Co to jest zgodność z PCI
Zgodność branży kart płatniczych (PCI) odnosi się do standardów technicznych i operacyjnych, które firmy muszą przestrzegać, aby zapewnić ochronę danych kart kredytowych dostarczonych przez posiadaczy kart. Zgodność z PCI jest egzekwowana przez Radę Standardów PCI, a wszystkie firmy, które przechowują, przetwarzają lub przesyłają dane kart kredytowych w formie elektronicznej, muszą przestrzegać wytycznych dotyczących zgodności.
Zrozumienie zgodności PCI
Standardy zgodności branży kart płatniczych (PCI) wymagają od sprzedawców i innych firm bezpiecznego przetwarzania informacji o kartach kredytowych, co pomaga zmniejszyć prawdopodobieństwo kradzieży poufnych danych finansowych przez posiadaczy kart. Jeśli sprzedawcy nie będą odpowiednio przetwarzać informacji o karcie kredytowej, dane karty mogą zostać zhakowane i wykorzystane do dokonania nieuczciwych zakupów. Ponadto poufne informacje o posiadaczu karty mogą zostać wykorzystane do oszustwa tożsamości.
Bycie zgodnym z PCI oznacza konsekwentne stosowanie się do wytycznych określonych przez firmy wydające karty kredytowe. Wytyczne przedstawiają szereg kroków, które procesory kart kredytowych muszą stale wykonywać. Firmy są najpierw proszone o ocenę infrastruktury informatycznej, procesów biznesowych i procedur obsługi kart kredytowych, aby pomóc zidentyfikować potencjalne zagrożenia, które mogą zagrozić danym karty kredytowej. Firmy są następnie proszone o usunięcie wszelkich luk w zabezpieczeniach i unikanie przechowywania poufnych informacji posiadaczy kart, takich jak numery ubezpieczenia społecznego i prawa jazdy, o ile to możliwe. Firmy są zobowiązane do dostarczania raportów zgodności dla marek kart, z którymi współpracują, takich jak American Express i VISA.
Wszystkie firmy przetwarzające dane karty kredytowej są zobowiązane do zachowania zgodności z PCI, niezależnie od ich wielkości i liczby przetwarzanych transakcji kartą kredytową. Wszystkie firmy są podzielone na poziomy akceptantów na podstawie liczby transakcji przetwarzanych w określonym okresie. Zgodność z PCI reguluje Rada ds. Standardów Bezpieczeństwa Branży Kart Płatniczych, organizacja utworzona w 2006 r. W celu zarządzania bezpieczeństwem kart kredytowych. Wymagania, znane jako Standardy bezpieczeństwa danych kart płatniczych (PCI DSS), są zarządzane przez główne firmy obsługujące karty kredytowe, w tym między innymi VISA, American Express, Discover i MasterCard.
Zgodność z PCI i naruszenia danych
Można uniknąć wielu z największych w historii naruszeń danych, jeśli zainteresowani handlowcy lub instytucje finansowe są zgodne z PCI. Oto niektóre kluczowe informacje z raportu bezpieczeństwa płatności Verizon 2017, dogłębnego badania zgodności PCI DSS:
- Organizacje detaliczne wykazały najniższą trwałość zgodności PCI we wszystkich kluczowych branżach. Branża usług IT osiągnęła najwyższą pełną zgodność ze wszystkich badanych grup branżowych. 77 procent firm ocenionych po naruszeniu danych nie spełniało pierwszego wymagania PCI: instalacja i utrzymywać konfigurację zapory ogniowej. Badanie pokazuje „możliwą do udowodnienia” korelację między firmami, które są na bieżąco ze standardami PCI, a firmami, które skutecznie broniły się przed zagrożeniami cybernetycznymi. Liczba firm, które są w 100% zgodne z PCI to rośnie znacząco z roku na rok.
