Оглавление
Что такое PCI DSS?
PCI DSS - это стандарты безопасности данных индустрии платежных карт. Они представляют собой набор общих практик, регулируемых крупными компаниями, выпускающими кредитные карты, которые предназначены для обеспечения безопасной передачи, хранения и обработки информации о держателях карт. Они устанавливают технические и эксплуатационные требования для любой организации, которая принимает или обрабатывает платежные транзакции, а также производителей и разработчиков, участвующих в производстве устройств или приложений, которые используются в этих транзакциях.
Нужно ли мне беспокоиться о требованиях PCI?
Если вы когда-либо изучали PCI, вы знаете, как сложно разобраться в объеме требований PCI DSS. Однако относительно легко понять, что вам нужно делать. Проще говоря, соблюдение требований PCI не продиктовано объемом транзакций; Если вы принимаете платежи по карте или финансовая информация вводится, хранится или передается через ваш сайт, соблюдение требований является обязательным.
С другой стороны, вам не нужно беспокоиться о соблюдении требований PCI DSS, если ваш сайт никогда не соприкасается с платежными данными в какой-либо момент (т. Е. Ваши клиенты направляются к вашему поставщику платежных услуг или платежному шлюзу).
Также важно отметить, что конкретные требования к оценке PCI, которым вы должны соответствовать, зависят от размера вашего бизнеса:
Почему так важно соблюдение требований PCI?
Безопасность данных не подлежит обсуждению для компаний, занимающихся электронной коммерцией. Если вы просите клиентов указать свою финансовую информацию на вашем веб-сайте, они должны доверять вам. Утечки данных могут разрушить это доверие и создать реальную угрозу дальнейшему успеху вашего бизнеса. За последние несколько лет количество утечек данных в Соединенном Королевстве значительно выросло. Согласно правительственному исследованию нарушений кибербезопасности за 2019 год, почти треть (32%) предприятий и две из 10 (22%) благотворительных организаций испытали утечку данных или атаку. Это не теоретическая проблема - это происходит с такими же компаниями, как ваша, каждый день, поэтому соблюдение требований PCI DSS чрезвычайно важно.
Что произойдет, если вы не соблюдаете правила?
Хотя PCI DSS не является законом, он обеспечивается контрактами между продавцами, банками и платежными брендами. Несоблюдение требований PCI по оценке может привести к ряду потенциальных последствий, в том числе:
Контрольный список соответствия PCI
Существует 12 требований PCI DSS, сгруппированных по шести различным задачам контроля. Чтобы справиться с безопасностью данных, убедитесь, что вы покрыты каждым элементом этого контрольного списка соответствия PCI DSS:
Создавайте и поддерживайте безопасную сеть и системы
- Что такое PCI DSS?
- Нужно ли мне беспокоиться о требованиях PCI?
- Почему так важно соблюдение требований PCI?
- Что произойдет, если вы не соблюдаете правила?
- Контрольный список соответствия PCI
Что такое PCI DSS?
PCI DSS - это стандарты безопасности данных индустрии платежных карт. Они представляют собой набор общих практик, регулируемых крупными компаниями, выпускающими кредитные карты, которые предназначены для обеспечения безопасной передачи, хранения и обработки информации о держателях карт. Они устанавливают технические и эксплуатационные требования для любой организации, которая принимает или обрабатывает платежные транзакции, а также производителей и разработчиков, участвующих в производстве устройств или приложений, которые используются в этих транзакциях.
Нужно ли мне беспокоиться о требованиях PCI?
Если вы когда-либо изучали PCI, вы знаете, как сложно разобраться в объеме требований PCI DSS. Однако относительно легко понять, что вам нужно делать. Проще говоря, соблюдение требований PCI не продиктовано объемом транзакций; Если вы принимаете платежи по карте или финансовая информация вводится, хранится или передается через ваш сайт, соблюдение требований является обязательным.
С другой стороны, вам не нужно беспокоиться о соблюдении требований PCI DSS, если ваш сайт никогда не соприкасается с платежными данными в какой-либо момент (т. Е. Ваши клиенты направляются к вашему поставщику платежных услуг или платежному шлюзу).
Также важно отметить, что конкретные требования к оценке PCI, которым вы должны соответствовать, зависят от размера вашего бизнеса:
- Уровень 1-6 миллионов + транзакций в год
- Уровень 2 - от 1 до 6 миллионов транзакций в год.
- Уровень 3 - от 20000 до 1 миллиона транзакций в год
- Уровень 4 - Менее 20000 транзакций в год.
Почему так важно соблюдение требований PCI?
Безопасность данных не подлежит обсуждению для компаний, занимающихся электронной коммерцией. Если вы просите клиентов указать свою финансовую информацию на вашем веб-сайте, они должны доверять вам. Утечки данных могут разрушить это доверие и создать реальную угрозу дальнейшему успеху вашего бизнеса. За последние несколько лет количество утечек данных в Соединенном Королевстве значительно выросло. Согласно правительственному исследованию нарушений кибербезопасности за 2019 год, почти треть (32%) предприятий и две из 10 (22%) благотворительных организаций испытали утечку данных или атаку. Это не теоретическая проблема - это происходит с такими же компаниями, как ваша, каждый день, поэтому соблюдение требований PCI DSS чрезвычайно важно.
Что произойдет, если вы не соблюдаете правила?
Хотя PCI DSS не является законом, он обеспечивается контрактами между продавцами, банками и платежными брендами. Несоблюдение требований PCI по оценке может привести к ряду потенциальных последствий, в том числе:
- Штрафы - после взлома веб-сайты, не соответствующие требованиям, могут быть вынуждены уплатить крупные штрафы регулирующими органами.
- Приостановление действия кредитных карт. Если вы столкнулись с утечкой данных, регуляторы PCI могут лишить вас возможности принимать платежи по кредитным картам.
- Обязательная судебно-медицинская экспертиза - вам может потребоваться пройти дорогостоящую и трудоемкую судебно-медицинскую экспертизу.
- Регламент GDPR - в соответствии с GDPR несообщение о нарушении личной информации в течение 72 часов может привести к большим штрафам.
- Ответственность за обвинения в мошенничестве . Возможно, вы будете привлечены к ответственности в судебном процессе о мошенничестве, если конфиденциальные данные вашего клиента были украдены.
- Расходы на замену кредитной карты - расходы на перевыпуск кредитных карт (включая доставку, связь и активацию) могут быть переложены на вас эмитентами карт.
- Уведомление и кредитный мониторинг - от вас может потребоваться проинформировать всех клиентов о нарушении безопасности, а также предоставить затронутым клиентам услуги кредитного мониторинга.
- Повторная оценка на соответствие PCI - Наконец, вам может потребоваться пройти полную повторную оценку PSI, чтобы восстановить способность принимать кредитные карты.
Контрольный список соответствия PCI
Существует 12 требований PCI DSS, сгруппированных по шести различным задачам контроля. Чтобы справиться с безопасностью данных, убедитесь, что вы покрыты каждым элементом этого контрольного списка соответствия PCI DSS:
Создавайте и поддерживайте безопасную сеть и системы
- Установите и поддерживайте конфигурацию брандмауэра для защиты данных о держателях карт.
- Не используйте заводские настройки по умолчанию для системных паролей и других параметров безопасности.
- Защитите сохраненные данные о держателях карт
- Шифрование передачи данных о держателях карт в открытых общедоступных сетях
- Защитите все системы от вредоносных программ и регулярно обновляйте антивирусное программное обеспечение или программы
- Разрабатывать и поддерживать безопасные системы и приложения
- Ограничить доступ к данным о держателях карт по служебной необходимости
- Идентифицировать и подтверждать доступ к системным компонентам
- Ограничить физический доступ к данным держателей карт
- Отслеживайте и контролируйте любой доступ к сетевым ресурсам и данным держателей карт
- Регулярно тестируйте системы и процессы безопасности
- Поддерживать политику, направленную на обеспечение информационной безопасности всего персонала.
