei politici de securitate cibernetică, organizațiile pot asigura conformitatea și securitatea rețelelor lor.

Consecințele nerespectării PCI DSS

Nerespectarea PCI DSS poate aduce amenzi și penalități mari. În funcție de gravitatea și durata încălcărilor, autoritățile PCI pot aplica amenzi între 5000 și 100.000 USD pe lună.

Amenzile pot crește lunar pe măsură ce durata încălcării devine mai lungă. De asemenea, după incidente de încălcare a datelor, companiile pot fi obligate să acopere toate costurile de reemitere și remediere.

În afară de acestea, nerespectarea PCI poate duce la penalități suplimentare, cum ar fi o creștere a taxelor de tranzacție și pierderea comercianților de plată cu cardul de credit pentru o perioadă de timp sau permanent. Îndeplinirea cerințelor PCI este vitală pentru a evita penalizările și a securiza datele financiare confidențiale ale clienților.

Ultimele Cuvinte

Datele financiare ale clienților trebuie să fie protejate în orice moment împotriva atacurilor cibernetice.

Respectarea standardului de securitate a datelor din industria cardurilor de plată (PCI DSS) poate ajuta companiile să securizeze seturile de date financiare care sunt procesate, stocate și transmise.

Într-o eră în care riscurile cibernetice, amenzile de conformitate și sancțiunile sunt atât de mari, fiecare companie supusă PCI ar trebui să-și îndeplinească cerințele și să devină conformă PCI.