Основы соответствия PCI: что вам нужно знать
Опубликовано: 2023-04-14Информация о кредитных картах является наиболее ценным типом данных для киберпреступников, поскольку эти наборы данных стоят миллионы долларов на черном рынке.
Сегодня компании всех размеров обрабатывают информацию о кредитных и дебетовых картах клиентов и принимают платежи по кредитным картам. Каждая компания, которая обрабатывает, хранит и передает финансовые данные, находится под прицелом злоумышленников и сталкивается с самыми высокими рисками кибератак.
По этим причинам крупные компании, выпускающие кредитные карты, создали стандарт PCI, чтобы предоставить компаниям рекомендации по безопасности для защиты финансовых данных клиентов. В этой статье мы рассмотрим основы соответствия PCI.
Давайте начнем с дальнейшего объяснения соответствия PCI DSS.
Что такое соответствие стандарту PCI DSS?
Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это технический и операционный набор спецификаций безопасности для защиты данных держателей кредитных карт.
Соответствие PCI было основано крупными компаниями, выпускающими кредитные карты, такими как Visa, Mastercard, American Express, Discover Financial Services и JCB Express. PCI стремится обеспечить международную основу для защиты финансовых данных клиентов.
Все компании, которые собирают, хранят и передают данные, должны соответствовать стандарту PCI DSS и обязаны соблюдать правила и требования безопасности.
PCI DSS имеет четыре уровня соответствия (1,2,3,4). Уровни соответствия компаний PCI определяются на основе объема транзакций за год. Компании, попадающие под уровень 4, обрабатывают менее 20 000 транзакций в год.
Уровень 3 применяется к продавцам, которые обрабатывают транзакции от 20 000 до 1 миллиона в год. Уровень 2 применяется к компаниям, которые обрабатывают транзакции от 1 до 6 миллионов в год. Компании, которые обрабатывают более 6 транзакций в год, попадают под уровень 1.
Требования PCI становятся более строгими по мере повышения уровня с 4 до 1. Но, независимо от уровня соответствия, все компании обязаны в той или иной степени выполнять все требования PCI.
Платформа безопасной обработки данных держателей карт установлена в шести категориях в соответствии с требованиями PCI. Категории требований PCI включают защиту данных держателей карт, план управления уязвимостями, мониторинг сети, безопасное управление сетью и системами, ограничения контроля доступа и политику информационной безопасности.
Содержание этих категорий состоит из двенадцати шагов требований. Требования PCI обеспечивают безопасность обработки данных держателей карт. Вот контрольный список для соответствия PCI.
Требования PCI
1- Установите и поддерживайте брандмауэр для защиты данных держателей карт.
Поскольку брандмауэры являются первым защитным механизмом сети, правильная настройка и обслуживание брандмауэра имеет решающее значение для обеспечения безопасности данных держателей карт. Межсетевые экраны — очень эффективные инструменты для защиты конфиденциальных данных от киберугроз, поскольку они ограничивают сетевой трафик и блокируют несанкционированный доступ. Вот почему установка брандмауэра является первым требованием.
02. Обеспечьте надлежащую защиту паролем
Для большинства сетевых служб, систем торговых точек (POS) и сторонних продуктов настроены параметры по умолчанию.
Киберпреступники могут легко получить доступ к сетям и конфиденциальным данным, если организации не изменят эти заводские настройки, поскольку пароли и имена пользователей по умолчанию широко известны.
Помимо изменения настроек пароля, организации должны регулярно менять пароли всех устройств и программного обеспечения, для которых они требуются.
03. Защитите сохраненные данные держателей карт
Все сохраненные данные о держателях карт должны быть зашифрованы. Продавцы должны обеспечить защиту этих конфиденциальных данных с помощью криптографических ключей и алгоритмов и выполнять регулярное сканирование.
04. Шифрование передаваемых данных держателей карт
Обеспечение безопасности данных держателей карт является наиболее важным требованием в соответствии с PCI. Таким образом, продавцы также должны шифровать и защищать передачу данных держателей карт по общедоступным сетям.
05. Используйте антивирусное программное обеспечение
Наличие антивирусного программного обеспечения необходимо для защиты данных от вредоносных программ. Таким образом, организации должны использовать и часто обновлять свое антивирусное программное обеспечение на всех устройствах для обнаружения и устранения любых вредоносных программ.
06. Программное обеспечение и обслуживание системы
Все программное обеспечение и системы должны регулярно обновляться для устранения уязвимостей в системе безопасности. Имейте в виду, что некоторые программы, такие как базы данных, антивирусное программное обеспечение и брандмауэры, требуют более частых обновлений.
07. Ограничить доступ к данным
Только авторизованный персонал должен иметь доступ к данным держателей карт, когда это необходимо. Третьи лица и сотрудники не должны иметь доступа к конфиденциальной информации.
08. Уникальная идентификация для доступа пользователей
Каждому авторизованному пользователю, имеющему доступ к данным держателя карты, должен быть предоставлен уникальный набор имен пользователей и паролей. Учетные данные пользователя обеспечивают учет и сокращают время отклика.
09. Ограничьте физический доступ
Физический доступ также должен быть ограничен так же, как и цифровой доступ, для защиты конфиденциальных данных. Организации должны хранить данные держателей карт в физически безопасном месте и обеспечивать строгий контроль и авторизацию.
10- Отслеживание и мониторинг доступа к сети
Весь доступ к сети и трафик должны отслеживаться и контролироваться, когда речь идет о данных держателей карт и основных номерах счетов. Журналы доступа с данными о держателях карт должны вестись и постоянно проверяться.
11- Регулярная оценка систем безопасности
Следует проводить регулярные оценки системы безопасности и тесты на проникновение для выявления и исправления уязвимостей безопасности. Эта процедура обеспечивает определение текущего состояния систем безопасности и его улучшение соответственно.
12- Поддерживать политику кибербезопасности
Все требования PCI должны быть рассмотрены и задокументированы в политике кибербезопасности. Поддерживая политику кибербезопасности, организации могут обеспечить соответствие требованиям и безопасность своих сетей.
Последствия несоблюдения PCI DSS
Несоблюдение PCI DSS может повлечь за собой высокие штрафы и пени. В зависимости от серьезности и продолжительности нарушений органы PCI могут налагать штрафы на сумму от 5000 до 100 000 долларов в месяц.
Штрафы могут увеличиваться ежемесячно по мере увеличения продолжительности нарушения. Кроме того, после инцидентов утечки данных компании могут быть обязаны покрыть все расходы на повторную выдачу и восстановление.
Помимо этого, несоблюдение PCI может привести к дополнительным штрафам, таким как повышение комиссий за транзакции и потеря продавцов, осуществляющих платежи по кредитным картам, на некоторое время или навсегда. Соблюдение требований PCI жизненно важно для избежания штрафов и защиты конфиденциальных финансовых данных клиентов.
Последние слова
Финансовые данные клиентов должны быть постоянно защищены от кибератак.
Соблюдение стандарта безопасности данных индустрии платежных карт (PCI DSS) может помочь компаниям защитить наборы финансовых данных, которые обрабатываются, хранятся и передаются.
В эпоху, когда киберриски, штрафы и штрафы за соблюдение требований настолько высоки, каждая компания, подпадающая под действие PCI, должна соответствовать ее требованиям и стать совместимой с PCI.