Что такое соответствие PCI? Почему это необходимо для малого бизнеса

• Соответствие индустрии платежных карт (PCI) — это набор стандартов, которым должны следовать предприятия, если они хотят принимать кредитные или дебетовые карты.
• Существует 12 требований, которым должен следовать бизнес, чтобы считаться соответствующим требованиям.
• Соответствие PCI добавляет важные гарантии и может помочь бизнесу избежать дорогостоящих штрафов и потери бизнеса в результате нарушения.
• Эта статья предназначена для владельцев бизнеса, которые хотят принимать кредитные и дебетовые карты надлежащим образом.

Недавние нарушения в отношении крупных розничных продавцов привлекли внимание к правилам индустрии платежных карт (PCI). Однако не только крупные компании должны соблюдать эти правила, известные под общим названием Стандарт безопасности данных индустрии платежных карт (PCI DSS); они применяются к каждому бизнесу, который полагается на кредитные и дебетовые карты для транзакций. Даже если в вашем бизнесе работает всего несколько человек и вы проводите одну транзакцию по кредитной карте в месяц, ваша компания должна соответствовать стандарту PCI DSS.

Это легче сказать, чем сделать. Отчет Verizon о безопасности платежей за 2020 г. обнаружили, что только 27,9% компаний достигли полного соответствия в 2019 году, что на 8,8% меньше, чем годом ранее. Другими словами, компании идут неверным путем, когда дело доходит до соответствия стандарту PCI DSS.

«Это нехорошая тенденция, — сказал Сиске Ван Остен, старший менеджер глобальной разведки Verizon, в интервью изданию электронная неделя. «Мы знаем, что организации, которые не поддерживают соответствие стандарту PCI DSS, подвергаются взлому».

В этой статье будет объяснено, что такое соответствие PCI и что оно влечет за собой, а также даны ответы на наиболее часто задаваемые вопросы продавцов о соответствии PCI для малого бизнеса.

Что такое индустрия платежных карт?

Индустрия платежных карт включает в себя все компании, которые развертывают или используют кредитные и дебетовые карты. Это включает в себя использование в торговле и розничной торговле, банкоматах и ​​​​учреждениях, которые выпускают любые типы кредитных, дебетовых или предоплаченных карт для денежных транзакций. В контексте соответствия индустрия платежных карт часто ссылается на Совет по стандартам безопасности индустрии платежных карт (PCI SSC), организацию, которая устанавливает стандарты и правила индустрии платежных карт.

Примечание редактора: Ищете подходящую службу обработки кредитных карт для вашего бизнеса? Заполните приведенную ниже анкету, чтобы наши партнеры-поставщики связались с вами по поводу ваших потребностей.

Каждая компания, принимающая кредитные и дебетовые карты, обязана соблюдать стандарт PCI DSS, независимо от объема транзакций или размера бизнеса (хотя PCI SSC помогает малым предприятиям). Однако существует четыре уровня соответствия. Эти уровни определяют действия, которые организация должна предпринять, чтобы соответствовать требованиям; чем больше транзакций, тем больше действий необходимо. Это четыре уровня и их требования:

• 1-й уровень: Любой продавец, независимо от канала приема, который обрабатывает более 6 миллионов транзакций Visa в год, и любой продавец, которого Visa по своему усмотрению определяет, должен соответствовать требованиям продавца Уровня 1, чтобы свести к минимуму риск для системы Visa.
• Уровень 2: Любой продавец, независимо от канала приема, который обрабатывает от 1 до 6 миллионов транзакций Visa в год.
• Уровень 3: Любой продавец, который обрабатывает от 20 000 до 1 миллиона транзакций электронной коммерции Visa в год.
• Уровень 4: Любой продавец, который обрабатывает менее 20 000 транзакций электронной коммерции Visa в год, и все остальные продавцы, независимо от канала приема, которые обрабатывают до 1 миллиона транзакций Visa в год.

12 требований PCI DSS

PCI SSC обеспечивает список из 12 требований для соответствия стандарту PCI DSS:

1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт.
2. Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности.
3. Защитите сохраненные данные о держателях карт.
4. Шифруйте передачу данных держателей карт через открытые общедоступные сети.
5. Используйте и регулярно обновляйте антивирусное программное обеспечение или программы.
6. Разрабатывать и поддерживать безопасные системы и приложения.
7. Ограничьте доступ к данным о держателях карт по служебной необходимости.
8. Назначьте уникальный идентификатор каждому человеку, имеющему доступ к компьютеру.
9. Ограничить физический доступ к данным держателя карты.
10. Отслеживайте и контролируйте весь доступ к сетевым ресурсам и данным держателей карт.
11. Регулярно тестируйте системы и процессы безопасности.
12. Придерживайтесь политики, направленной на обеспечение информационной безопасности сотрудников и подрядчиков.

Почему соответствие PCI имеет значение

Многие громкие утечки данных произошли из-за кражи информации о кредитных и дебетовых картах в розничной торговле и сфере услуг, поэтому потребители хотят знать, что они ведут бизнес безопасно. Соответствие PCI не гарантирует, что утечка данных не произойдет, но добавляет меры безопасности.

Если окажется, что ваш бизнес не соответствует требованиям, вы можете столкнуться с комиссией в размере от 5000 до 100 000 долларов в месяц. Если несоблюдение требований не будет устранено, ваш бизнес может быть лишен услуг по обработке платежей.

Соответствие стандарту PCI DSS может помочь вашему бизнесу защитить данные потребителей и избежать крупных штрафов за несоблюдение требований.

Как оставаться совместимым с PCI

Соответствие PCI не подлежит обсуждению, если вы принимаете кредитные и дебетовые карты, но подготовка к аудиту PCI и обеспечение соответствия вашей компании стандартам соответствия кредитным картам может быть сложной задачей.

Джефф ВанСикель, старший консультант консалтинговой фирмы по соблюдению требований ИТ. СистемЭкспертыдал несколько советов по подготовке к оценке PCI и поддержанию ваших стандартов на безопасном уровне в любое время:

1. Определите все данные о бизнесе и клиентах. Сюда входят любые данные о держателях карт, их конфиденциальность и критичность. По словам ВанСикеля, правильное определение объема оценки, вероятно, является самой сложной и важной частью любой программы соответствия PCI. Слишком узкий охват может поставить под угрозу данные о держателях карт, в то время как чрезмерно широкий охват может привести к огромным и ненужным затратам и усилиям для программы соответствия требованиям PCI.
2. Понимание границ среды данных о держателях карт. Отслеживайте все входящие и исходящие данные. Любая система, которая подключается к среде данных о держателях карт, находится в рамках соответствия и, следовательно, должна соответствовать требованиям PCI. Среда данных держателей карт включает в себя все процессы, технологии и людей, которые хранят, обрабатывают или передают данные держателей карт клиентов или данные аутентификации, а также все подключенные системные компоненты и любые компоненты виртуализации, такие как серверы.

1. Установить оперативный контроль. Эта мера необходима для защиты конфиденциальности и целостности любых данных о держателях карт. Данные о держателях карт должны быть защищены везде, где они импортируются, обрабатываются, хранятся и передаются. Кроме того, по истечении срока службы его необходимо правильно утилизировать. «Резервные копии также должны сохранять конфиденциальность и целостность данных держателей карт», — сказал ВанСикель. «Кроме того, все носители должны быть надлежащим образом утилизированы, чтобы обеспечить постоянную конфиденциальность данных. Обязательно включите не только жесткие диски, используемые компьютерными системами, принадлежащими компании, но также арендованные системы и хранилище, встроенное в современные копировальные машины и принтеры».
2. Наличие плана реагирования на инциденты. При возникновении инцидента безопасности важно иметь план, чтобы вернуться к безопасным операциям как можно быстрее. В этом плане должны быть определены роли, обязанности, требования к коммуникации и стратегии контактов в случае компрометации данных, включая уведомление платежных брендов, юридических консультантов и связей с общественностью. «В идеале компании должны иметь сертифицированного судебно-медицинского эксперта, который может собирать доказательства и давать показания в качестве свидетеля-эксперта, если это необходимо», — сказал ВанСикель.
3. Объясните и соблюдайте процедуры безопасности. Вы никогда не можете быть уверены, что сотрудники понимают методы обеспечения безопасности и поведение, которые могут поставить под угрозу ваш бизнес. Вы должны убедиться, что все в компании, включая ИТ-специалистов и высшее руководство, ознакомлены с процедурами соответствия PCI.

Соответствие PCI включает в себя надлежащее отслеживание правильных данных и наличие плана реагирования на инциденты, включая процедуры безопасности, которым необходимо следовать в случае нарушения.

Часто задаваемые вопросы о соответствии PCI

Что такое соответствие PCI?

Соответствие PCI — или, более официально, соответствие стандарту безопасности данных индустрии платежных карт (PCI DSS) — это соблюдение набора стандартов, установленных Советом по стандартам безопасности данных индустрии платежных карт, коалицией, которую основные компании-эмитенты кредитных карт (Visa, Mastercard , American Express и Discover) и Японское кредитное бюро, созданное в 2006 году. Продавцы должны соблюдать эти стандарты независимо от того, сколько транзакций по кредитным картам они проводят. Те, кто не соблюдает правила, могут быть оштрафованы на большие суммы.

Какие данные подпадают под соответствие PCI?

Данные, подпадающие под Соответствие PCI включает в себя так называемые «данные о держателях карт».», который может включать следующую информацию:

• Номера счетов, также известные как первичные номера счетов (PAN), которые необходимо зашифровать.
• Конфиденциальные данные аутентификации, используемые для аутентификации держателей карт
• Отслеживаемые данные, содержащиеся в полосе или чипе
• PIN-код дебетовой карты
• CVV для кредитных и дебетовых карт

Как прием кредитных карт по телефону работает с PCI?

При приеме кредитных карт по телефону необходимо соблюдать следующий протокол:

• Убедитесь, что вы используете безопасную сеть для приема личных номеров и другой конфиденциальной информации.
• Убедитесь, что ваша телефонная система совместима с PCI.
• По возможности пользуйтесь стационарными телефонами, так как смартфоны могут представлять больший риск для безопасности.
• Если ваша компания записывает телефонные звонки, убедитесь, что в записи отредактирована информация о кредитной карте.
• Никогда не записывайте информацию о карте, передаваемую по телефону.
• Убедитесь, что все сотрудники обучены вашим процедурам соответствия PCI.

Какие штрафы предусмотрены за несоблюдение PCI?

Компании-эмитенты кредитных карт могут взимать плату в размере нескольких тысяч долларов в месяц и более, независимо от размера вашего бизнеса. Эти сборы могут быть разрушительными для малого бизнеса, что делает соблюдение требований обязательным. (Получите советы о том, как договориться о снижении комиссии по кредитной карте для вашей компании)

Вы также можете столкнуться с нефинансовыми штрафами. Например, эмитенты карт могут прекратить сотрудничество с вашим бизнесом, оставив вам меньше вариантов оплаты для обслуживания клиентов. Или вы можете столкнуться с кошмаром по связям с общественностью, поскольку все больше людей узнают о нарушении безопасности и нервничают, сообщая вашей компании свою конфиденциальную информацию. Вы также можете подвергнуться федеральному аудиту или судебному преследованию.

Есть ли сертификация PCI?

Ваш бизнес может получить сертификат PCI после комплексного аудита PCI DSS. Этот аудит проводит квалифицированный оценщик безопасности, и этот процесс может занять месяцы. Хотя сертификация PCI не требуется для того, чтобы ваш бизнес соответствовал требованиям PCI, вы можете пройти сертификацию PCI, чтобы завоевать доверие своих клиентов.

В тот момент, когда ваш клиент передает кредитную или дебетовую карту, вы берете на себя ответственность за сохранность данных, связанных с этой картой. Хотя вышеперечисленные шаги в первую очередь предназначены для подготовки вас к аудиту PCI, они также обеспечат подстраховку между оценками.

Дополнительный отчет Стеллы Моррисон. Некоторые интервью с источниками были проведены для предыдущей версии этой статьи.