PCI 合规性基础知识:您需要了解的内容

已发表: 2023-04-14

信用卡信息是网络犯罪分子最有价值的数据类型,因为这些数据集在黑市上价值数百万美元。

今天,各种规模的公司都会处理客户的信用卡和借记卡信息并接收信用卡付款。 每家处理、存储和传输财务数据的公司都处于恶意行为者的监视之下,面临着最高的网络攻击风险。

出于这些原因,主要的信用卡公司制定了 PCI 标准,为公司提供安全指南,以保护客户的财务数据。 在本文中,我们将研究 PCI 合规性的基础知识。

让我们从进一步解释 PCI DSS 合规性开始。

什么是 PCI DSS 合规性?

支付卡行业数据安全标准 (PCI DSS) 是一套技术和操作安全规范,用于保护信用卡持卡人的数据。

PCI 合规性由 Visa、Mastercard、American Express、Discover Financial Services 和 JCB Express 等主要信用卡公司创立。 PCI 寻求建立一个国际框架来保护客户的财务数据。

所有收集、存储和传输的公司都必须遵守 PCI DSS,并且有义务遵守安全准则和要求。

PCI DSS 有四个合规级别 (1、2、3、4)。 公司的 PCI 合规级别是根据一年内的交易量确定的。 属于第 4 级的公司每年处理的交易少于 20,000 笔。

级别 3 适用于每年处理 20,000-100 万笔交易的商家。 2 级适用于每年处理 1-6 百万笔交易的公司。 每年处理超过 6 笔交易的公司属于第 1 级。

随着级别从 4 到 1,PCI 要求变得更加严格。但是,无论合规级别如何,所有公司都有义务在一定程度上满足所有 PCI 要求。

安全持卡人数据处理框架根据 PCI 合规性分为六类。 PCI 要求类别包括持卡人数据保护、漏洞管理计划、网络监控、安全网络和系统管理、访问控制限制和信息安全策略。

这些类别的内容共构建了十二个需求步骤。 PCI 要求确保持卡人数据处理的安全性。 这是 PCI 合规性的清单。

PCI 要求

1- 安装和维护防火墙以保护持卡人数据

防火墙是网络的第一道防御机制,正确配置和维护防火墙对于保证持卡人数据安全至关重要。 防火墙是保护敏感数据免受网络威胁的高效工具,因为它们会限制网络流量并阻止未经批准的访问。 这就是为什么防火墙的建立是第一个要求。

02. 有适当的密码保护

大多数网络服务、销售点 (POS) 系统和第三方产品都配置有默认设置。

如果组织不重新配置这些出厂设置,网络犯罪分子可以轻松访问网络和敏感数据,因为默认密码和用户名广为人知。

除了更改密码设置外,组织还必须定期更改所有需要密码的设备和软件的密码。

03. 保护存储的持卡人数据

所有存储的持卡人数据都必须加密。 商家必须确保通过加密密钥和算法保护这些敏感数据,并执行定期扫描。

04.加密持卡人的传输数据

维护持卡人数据的安全是 PCI 合规性中最重要的要求。 因此,商家还必须加密和保护持卡人在公共网络上的数据传输。

05.使用杀毒软件

拥有防病毒软件是针对恶意软件保护数据的必要条件。 因此,组织必须在所有设备上使用并经常更新其防病毒软件,以检测和消除任何恶意软件。

06. 软件及系统维护

所有软件和系统都应定期更新以修补安全漏洞。 请记住,某些软件(例如数据库、防病毒软件和防火墙)需要更频繁地更新。

07.限制数据访问

只有授权人员才能在需要时访问持卡人的数据。 第三方和工作人员不应访问敏感信息。

08. 用户接入唯一标识

必须向有权访问持卡人数据的每个授权用户提供一组唯一的用户名和密码。 用户访问凭据可确保问责制并缩短响应时间。

09.限制物理访问

物理访问也必须像数字访问一样受到限制,以保护敏感数据。 组织必须将持卡人的数据存储在物理上安全的位置,并执行严格的控制和授权。

10- 跟踪和监控网络访问

当涉及持卡人数据和主帐号时,必须跟踪和监控所有网络访问和流量。 必须维护和持续审查涉及持卡人数据的访问日志。

11- 定期安全系统评估

应定期进行安全系统评估和渗透测试,以确定和修补安全漏洞。 此过程确保确定安全系统的当前状态并相应地对其进行改进。

12- 维护网络安全政策

所有 PCI 要求都必须通过网络安全政策加以解决和记录。 通过维护网络安全策略,组织可以确保其网络的合规性和安全性。

不遵守 PCI DSS 的后果

不遵守 PCI DSS 会导致高额罚款和处罚。 根据违规的严重程度和持续时间,PCI 当局可以处以每月 5000 至 100,000 美元的罚款。

随着违规持续时间的延长,罚款可能会按月增加。 此外,在发生数据泄露事件后,公司可能有义务承担所有重新发布和补救的费用。

除此之外,不遵守 PCI 可能会导致额外的处罚,例如交易费用上涨,以及一段时间或永​​久失去信用卡支付商户。 满足 PCI 要求对于避免处罚和保护客户的机密财务数据至关重要。

最后的话

必须始终保护客户的财务数据免受网络攻击。

遵守支付卡行业数据安全标准 (PCI DSS) 可以帮助公司保护处理、存储和传输的金融数据集。

在网络风险、合规罚款和处罚如此之高的时代,每个受 PCI 约束的公司都应该满足其要求并成为 PCI 合规者。