От чего зависит наказание за несоблюдение требований PCI DSS

Обновлено: 21.11.2024

Каждый раз, когда клиент совершает платеж с помощью кредитной или дебетовой карты по телефону, через Интернет или лично, вступает в действие Стандарт безопасности данных индустрии платежных карт (PCI DSS). Стандарт PCI DSS был разработан Советом по стандартам безопасности индустрии платежных карт (PCI SSC) и не исходит от какого-либо государственного органа. Это набор из 12 требований для обеспечения безопасности платежных операций и защиты держателей карт от неправомерного использования данных их платежных карт. Несоблюдение требований может означать значительные штрафы и потерю привилегии приема платежных карт.

В этом посте мы рассмотрим стандарт PCI DSS, почему он так важен, а также последствия его несоблюдения.

Кто должен соответствовать стандарту PCI DSS?

Соответствие стандарту PCI DSS распространяется на любую организацию, которая хранит, обрабатывает или передает данные о держателях карт. Несмотря на то, что PCI SSC определяет несколько уровней продавцов и поставщиков услуг, требования остаются одинаковыми для всех продавцов и поставщиков услуг в любой отрасли.

Большинство экспертов, заботящихся о безопасности, согласны с тем, что продавцы, которые не соблюдают требования PCI DSS, граничат с небрежностью, поскольку большинство требований можно удовлетворить с помощью передовых методов обеспечения безопасности.

Например, PCI DSS требует от продавцов:

● «Используйте надежную криптографию и протоколы безопасности для защиты конфиденциальных данных держателей карт во время передачи по открытым общедоступным сетям»
● «Разверните антивирусное программное обеспечение на всех системах, которые обычно подвержены вредоносному ПО»
● « Ограничьте доступ к системным компонентам и данным держателей карт только тем лицам, чья работа требует такого доступа»

Загрузить сейчас: Контрольный список соответствия стандарту PCI DSS для центров обработки вызовов и контакт-центров " width="" />

Как демонстрируется и проверяется PCI DSS

PCS SSC не наказывает продавцов напрямую. На самом деле это пять брендов платежных карт — Visa, MasterCard, American Express, JCB International и Discover — налагают штрафы за несоблюдение стандартов соответствия PCI. Именно банк-эквайер несет ответственность за текущую проверку соответствия PCI DSS обслуживаемых им продавцов. Продавец и банк-эквайер могут быть оштрафованы брендами платежных карт. Банки несут ответственность за постоянное соблюдение требований PCI DSS, поэтому они решают, как проверить соблюдение продавцом требований и как наказать за несоблюдение.

Продавцы должны продемонстрировать соответствие PCI DSS своему банку-эквайеру одним из двух основных способов (определяемых банком-эквайером):

● Самостоятельно заполнив анкету для самооценки, также называемую SAQ. Доступно несколько SAQ. Для установления мерчант должен определить свой уровень, который соответствует общему годовому объему транзакций по платежным картам в бизнесе, а также способ проведения этих транзакций (лично или онлайн)
● Путем прохождения полного Отчета о соответствии ( ROC) сертифицированным сторонним экспертом по безопасности, известным как квалифицированный оценщик безопасности (фактически аудит третьей стороной)

Существуют особые требования к отчетности в зависимости от уровня продавца. Для продавцов уровня 1 требуется оценка на месте квалифицированным оценщиком безопасности (QSA), а для продавцов уровней 2–4 требуется самооценка с помощью анкет самооценки (SAQ).

У обеих процедур отчетности есть свои плюсы и минусы. Самый большой недостаток самоотчетности заключается в том, что она оставляет место для критических ошибок. Это включает даже неправильное толкование правил или покупку технологий, которые не решают конкретных проблем соответствия. С другой стороны, аудит может требовать больше ресурсов и быть более дорогостоящим, но он также дает больше уверенности в том, что соответствие соблюдается.

После утечки данных: штрафы и санкции

В случае утечки данных бренды карт будут дополнительно проверять уровень соответствия продавцов PCI DSS. Сначала они попросят банк-эквайер предоставить записи о том, как они отслеживали соответствие PCI DSS. После того, как они оценят соблюдение банком требований PCI DSS и установят, соблюдал ли продавец требования во время нарушения, они распределят штрафы и пени. Эти штрафы могут варьироваться от 5 000 до 100 000 долларов США в месяц — в зависимости от размера бизнеса продавца и степени несоблюдения — и любые штрафы, которые несет банк, могут быть переданы продавцу в виде высоких комиссий за транзакции или платы за обслуживание. Также могут быть дополнительные штрафы за повторные нарушения, в зависимости от банка-эквайера продавца. Эти штрафы могут пересматриваться ежемесячно, увеличиваясь со временем, до тех пор, пока продавец не будет полностью соблюдать требования. Если продавец по-прежнему не выполняет требования, его право принимать кредитные карты может быть в конечном итоге аннулировано.

Следует отметить, что затраты и время, связанные с восстановлением после утечки данных, намного превышают затраты на обеспечение соответствия стандарту PCI DSS и его поддержание. Согласно исследованию стоимости утечки данных, проведенному Ponemon в 2018 году, стоимость утечки данных, которая приводит к потере менее 100 000 записей, составляет 3,86 миллиона долларов, что на 6,4 процента больше, чем в 2017 году. Стоимость «мега-взлома» (1 миллион — 50 млн потерянных записей) стоит от 40 до 350 млн долларов.

Важность соответствия стандарту PCI DSS и способы его упрощения

По мере того, как количество цифровых транзакций растет с каждым днем, растет и количество случаев мошенничества. Риск того, что продавцы пострадают от утечки данных, никогда не был выше, а последствия могут быть далеко идущими, приводя к денежным штрафам и часто к непоправимому ущербу для репутации бренда. Хотя соответствие стандарту PCI DSS не обеспечивает защиту от утечки данных, выполнение шагов, изложенных в стандарте, может значительно снизить риск такой утечки. Не говоря уже о том, что несоблюдение требований может привести к штрафам со стороны основных поставщиков кредитных карт.

Руководство по соблюдению требований PCI DSS обеспечивает основу для ограничения риска финансовых потерь в результате мошенничества и других преступных действий. Но, как мы всегда повторяем, любое лицо, обрабатывающее информацию о платежных картах, обязано как минимум соответствовать этим стандартам соответствия, а также разрабатывать свои собственные системы и протоколы для обеспечения безопасности платежных карт, конфиденциальности и других шагов для снижения рисков и мошенничество.

В контакт-центре обеспечение соблюдения правил безопасности данных еще более важно, поскольку он служит центральным узлом, через который проходит большое количество взаимодействий с клиентами и платежей. Обеспечение соответствия требованиям и безопасности данных клиентов может быть непростой задачей, но сокращение масштабов соответствия (уменьшение количества систем и инфраструктуры, контактирующих с данными держателей карт) с помощью технологии двухтонального многочастотного (DTMF) маскирования может быть эффективным способом сократить количество применимых средств контроля PCI DSS, которые необходимо внедрить. Самый эффективный способ защитить данные клиентов, соответствовать стандарту PCI DSS и свести к минимуму текущие расходы на обеспечение безопасности вашей инфраструктуры — это в первую очередь предотвратить попадание конфиденциальной платежной информации в среду вашего центра обработки вызовов.

Для получения дополнительной информации о том, как Semafone может удалить конфиденциальные данные из вашей бизнес-инфраструктуры и значительно снизить затраты на соответствие требованиям PCI DSS и риски, связанные с мошенничеством, посетите нашу страницу продукта Cardprotect.

Соответствие стандарту PCI-DSS может быть трудным и трудоемким без правильного руководства или помощи, предоставленной вам и вашему бизнесу. Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это набор стандартов безопасности, которые помогают обезопасить вас и ваш бизнес от взломов в системе, которые могут быть дорогостоящими. Соответствие стандарту PCI не только обеспечивает душевное спокойствие, но и делает ваш бизнес сильнее и безопаснее. Попытка самостоятельно выполнить сложный процесс может в некоторых случаях направить бизнес по пути несоответствия требованиям PCI. Это подвергает вашу компанию и клиентов множеству рисков, как продемонстрирует этот блог. Несоблюдение может привести к различным последствиям, таким как ежемесячные штрафы, утечка данных, судебные иски, ущерб репутации и даже потеря дохода.

Несоответствие PCI: штрафы и негативные последствия

Несоблюдение требований PCI может привести к штрафам в размере от 5000 до 100 000 долларов США в месяц со стороны компаний-эмитентов кредитных карт (Visa, MasterCard, Discover, AMEX). Штрафы зависят от объема клиентов и транзакций; эти тома могут помочь определить, на каком уровне соответствия стандарту PCI DSS должна находиться компания.

Пример. Компания уровня 1, не выполняющая требования PCI DSS более 7 месяцев, может быть оштрафована на сумму до 100 000 долларов США в месяц.

    • Согласно отчету Ponemon Institute "Cost of a Data Breach" за 2019 год, средняя стоимость нарушения составляет 150 долларов США за запись.
    • Стоимость замены или выпуска карты: от 3 до 10 долларов США за карту;
    • Увеличение ставок, взимаемых банками и/или процессорами.
    • Прекращение торговых отношений с брендами кредитных карт;
    • Иск клиентов, чья информация была взломана;
    • Расходы на безопасность, связанные с обязательным кредитным мониторингом для клиентов, чьи данные были скомпрометированы, устранением кражи личных данных и т. д.;
    • Расходы на судебно-медицинскую экспертизу для определения причин утечки данных.

    Обычным исходом могут стать судебные иски против вашей компании. В 2007 году компании TJX (наиболее известной как владелец Marshalls и T.J. Maxx) пришлось заплатить 40,9 миллиона долларов за утечку данных, которая поставила под угрозу около 100 миллионов банковских карт. В 2014 году 1.Очередная утечка данных затронула 1 миллион клиентов Neiman Marcus.

    Подвержение риску данных банковских карт клиентов может привести к необратимому ущербу для репутации компании; это в дополнение к любым повышенным расходам, которые может понести организация. Как только ваша безопасность окажется под угрозой, вашим клиентам будет очень трудно снова начать доверять вам.

    Очевидно, что для продавцов жизненно важно поддерживать соответствие требованиям PCI и избегать сборов и расходов, связанных с несоблюдением требований. Каждая компания, занимающаяся обработкой кредитных карт и платежными решениями, может устанавливать свои собственные ставки и сборы, поэтому затраты на поддержание соответствия PCI будут варьироваться в зависимости от ваших текущих решений по обработке платежей и поставщика. Вы можете прочитать больше обо всех расходах, связанных с соответствием требованиям PCI, в нашем предыдущем блоге здесь.

    Существует много сложностей в подготовке и поддержании соответствия требованиям PCI. Средний торговец не должен пытаться делать все это в одиночку. Наша команда REPAY поможет вам разработать план для вашего бизнеса, чтобы поддерживать соответствие требованиям PCI сегодня и каждый день. Узнайте, как добиться соответствия требованиям PCI, и загрузите наше бесплатное Руководство для продавцов по соответствию PCI.

    В этом руководстве мы рассмотрим следующие темы соответствия PCI:

    • Что такое PCI?
    • Каковы санкции за несоблюдение PCI?
    • Как в любое время добиться соответствия требованиям PCI с помощью этих 10 шагов
    • Контрольный список соответствия PCI
    • Получение справки
    • Дальнейшие шаги

    Наша прозрачная и справедливая политика в отношении соответствия требованиям PCI позволяет нашим продавцам достичь статуса соответствия требованиям PCI как можно быстрее и с минимальными затратами. Свяжитесь с REPAY сегодня и узнайте, как мы можем помочь вашей компании с соблюдением требований PCI и упростить обработку платежей по вашей кредитной карте.

    Выпущенный впервые в 2006 году Стандарт безопасности данных индустрии платежных карт (также известный как PCI-DSS) был создан некоторыми из крупнейших в мире брендов платежных карт с целью установления стандарта информационной безопасности.< /p>

    Основная цель заключалась в усилении контроля над обработкой данных держателей карт, повышении безопасности их обработки и сокращении случаев мошенничества с онлайн-платежами для защиты как компаний, так и клиентов.

    Это означает, что компании, не соблюдающие PCI, сталкиваются с серьезными последствиями, начиная от штрафов со стороны финансовых организаций и заканчивая судебными исками и испорченной репутацией.

    В этой статье мы обсудим некоторые из наиболее серьезных из них, а также то, что вы можете сделать, чтобы предотвратить их, чтобы обеспечить полную безопасность для вас и ваших клиентов.

    Но прежде чем мы перейдем непосредственно к негативным последствиям несоблюдения PCI, давайте ответим на несколько важных вопросов:

    Кому необходимо соответствовать стандарту PCI-DSS?

    Каждая организация, которая хранит, обрабатывает или передает данные о держателях карт, должна соответствовать стандарту PCI-DSS. Например, если продавец электронной коммерции принимает платежи на своем веб-сайте и сохраняет эти данные для будущих покупок, он обязан соблюдать стандарт PCI.

    Другими словами, поскольку стандарт PCI-DSS необходим для обеспечения безопасности транзакций и защиты от кражи личных данных, практически все компании, принимающие платежи в Интернете, должны соответствовать требованиям.

    Каковы требования PCI-DSS?

    Всего существует 12 требований PCI-DSS, которые вращаются вокруг 6 основных целей: создание и обслуживание безопасной сети, защита данных держателей карт, поддержка программы управления уязвимостями, внедрение строгих мер контроля доступа, регулярный мониторинг и тестирование сетей, и поддерживать Политику информационной безопасности.

    Стандарт PCI , созданный компаниями American Express, Discover, JCB International, Mastercard и VISA Inc., описывает все технические и операционные компоненты системы следующим образом:

    Создайте и поддерживайте безопасную сеть
    1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт
    2. Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности
    Защита данных держателей карт
    3. Защитите сохраненные данные держателей карт
    4. Шифровать передачу данных о держателях карт через открытые общедоступные сети
    Поддерживать программу управления уязвимостями
    5. Используйте и регулярно обновляйте антивирусное программное обеспечение или программы
    6. Разрабатывайте и обслуживайте безопасные системы и приложения
    Внедрить строгие меры контроля доступа
    7. Ограничение доступа к данным о держателях карт по служебной необходимости
    8. Назначьте уникальный идентификатор каждому пользователю, имеющему доступ к компьютеру
    9. Ограничить физический доступ к данным держателей карт
    Регулярный мониторинг и тестирование сетей
    10. Отслеживайте и отслеживайте любой доступ к сетевым ресурсам и данным держателей карт
    11. Регулярно тестируйте системы и процессы безопасности
    Поддерживать политику информационной безопасности
    12.Придерживайтесь политики, направленной на обеспечение информационной безопасности сотрудников и подрядчиков

    А теперь давайте посмотрим на негативные последствия несоблюдения PCI:

    1. Ежемесячные штрафы финансовых организаций

    Одним из негативных последствий несоблюдения требований PCI являются штрафы со стороны платежных систем. Штрафы могут варьироваться от 5 000 до 100 000 долларов США в месяц в зависимости от размера организации, а также масштаба и серьезности нарушения.

    Для сравнения: компании, обрабатывающие большие объемы клиентов и транзакций, обычно могут рассчитывать на более высокие штрафы, чем малые предприятия. Еще один фактор, который необходимо учитывать, — это уровень PCI-DSS, которого должна придерживаться компания, а также период времени, в течение которого она не соответствовала требованиям.

    Например, для компаний уровня 1, которые не выполняли требования в течение более 7 месяцев, штрафы могут достигать 100 000 долларов США в месяц за постоянное несоблюдение PCI.

    Уровни PCI относятся к количеству платежных транзакций, которые продавцы обрабатывают ежегодно, и их можно суммировать с помощью этой таблицы:

    Уровень 1
    Более 6 миллионов транзакций по картам в год.
    Уровень 2
    От 1 до 6 миллионов транзакций по картам в год.
    Уровень 3
    От 20 000 до 1 миллиона транзакций по картам в год.
    Уровень 4
    Менее 20 000 транзакций по картам в год.

    Кроме того, важно помнить, что все штрафы, которые понесут банки или платежные системы в результате несоблюдения PCI, будут переданы виновной в этом компании. Это может негативно сказаться на отношениях между финансовой организацией и компанией.

    По этой причине крайне важно использовать платежный шлюз уровня 1, который полностью соответствует стандарту PCI-DSS, не только для обеспечения безопасности ваших транзакций, но и для поддержания хороших отношений с клиентами и финансовыми организациями.

    2. Последствия нарушения

    Последствия нарушения — еще один возможный негативный результат несоблюдения PCI. Если компания пострадала от взлома, в результате которого была поставлена ​​под угрозу информация о карте любого держателя карты, ее могут ожидать следующие санкции:

    • От 50 до 90 долларов США за каждого держателя карты, чья информация оказалась под угрозой;
    • Прекращение отношений между вашей компанией и ее банком/обработчиком платежей;
    • Негативное влияние на репутацию вашей компании.
    • Иск клиентов, чья информация была нарушена;
    • Потеря доверия из-за отсутствия безопасности.

    Дополнительные последствия могут включать повышение ставок, взимаемых платежными системами и банками, затраты на судебно-медицинскую экспертизу для определения результата нарушения, а также затраты на замену карты.

    Важно помнить, что PCI-DSS сам по себе не предотвращает утечку данных. Это помогает их уменьшить, но не является гарантией 100% защиты.

    Если компания причастна к утечке данных при соблюдении нормативных требований, она может понести более легкие санкции со стороны компаний, выпускающих кредитные карты, но ей все равно придется страдать от последствий нарушения.

    3. Компенсационные расходы

    Помимо штрафов со стороны банков и платежных систем, если вы столкнулись с утечкой данных, вам, вероятно, также придется выплатить компенсацию клиентам, чьи данные были скомпрометированы.

    Сюда входят, помимо прочего, расходы, связанные с мониторингом кредитных карт, страхованием от кражи личных данных, расходами на замену карты и т. д.

    Одно только это может стоить компаниям миллионы долларов в зависимости от масштаба нарушения. Например, в 2019 году в Capital One произошла одна из самых крупных утечек данных в истории, в результате которой была раскрыта личная и платежная информация более чем 106 миллионов клиентов.

    В результате им пришлось выплатить более 190 млн долларов в качестве компенсации.

    4. Юридический иск

    Помимо штрафов со стороны банков и платежных систем и компенсационных расходов для клиентов, весьма вероятным результатом создания угрозы для информации различных держателей банковских карт являются судебные иски или, что еще хуже, различные судебные иски от нескольких жертв утечки данных.

    В 2007 году TJX пришлось заплатить 40,9 млн долларов за утечку данных, из-за которой риску подверглись более 100 миллионов банковских карт. В 2014 году примерно 1,1 миллиона клиентов Neiman Marcus пострадали от очередной утечки данных, которая была обнаружена с трехмесячной задержкой.

    5. Подпорченная репутация из-за несоблюдения требований PCI

    Подвержение риску данных банковских карт ваших клиентов может привести не только к повышенным расходам, но и нанести непоправимый ущерб репутации вашего бренда из-за недоверия к безопасности.

    После того, как ваша безопасность окажется под угрозой, вашим клиентам будет очень трудно снова начать доверять вам, особенно когда речь идет об их конфиденциальной платежной информации.

    На самом деле, согласно отчету Forbes Insight, 46 % компаний понесли ущерб репутации в результате утечки данных, а 19 % из них понесли ущерб репутации в результате нарушения безопасности третьей стороной.

    Как и во многих других случаях, лучший способ предотвратить негативные последствия несоблюдения требований PCI — принять меры до того, как что-либо произойдет. Один из способов сделать это — принимать платежи с помощью безопасного, надежного платежного шлюза 1-го уровня, такого как MYMOID.

    6. Потеря дохода

    Сильный удар по репутации вашего бренда может резко снизить ваш доход из-за потери клиентов и нарушения безопасности.

    В 2013 году гигант розничной торговли Target был приговорен к штрафу в размере 18,5 млн долларов США за нарушение, от которого пострадали более 41 миллиона потребителей, что привело к потере дохода в размере 440 млн долларов только в первом квартале после нарушения.

    На самом деле, по данным IBM , в 2021 году были зарегистрированы самые высокие средние затраты на утечку данных за 17 лет, что было тесно связано с глобальной пандемией и увеличением количества онлайн-транзакций во всем мире.

    Затраты на утечку данных выросли с 3,86 млн долларов США до 4,24 млн долларов США, что является самой высокой средней общей стоимостью за 17-летнюю историю этого отчета, и довольно часто это происходит из-за действий, связанных с несоблюдением PCI.

    7. Выход из бизнеса

    Одним из возможных негативных последствий несоблюдения требований PCI является риск банкротства в случае слишком высоких штрафов или слишком серьезного репутационного ущерба.

    Это происходит потому, что воздействие кибератаки обычно не исчезает после первого удара. На самом деле, в экспертной разбивке стоимости утечки данных легко увидеть, как она может сохраняться в течение длительного периода времени.

    Компании, пережившие расходы, связанные с первоначальным ударом, могут продолжать платить за восстановление и ущерб в течение следующих нескольких лет, а также пытаться компенсировать ущерб своей репутации.

    К сожалению, счета за кибератаки часто будут приходить еще долгие годы. Согласно исследованиям, компании оплачивают в первый год после воздействия около 61% расходов, связанных с утечкой данных, а 24% приходится на следующие 12-24 месяца. Счета за оставшиеся 15 % могут быть получены даже более чем через 2 года.

    8. Федеральный аудит

    Если ваша компания крупная и работает с большим количеством клиентов, Федеральная торговая комиссия может принять решение о проведении частых проверок, чтобы убедиться, что вы соблюдаете стандарт безопасности.

    Федеральная торговая комиссия отслеживает организации, которые не соблюдают PCI-DSS, и помимо введения строгих правил может также принять решение о наказании вашей компании за несоблюдение требований.

    Соблюдение правил безопасности при работе с банковскими картами чрезвычайно важно для вашего бизнеса и безопасности ваших клиентов.

    Однако расходы, связанные с сертификацией PCI-DSS, могут быть очень высокими для многих небольших компаний, что заставляет их продолжать работать с банковскими картами, не соответствующими требованиям.

    Легко поддаться этому искушению, но последствия несоблюдения PCI могут быть разрушительными для вашего бизнеса.

    К счастью, у этой проблемы есть решение. MYMOID, прогрессивная платформа для онлайн-платежей, предлагает безопасный и доступный способ оплаты в соответствии с PCI-DSS, поэтому вы можете управлять и хранить банковские данные своих клиентов в безопасной и удобной среде.

    Кроме того, не забудьте загрузить нашу электронную книгу по PCI-DSS, чтобы получить дополнительную информацию о PCI-DSS и несоответствии требованиям PCI. Скачав электронную книгу, вы узнаете больше о:

    Вас приветствует Руководство по соответствию требованиям PCI.

    Нажмите на ссылки ниже, чтобы найти ответы на часто задаваемые вопросы.

    Q1: Что такое PCI?
    Вопрос 2: На кого распространяется стандарт PCI DSS?
    В3: Где я могу найти Стандарт безопасности данных PCI (PCI DSS)?
    Q4: Что являются «уровнями» соответствия PCI и как они определяются?
    В5: Что делает малый и средний бизнес (продавец 4-го уровня), чтобы соответствовать требованиям PCI DSS?
    Q6: Как происходит получение кредита? карты по телефону работают с PCI?
    В7: Если я принимаю кредитные карты только по телефону, применяется ли стандарт PCI DSS мне?
    В8: Должны ли организации, использующие сторонние процессоры, соответствовать стандарту PCI DSS?
    Вопрос 9: У моей компании несколько местоположений, требуется ли каждое место для подтверждения соответствия PCI?
    Q10: Мы занимаемся только электронной коммерцией. Какой SAQ следует использовать?
    В11. Моя компания не хранит данные кредитных карт, поэтому соответствие требованиям PCI не применяется. к нам, верно?
    Q12: Подпадают ли транзакции по дебетовым картам под действие PCI?
    В13: Соответствую ли я стандарту PCI, если у меня есть SSL-сертификат?
    Q14: Моя компания хочет сохранить данные кредитной карты. Какие методы мы можем использовать?
    Q15: Каковы санкции за несоблюдение?
    В16: Что определяется как «данные о держателе карты»?
    В17 : Какое определение термина «торговец»?
    Q18: Что представляет собой поставщик услуг ?
    Q19: Что такое платежное приложение?
    Q20: Что такое платежный шлюз?
    Q21: Что такое PA -DSS?
    Q22: Можно ли указать полный номер кредитной карты на копии квитанции для потребителя?
    Вопрос 23: Нужно ли мне сканирование уязвимостей для подтверждения соответствия?
    Q24: Что такое сканирование уязвимостей?
    Q25: Как часто я нужно провести сканирование уязвимостей?
    Вопрос 26: Что, если мой бизнес откажется сотрудничать?
    Вопрос 27:< /td> Если я веду бизнес из дома, являюсь ли я серьезной мишенью для хакеров?
    Вопрос 28: Что мне делать, если меня взломали?
    Вопрос 29: Есть ли в штатах законы, требующие уведомления об утечке данных для затронутые стороны?

    Q1: Что такое PCI?

    О. Стандарт безопасности данных индустрии платежных карт (PCI DSS) – это набор стандартов безопасности, разработанных для того, чтобы ВСЕ компании, принимающие, обрабатывающие, хранящие или передающие информацию о кредитных картах, поддерживали безопасную среду.

    Вопрос 2. На кого распространяется стандарт PCI DSS?

    О: PCI DSS применяется к ЛЮБОЙ организации, независимо от размера или количества транзакций, которая принимает, передает или хранит любые данные о держателях карт.

    В3: Где я могу найти Стандарт безопасности данных PCI (PCI DSS)?

    О: Текущие документы PCI DSS можно найти на веб-сайте Совета по стандартам безопасности PCI.

    Q4: Что такое «уровни» соответствия PCI и как они определяются?

    О: Все продавцы попадут в один из четырех уровней продавцов в зависимости от объема транзакций Visa за 12-месячный период. Объем транзакций основан на совокупном количестве транзакций Visa (включая кредитные, дебетовые и предоплаченные) от продавца, ведущего бизнес как («DBA»). В случаях, когда торговая корпорация имеет более одного DBA, эквайеры Visa должны учитывать совокупный объем транзакций, хранимых, обрабатываемых или передаваемых юридическим лицом, чтобы определить уровень проверки. Если данные не агрегированы, то есть юридическое лицо не хранит, не обрабатывает и не передает данные о держателях карт от имени нескольких администраторов баз данных, эквайеры будут продолжать учитывать объем транзакций отдельного администратора баз данных для определения уровня проверки.

    Уровни продавца, определенные Visa:

    Уровень продавца Описание
    1 Любой продавец — независимо от канала приема — обрабатывает более 6 миллионов транзакций Visa в год. Любой продавец, которого Visa по своему усмотрению определяет, должен соответствовать требованиям продавца Уровня 1, чтобы свести к минимуму риск для системы Visa.
    2 Любой продавец — независимо от канала приема — обрабатывает от 1 до 6 миллионов транзакций Visa в год.
    3 Любой продавец, обрабатывающий от 20 000 до 1 млн транзакций электронной коммерции Visa в год.
    4 Любой продавец, обрабатывающий менее 20 000 транзакций электронной коммерции Visa в год, и все остальные продавцы, независимо от канала приема, обрабатывающие до 1 млн транзакций Visa в год. .

    * Любой продавец, пострадавший от взлома, который привел к компрометации данных аккаунта, может быть передан на более высокий уровень проверки.

    В5. Что должен сделать малый и средний бизнес (торговец уровня 4), чтобы соответствовать требованиям PCI DSS?

    О: Чтобы соответствовать требованиям PCI, продавец должен выполнить следующие шаги:

    • Определите, какой опросный лист для самооценки (SAQ) должен использовать ваш бизнес для подтверждения соответствия требованиям. См. таблицу ниже, чтобы помочь вам выбрать. (Щелкните диаграмму, чтобы увеличить.)
    • Заполните Анкету для самооценки в соответствии с содержащимися в ней инструкциями.
    • Выполните и получите подтверждение прохождения сканирования уязвимостей с помощью утвержденного PCI SSC поставщика сканирования (ASV). Сканирование заметок распространяется не на всех продавцов. Он требуется для SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant и SAQ D-Service Provider.
    • Заполните соответствующее подтверждение соответствия полностью (находится в инструменте SAQ).
    • Отправьте SAQ, свидетельство о прохождении сканирования (если применимо) и свидетельство о соответствии вместе с любой другой запрошенной документацией вашему приобретателю.

    Вопрос 6. Как прием кредитных карт по телефону работает с PCI?

    A: Следующий пост «Как прием кредитных карт по телефону работает с PCI?» объясняет ваши обязанности по соблюдению требований PCI при получении информации о кредитной карте по телефону (например, в колл-центре). Обратите внимание: несмотря на то, что это сообщение было опубликовано в 2014 году, оно по-прежнему актуально для текущей версии PCI DSS.

    В7. Если я принимаю кредитные карты только по телефону, применим ли ко мне стандарт PCI DSS?

    О: Да. Все предприятия, которые хранят, обрабатывают или передают данные о держателях платежных карт, должны соответствовать стандарту PCI.

    В8. Должны ли организации, использующие сторонние процессоры, соответствовать стандарту PCI DSS?

    О: Да. Простое использование сторонней компании не исключает компанию из-под действия стандарта PCI DSS. Это может снизить их подверженность риску и, следовательно, уменьшить усилия по проверке соблюдения требований. Однако это не означает, что они могут игнорировать PCI DSS.

    В9. У моей компании несколько офисов. Нужно ли подтверждать соответствие требованиям PCI в каждом из них?

    О: Если ваши офисы работают с одним и тем же ИНН, то обычно вам нужно подтверждать только один раз в год для всех местоположений. Кроме того, ежеквартально отправляйте сканирование сети утвержденному поставщику услуг сканирования PCI SSC (ASV) для каждого местоположения, если это применимо.

    В10. Мы занимаемся только электронной торговлей. Какой SAQ следует использовать?

    О: Это зависит от того, как настроена ваша корзина. См. PCI SAQ 3.1: Объяснение вариантов электронной коммерции.

    В11. Моя компания не хранит данные кредитных карт, поэтому соответствие PCI на нас не распространяется, верно?

    О: Если вы принимаете кредитные или дебетовые карты в качестве формы оплаты, к вам применяется соответствие PCI. Хранение данных карты сопряжено с риском, поэтому, если вы не храните данные карты, вам будет проще обеспечить безопасность и соответствие требованиям.

    Вопрос 12. Подпадают ли транзакции по дебетовым картам под действие PCI?

    О. К рассматриваемым картам относятся любые дебетовые, кредитные и предоплаченные карты с одним из пяти логотипов ассоциаций/брендов карт, участвующих в PCI SSC: American Express, Discover, JCB, MasterCard и Visa International. .

    В13. Соответствую ли я стандарту PCI, если у меня есть SSL-сертификат?

    О: Нет. SSL-сертификаты не защищают веб-сервер от вредоносных атак или вторжений. SSL-сертификаты высокой надежности обеспечивают первый уровень безопасности и уверенности клиентов, как показано ниже, но есть и другие шаги для достижения соответствия PCI. См. вопрос «Что должен сделать малый и средний бизнес (торговец уровня 4), чтобы соответствовать требованиям PCI?»

    • Защищенное соединение между браузером клиента и веб-сервером
    • Подтверждение того, что операторы веб-сайта являются законной и юридически подотчетной организацией.

    В14. Моя компания хочет сохранить данные кредитной карты. Какие методы мы можем использовать?

    О: Большинство продавцов, которым необходимо хранить данные кредитных карт, делают это для регулярного выставления счетов. Лучший способ сохранить данные кредитной карты для периодического выставления счетов — использовать стороннее хранилище кредитных карт и поставщика токенизации. При использовании хранилища данные карты удаляются из вашего владения, и вам возвращается «токен», который можно использовать для периодического выставления счетов. Обращаясь к третьей стороне, вы перекладываете риск хранения данных карты на того, кто специализируется на этом и располагает всеми средствами безопасности для обеспечения безопасности данных карты.

    Если вам нужно хранить данные карты самостоятельно, ваша планка для самооценки очень высока, и вам может потребоваться пригласить QSA (квалифицированный оценщик безопасности) на место и провести аудит, чтобы убедиться, что у вас есть все средства контроля. на месте, необходимом для соответствия спецификациям PCI DSS.

    Вопрос 15. Какие санкции предусмотрены за несоблюдение требований?

    О. Платежные бренды могут по своему усмотрению оштрафовать банк-эквайер на сумму от 5000 до 100 000 долларов США в месяц за нарушение требований PCI. Банки, скорее всего, будут передавать этот штраф до тех пор, пока он в конечном итоге не попадет на продавца. Кроме того, банк также, скорее всего, либо разорвет ваши отношения, либо повысит комиссию за транзакцию. Штрафы не обсуждаются открыто и не афишируются, но они могут иметь катастрофические последствия для малого бизнеса. Важно ознакомиться с соглашением об учетной записи продавца, в котором должны быть изложены ваши риски.

    Подробнее о штрафах за несоблюдение требований читайте в нашем блоге «Как ваши усилия по обеспечению соответствия требованиям PCI могут в конечном итоге сэкономить деньги вашего бизнеса?»

    Вопрос 16. Что понимается под «данными держателя карты»?

    О: Совет по стандартам безопасности PCI (SSC) определяет «данные держателя карты» как полный основной номер счета (PAN) или полный PAN вместе с любым из следующих элементов:

    • Имя владельца карты
    • Срок действия
    • Служебный код

    Конфиденциальные данные аутентификации, которые также должны быть защищены, включают полные данные магнитной полосы, CAV2, CVC2, CVV2, CID, PIN-коды, блоки PIN-кодов и многое другое.

    Вопрос 17. Что означает термин «продавец»?

    О: В соответствии с PCI DSS продавцом считается любое лицо, которое принимает в качестве оплаты платежные карты с логотипами любого из пяти членов PCI SSC (American Express, Discover, JCB, MasterCard или Visa). на товары и/или услуги. Обратите внимание, что торговец, который принимает платежные карты в качестве оплаты товаров и/или услуг, также может быть поставщиком услуг, если проданные услуги приводят к хранению, обработке или передаче данных держателя карты от имени других торговцев или поставщиков услуг. Например, интернет-провайдер — это продавец, который принимает платежные карты для ежемесячного выставления счетов, но он также является поставщиком услуг, если у него есть продавцы в качестве клиентов. Источник: PCI SSC

    Q18: Что представляет собой поставщик услуг?

    Роль «продавца как поставщика услуг» далее определяется PCI SSC как «продавец, который принимает платежные карты в качестве оплаты за товары и/или услуги… если проданные услуги приводят к хранению, обработке или передаче данных держателей карт». от имени других продавцов или поставщиков услуг». Узнайте больше о том, как обеспечить соответствие требованиям в качестве поставщика услуг. См. запись в нашем блоге «Соответствие требованиям PCI и поставщик услуг».

    В19. Что представляет собой платежное приложение?

    A: Что представляет собой платежное приложение с точки зрения соответствия PCI? Термин «платежное приложение» имеет очень широкое значение в PCI. Платежное приложение — это все, что хранит, обрабатывает или передает данные карты в электронном виде. Это означает, что все, от системы точек продаж (например, считывающих терминалов Verifone, терминалов ALOHA и т. д.) в ресторане до корзины для покупок на веб-сайте (например, CreLoaded, osCommerce и т. д.), классифицируется как платежные приложения. Поэтому любое программное обеспечение, предназначенное для доступа к данным кредитной карты, считается платежным приложением.

    Вопрос 20. Что такое платежный шлюз?

    A: Платежные шлюзы соединяют продавца с банком или процессором, который выступает в качестве интерфейсного соединения с брендами карт. Их называют шлюзами, потому что они принимают множество входных данных от различных приложений и направляют эти входные данные в соответствующий банк или процессор. Шлюзы взаимодействуют с банком или обработчиком, используя коммутируемые соединения, веб-соединения или частные выделенные линии.

    Вопрос 21. Что такое PA-DSS?

    A: PA-DSS — это стандарт безопасности данных платежных приложений, поддерживаемый Советом по стандартам безопасности PCI (SSC) для решения критической проблемы безопасности платежных приложений. Требования стандарта PA-DSS призваны гарантировать, что поставщики предоставляют продукты, поддерживающие усилия продавцов по соблюдению требований стандарта PCI DSS и отказу от хранения конфиденциальных данных держателей карт.

    PCS SSC администрирует программу проверки платежных приложений на соответствие стандарту PA-DSS, а также публикует и ведет список приложений, прошедших проверку на соответствие стандарту PA-DSS. Дополнительную информацию см. в Стандартах безопасности PCI. Также ознакомьтесь с нашим сообщением в блоге о критической разнице между PCI DSS и PA-DSS здесь.

    Вопрос 22. Можно ли указать полный номер кредитной карты на копии квитанции, которую выдает потребитель?

    A: Требование 3.3 PCI DSS гласит: «Маска PAN при отображении (первые шесть и последние четыре цифры — максимальное количество отображаемых цифр)». Хотя это требование не запрещает печатать полный номер карты или дату истечения срока действия на квитанциях (как на копии для продавца, так и на копии для потребителя), обратите внимание, что PCI DSS не имеет приоритета над любыми другими законами, определяющими, что может быть напечатано на квитанциях (например, Закон США о честных и точных кредитных сделках (FACTA) или любые другие применимые законы).

    См. примечание, выделенное курсивом, к требованию 3 стандарта PCI DSS.3 «Примечание. Это требование не отменяет более строгие требования к отображению данных о держателях карт — например, юридические требования или требования к бренду платежной карты для чеков в точках продаж (POS). Любые бумажные квитанции, хранящиеся у продавцов, должны соответствовать PCI DSS, особенно требованию 9, касающемуся физической безопасности». Источник: PCI SSC

    Вопрос 23. Нужно ли сканирование уязвимостей для подтверждения соответствия требованиям?

    О: Если вы отвечаете требованиям для определенных анкет самооценки (SAQ) или вы храните данные о держателях карт в электронном виде после авторизации, то для соблюдения требований требуется ежеквартальное сканирование, проводимое сертифицированным поставщиком сканирования (ASV) PCI SSC. Если вы соответствуете любому из следующих SAQ в соответствии с версией 3.x стандарта PCI DSS, вам необходимо пройти успешное сканирование ASV:

    • SAQ A-EP
    • SAQ B-IP
    • SAQ С
    • SAQ D-продавец
    • Поставщик D-услуг SAQ

    Вопрос 24. Что такое сканирование уязвимостей?

    О. Для сканирования уязвимостей используется автоматизированный инструмент, который проверяет системы продавца или поставщика услуг на наличие уязвимостей. Инструмент будет проводить ненавязчивое сканирование для удаленного просмотра сетей и веб-приложений на основе адресов внешнего интернет-протокола (IP), предоставленных продавцом или поставщиком услуг. Сканирование выявляет уязвимости в операционных системах, службах и устройствах, которые могут быть использованы хакерами для атаки на частную сеть компании. Согласно утвержденным поставщикам сканирования (ASV), таким как ControlScan, сканирование не требует от продавца или поставщика услуг установки какого-либо программного обеспечения на свои системы, и атаки типа «отказ в обслуживании» выполняться не будут. Узнайте больше о сканировании уязвимостей здесь.

    Вопрос 25. Как часто мне нужно проводить сканирование уязвимостей?

    A: Каждые 90 дней/один раз в квартал те, кто соответствует вышеуказанным критериям, должны отправлять проходное сканирование. Продавцы и поставщики услуг должны представить документацию о соответствии (отчеты об успешном сканировании) в соответствии с графиком, установленным их эквайером. Сканирование должно проводиться одобренным PCI SSC поставщиком услуг сканирования (ASV), таким как ControlScan.

    Вопрос 26. Что делать, если мой бизнес отказывается сотрудничать?

    О: PCI сам по себе не является законом. Стандарт был создан основными карточными брендами Visa, MasterCard, Discover, AMEX и JCB. По усмотрению своих эквайеров/поставщиков услуг продавцы, которые не соблюдают PCI DSS, могут быть оштрафованы, расходы на замену карты, дорогостоящие судебные проверки, ущерб бренду и т. д. в случае нарушения.

    Небольшие первоначальные усилия и затраты на обеспечение соответствия стандарту PCI DSS помогут значительно снизить риск возникновения этих чрезвычайно неприятных и дорогостоящих последствий. Узнайте, как ControlScan помогает упростить стандарт PCI DSS.

    Вопрос 27. Если я веду бизнес из дома, могу ли я стать серьезной целью для хакеров?

    О: Да. Домашние пользователи, возможно, наиболее уязвимы просто потому, что они обычно плохо защищены. Применяя модель «пути наименьшего сопротивления», злоумышленники часто сосредотачиваются на домашних пользователях, часто используя их постоянно активные широкополосные соединения и типичные домашние программы, такие как чат, интернет-игры и приложения для обмена файлами P2P. Служба сканирования ControlScan позволяет домашним пользователям и сетевым администраторам выявлять и устранять любые уязвимости в системе безопасности на своих настольных и портативных компьютерах.

    Вопрос 28. Что делать, если меня взломали?

    О: Несмотря на то, что многие утечки данных платежных карт легко предотвратить, они все еще могут происходить и происходят в компаниях любого размера.

    Если ваша компания малого или среднего бизнеса обнаружила, что ее взломали, существует множество полезных ресурсов, которые помогут вам предпринять следующие шаги. Мы рекомендуем следующее:

    Вопрос 29. Есть ли в штатах законы, требующие уведомления пострадавших сторон об утечке данных?

    О: Абсолютно. Калифорния является катализатором для сообщения об утечках данных затронутым сторонам. Штат ввел свой закон об уведомлении о нарушениях в 2003 году, и теперь почти в каждом штате действует аналогичный закон.

    Руководство по соответствию требованиям PCI разработано экспертами Sysnet и Viking Cloud.
    Узнайте, как мы можем вам помочь.

    Вирапаткиатдумронг / Getty Images

    значение PCI DSS

    PCI DSS – это стандарт кибербезопасности, поддерживаемый всеми крупными компаниями, занимающимися обработкой кредитных карт и платежей, который направлен на обеспечение безопасности номеров кредитных и дебетовых карт. PCI DSS расшифровывается как Стандарт безопасности данных индустрии платежных карт. Этот стандарт, который находится в ведении Совета по стандартам безопасности индустрии платежных карт, устанавливает меры кибербезопасности и методы ведения бизнеса, которые должна внедрить любая компания, принимающая платежи по кредитным картам.Компании могут продемонстрировать, что они внедрили стандарт, выполнив требования к отчетности, установленные стандартом; те организации, которые не соответствуют требованиям или уличены в нарушении стандарта, могут быть оштрафованы.

    Для чего используется PCI DSS?

    Номера кредитных и дебетовых карт, вероятно, являются наиболее ценными последовательностями цифр: любой, у кого есть доступ к ним, может немедленно совершать мошеннические покупки и сливать деньги со счетов пользователей. Поскольку банки и другие эмитенты кредитных карт обычно возвращают средства своим клиентам в таких ситуациях, они заинтересованы в том, чтобы номера кредитных карт оставались в безопасности при их передаче по экономической экосистеме.

    Совет по стандартам безопасности PCI был создан этими игроками отрасли, чтобы обеспечить максимальную безопасность транзакций с использованием номеров кредитных карт. Совет устанавливает несколько стандартов безопасности, которые должны внедрять организации в различных отраслевых сегментах: например, PCI PTS распространяется на производителей устройств с PIN-кодом, а PCI PA-DSS регулирует разработку программного обеспечения, управляющего данными держателей карт.

    На кого распространяется стандарт PCI DSS?

    PCI DSS — это самый широкий из стандартов Совета. Он применяется к «любой организации, которая хранит, обрабатывает и/или передает данные о держателях карт», что означает, что любая организация, принимающая платежи по кредитным картам, то есть практически любая организация, которая продает что-либо или принимает пожертвования, должна придерживаться стандарт.

    Соответствие стандарту PCI DSS представляет собой базовый уровень безопасности и, конечно же, не является гарантией от взлома. Как мы увидим, соблюдение требований может быть довольно сложной задачей, и трудно с уверенностью сказать, что каждый аспект безопасности организации соответствует требованиям в 100% случаев. Некоторые утверждают, что кредитные карты и платежные компании, входящие в Совет по стандартам безопасности PCI, используют PCI DSS, чтобы переложить ответственность за безопасность и финансовое бремя нарушений на розничных продавцов.

    Когда PCI DSS стал обязательным?

    Соответствие стандарту PCI DSS стало обязательным с выпуском версии 1.0 стандарта 15 декабря 2004 г. (PCI DSS 3.2 – это текущая версия стандарта, а работа над версией 4.0 находится в разработке). о том, что мы подразумеваем под «обязательным» в этом контексте. PCI DSS — это стандарт безопасности, а не закон. Соблюдение этого требования предусмотрено договорами, которые продавцы подписывают с брендами карт (Visa, MasterCard и т. д.) и с банками, которые фактически обрабатывают их платежи.

    И, как мы увидим, для большинства компаний соответствие стандарту достигается путем заполнения анкет с самоотчетами. Для этих продавцов соблюдение PCI DSS в основном становится «обязательным» в ретроспективе: если происходит нарушение, которое можно проследить до неспособности правильно внедрить стандарт, продавец может быть подвергнут санкциям со стороны их платежных систем и брендов карт. От продавцов может потребоваться пройти (и оплатить) оценку, чтобы убедиться, что они улучшили свою безопасность, что мы обсудим более подробно позже в этой статье; они также могут быть обязаны платить штрафы. Очень крупные компании могут быть обязаны пройти оценку, проводимую третьими сторонами, даже если они не пострадали от нарушения.

    Штрафы PCI DSS

    Когда продавцы подписывают договор с обработчиком платежей, они соглашаются с тем, что будут оштрафованы, если не будут соблюдать требования стандарта PCI DSS. Штрафы могут варьироваться от платежной системы к платежной системе и больше для компаний с большим объемом платежей. Может быть сложно определить типичную сумму штрафа, но IS Partners предоставляет некоторые диапазоны в сообщении в блоге. Например, штрафы начисляются за месяц несоблюдения, а ежемесячная плата увеличивается на более длительные периоды, поэтому компания может платить 5000 долларов в месяц, если они не соблюдают требования в течение трех месяцев, и 50 000 долларов в месяц, если они не соблюдаются. пока семь месяцев. Кроме того, на каждого клиента, пострадавшего от утечки данных, может быть наложен штраф в размере от 50 до 90 долларов США.

    Опять же, имейте в виду, что это не "штрафы" в том смысле, в каком, скажем, вы платите за нарушение какого-либо государственного постановления или правил дорожного движения. это штрафы, встроенные в договор между продавцами, платежными системами и брендами карт. Как правило, бренды карт штрафуют платежных систем, которые, в свою очередь, штрафуют продавцов, и весь процесс не обязательно основан на тех же стандартах доказывания, которые можно ожидать в уголовном суде, хотя споры могут закончиться в гражданском суде.

    Дело 2012 года с участием рестораторов из Юты Стивена и Сисси МакКомб привлекло внимание к темным аспектам штрафов PCI DSS. МакКомбы утверждали, что их обвинили в слабой безопасности на основании отсутствия доказательств и что 10 000 долларов были незаконно выкачаны с их банковского счета их платежной системой.В 2013 году обувной ритейлер Genesco из Теннесси отбивался от штрафа PCI DSS в размере 13 млн долларов, наложенного в связи с серьезной утечкой данных, и в конечном итоге вернул 9 млн долларов в суде.

    Тем не менее, большинство продавцов стараются избежать уплаты этих штрафов, следя за тем, чтобы они соответствовали стандарту PCI DSS. Итак, давайте углубимся в детали того, что это влечет за собой.

    Требования PCI DSS

    1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт.
    2. Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности.
    3. Защитите сохраненные данные держателей карт.
    4. Шифровать передачу данных о держателях карт через открытые общедоступные сети.
    5. Используйте и регулярно обновляйте антивирусное программное обеспечение.
    6. Разрабатывать и поддерживать безопасные системы и приложения.
    7. Ограничить доступ к данным о держателях карт по служебной необходимости.
    8. Назначьте уникальный идентификатор каждому пользователю, имеющему доступ к компьютеру.
    9. Ограничить физический доступ к данным держателей карт.
    10. Отслеживание и мониторинг доступа к сетевым ресурсам и данным держателей карт.
    11. Регулярно тестируйте системы и процессы безопасности.
    12. Поддерживать политику, касающуюся информационной безопасности.

    Что означает соответствие стандарту PCI DSS?

    Соответствие DSS достигается за счет выполнения обязательств, изложенных в этих требованиях, наиболее подходящим для вашей организации способом, и Совет по стандартам безопасности PCI предоставляет вам инструменты для этого. Блог RSI о безопасности подробно описывает шаги, но по сути процесс выглядит следующим образом:

    1. Определите уровень PCI DSS вашей организации. Организации делятся на уровни в зависимости от того, сколько транзакций по кредитным картам они проводят ежегодно. Например, организации уровня 1 PCI DSS обрабатывают более шести миллионов транзакций в год, тогда как организации уровня 4 PCI DSS обрабатывают менее 20 000 транзакций.
    2. Заполните анкету самооценки. Они доступны на веб-сайте Совета по стандартам безопасности PCI, и существуют различные анкеты, адаптированные для того, как разные компании взаимодействуют с данными кредитных карт. Если вы принимаете платежи по картам онлайн только через третью сторону, вы должны, например, заполнить Анкету А; если вы используете автономный платежный терминал, подключенный к Интернету, вам подойдет Анкета B-IP. Каждая анкета определяет, насколько хорошо ваша организация соблюдает требования PCI DSS, в зависимости от того, как вы взаимодействуете с данными кредитных карт клиентов.
    3. Создайте безопасную сеть. Ответы, которые вы дадите в анкете, покажут все слабые места в инфраструктуре вашей кредитной карты и требования, которым вы не соответствуете, и помогут вам закрыть эти дыры.
    4. Официально подтвердите свое согласие. AOC (подтверждение соответствия) — это форма, которую вы используете, чтобы сообщить о том, что вы добились соответствия требованиям PCI DSS. Заполнение анкеты без "неправильных" ответов означает, что вы готовы к работе.

    Как должно быть ясно, анкеты представляют собой своего рода контрольный список соответствия PCI DSS. Однако не позволяйте этому стать концом вашего пути к безопасности. Как сказал Дэвид Эймс, руководитель практики кибербезопасности и конфиденциальности в PricewaterhouseCoopers, Марии Королевой из CSO Online, «мы увидели, что сосредоточение строго на отдельных усилиях по обеспечению соблюдения требований может создать ложное чувство безопасности и неуместное распределение ресурсов. Используйте PCI DSS в качестве базовой системы контроля, которая дополняется методами управления рисками"

    Кто отвечает за соответствие PCI?

    Каждая организация по-своему подходит к вопросу о том, кто должен руководить группой по соблюдению требований PCI, в зависимости от ее структуры и размера. Очень малые предприятия, передавшие большую часть своей платежной инфраструктуры на аутсорсинг третьим сторонам, как правило, могут рассчитывать на то, что эти поставщики также справятся с соблюдением требований PCI. С другой стороны, очень крупным организациям может потребоваться участие руководителей, ИТ-специалистов, юристов и руководителей бизнес-подразделений. У Совета безопасности стандартов PCI есть подробный документ «PCI DSS для крупных организаций» с советами по этой теме; ознакомьтесь с разделом 4, начиная со страницы 8.

    Сертификация PCI DSS и оценка PCI DSS

    Как пройти сертификацию PCI DSS? Дерзкий и лаконичный ответ заключается в том, что вы не можете: в мире PCI DSS нет такой вещи, как «сертификация». Как мы уже обсуждали, наиболее распространенным способом демонстрации соответствия PCI DSS является заполнение соответствующей анкеты и заполнение подтверждения соответствия (AOC). Этот процесс называется самооценкой

    .

    Однако продавцы также могут заплатить стороннему поставщику за проведение оценки PCI DSS.Совет по стандартам безопасности PCI сертифицирует квалифицированных оценщиков безопасности, которые могут проводить эти проверки и составлять так называемый отчет о соответствии (ROC); иногда вы можете увидеть, что этот процесс называется сертификацией PCI DSS, хотя, строго говоря, это неправильно. В то время как некоторые организации платят за ROC добровольно, другим может потребоваться приобрести его, если они пострадали от взлома или другого нарушения безопасности; а крупные компании, соответствующие стандарту PCI DSS уровня 1, должны регулярно получать ROC.

    Оценки стоят недешево: для крупной компании они могут стоить до 50 000 долларов США. Но даже вы не обязаны его получать, это может окупиться в долгосрочной перспективе. Как сообщил CSO Online Пол Коттер, старший архитектор безопасности в West Monroe Partners, при самооценке компании склонны смотреть на себя «наиболее лестным образом». может потратить 50 000 долларов на найма профессионала, но это может спасти вас в долгосрочной перспективе», потому что вы получите честную оценку своей ситуации с безопасностью. По сути, именно такую ​​оценку должен давать стандарт PCI DSS.

    Читайте также: