PCI съответствие
Съответствието с индустрията на разплащателни карти (PCI) се отнася до техническите и оперативните стандарти, които предприятията трябва да спазват, за да гарантират, че данните за кредитни карти, предоставени от картодържателите, са защитени. Съответствието с PCI се налага от Съвета за стандарти на PCI и всички предприятия, които съхраняват, обработват или предават данни по кредитни карти по електронен път, са длъжни да следват указанията за съответствие.
BREAKING DOWN PCI Compliance
Стандартите за съответствие на индустрията за плащане с карти (PCI) изискват търговците и други предприятия да обработват информацията за кредитните карти по безопасен начин, което помага да се намали вероятността притежателите на карти да бъдат откраднати чувствителни финансови данни. Ако търговците не обработват правилно информацията за кредитната карта, информацията за картата може да бъде хакната и използвана за извършване на измамни покупки. Освен това чувствителната информация за притежателя на картата може да бъде използвана при измама с идентичност.
Да бъдеш съвместим с PCI означава последователно да се придържаш към набор от насоки, изложени от компаниите, които издават кредитни карти. Насоките очертават серия от стъпки, които процесорите на кредитни карти трябва непрекъснато да следват. Първо от компаниите се иска да оценят своята инфраструктура за информационни технологии, бизнес процеси и процедури за обработка на кредитни карти, за да помогнат да идентифицират потенциални заплахи, които могат да компрометират данните на кредитната карта. След това се иска от компаниите да се справят с всички пропуски в сигурността и да избягват съхраняването на чувствителна информация за притежателите на карта, като социално осигуряване и номера на шофьорската книжка, когато е възможно. От компаниите се изисква да предоставят отчети за съответствие на марките на карти, с които работят, като American Express и VISA.
Всички компании, които обработват информация за кредитни карти, са длъжни да поддържат PCI съответствие, независимо от техния размер или броя транзакции с кредитни карти, които обработват. Всички компании са разделени на търговски нива въз основа на броя на транзакциите, които се обработват през определен период. Съответствието с PCI се ръководи от Съвета за стандарти за сигурност на индустрията на платежни карти, организация, създадена през 2006 г. с цел управление на сигурността на кредитните карти. Изискванията, известни като Стандарти за сигурност на данните за индустрията на разплащателни карти (PCI DSS), се управляват от големите компании за кредитни карти, включително VISA, American Express, Discover и MasterCard, между другото.
PCI съответствие и нарушения на данните
Много от най-големите нарушения на данните в историята могат да бъдат избегнати, ако засегнатите търговци или финансови институции са съвместими с PCI. Ето някои основни извлечения от отчета за сигурност на плащанията Verizon 2017, задълбочено проучване на съответствие на PCI DSS:
- Организациите на дребно демонстрираха най-ниската устойчивост на съответствие на PCI във всички ключови индустрии.
- Индустрията на ИТ услугите постигна най-високото съответствие на всички ключови индустриални групи.
- 77 процента от компаниите, оценени след нарушение на данните, не отговаряха на изискването PCI номер едно: инсталирайте и поддържайте конфигурация на защитната стена.
- Изследването показва "демонстративна" връзка между бизнеса, който е актуален за PCI стандартите, и бизнеса, който успешно се защити от кибер заплахи.
- Броят на предприятията, които са на 100 процента съвместими с PCI, нараства значително на годишна база.