Hva er PCI -samsvar?

Hva er PCI -samsvar?

Overholdelsesindustri (PCI) er basert på et sett med 12 tekniske og operasjonelle standarder utviklet av PCI Security Standards Council (SSC), et uavhengig organ som ble dannet i 2006 av American Express, Discover, JCB International, Mastercard og Visa. Disse standardene gjelder enhver virksomhet som aksepterer, overfører eller lagrer kredittkortdata. De ble opprettet for å sikre et sikkert miljø som beskytter kunde- og forretningsinformasjon mot spørsmål som datainnbrudd.

For bedre å forstå PCI -samsvar, er det viktig å vite hva det innebærer, kravene og hvordan det hele fungerer.

PCI Compliance Definisjon og krav

PCI -samsvar er overholdelse av et sett med standarder for kredittkortsikkerhet og beskyttelse satt av PCI SSC. Disse standardene ble opprettet for å sikre et sikkert miljø for enhver virksomhet som behandler kortholderdata.

Mens PCI SSC utviklet standardene, er betalingsmerkene og selgere ansvarlige for å håndheve samsvar.

Hvert kredittkortmerke kan ha sine egne spesifikke PCI -krav som bedrifter må følge. Bedriftseiere bør ta kontakt med hvert betalingsmerke for å sikre at de oppfyller alle nødvendige krav.

  • Alternativt navn: Betalingskortindustriens datasikkerhetsstandard
  • Forkortelse: PCI, PCI DSS

PCI -samsvarsstandarder

Det er 12 standarder laget av PCI DSS som dekker både tekniske og operative systemkomponenter:

  • Oppretthold en brannmur for å beskytte kortholderdata
  • Bruk sikkerhetspassord på høyt nivå i stedet for standard systempassord
  • Beskytte lagrede kortholderdata gjennom riktige sikkerhetsprotokoller
  • Krypter overføringen av kortholderdata
  • Beskytt alle systemer mot skadelig programvare og oppdaterer regelmessig antivirusprogrammer
  • Utvikle og vedlikeholde sikre systemer og applikasjoner
  • Begrens tilgangen til kortholderinformasjon
  • Identifiser og autentiser tilgang til alle systemkomponenter
  • Begrens fysisk tilgang til kortholderinformasjon
  • Spore og overvåke all tilgang til nettverks- og kortholderdata
  • Test ofte sikkerhetssystemer og prosesser
  • Oppretthold en informasjonssikkerhetspolicy for alt personell

For å beskytte sensitiv kortholderinformasjon, er det ansvaret for enhver virksomhet som behandler, overfører og lagrer kundekortdata for å sikre at PCI -standarder blir oppfylt. Disse standardene kan hjelpe selgere med å beskytte mot hackere og informasjonstyver.

Å ikke oppfylle disse kravene kan etterlate en virksomhet mer sårbar for økonomiske skader og kan føre til kostbare ikke-overholdelsesgebyrer vurdert av kredittkortmerker.

Hvordan fungerer PCI -samsvar?

Hver kortutsteder har sine egne retningslinjer for PCI -samsvar, så det er en god idé for bedriftseiere å ta kontakt med hver utsteder for å sikre at de oppfyller de riktige kvalifikasjonene. For å bli betraktet som PCI-kompatible, må virksomheter gå gjennom en tretrinnsprosess som inkluderer scoping, vurdering og rapportering.

Scoping

I scoping må bedriftseiere identifisere alle systemer som hvis kompromitteres kan påvirke kortholderdata. Omfanging er generelt en årlig prosess som innebærer å evaluere alle systemer og måter kortholderdata samhandler med en virksomhet. Denne prosessen vil bidra til å bestemme hvilken type vurdering som trengs så vel som størrelsen og kostnadene.

Vurdering

Vurderingsdelen av PCI-samsvar består av enten et spørreskjema for selvvurdering eller en revisjon på stedet utført av en kvalifisert sikkerhetsvurdering. Hvilken vurdering en virksomhet vil trenge bestemmes av kredittkortselskapets selgernivå. For eksempel kan virksomheter som behandler under en utsteders spesifiserte antall korttransaksjoner hvert år bare trenge et spørreskjema for selvvurdering.

Bedriftseiere kan bestemme deres selgernivå gjennom hvert kredittkortselskaps utpekte nettsted, for eksempel disse for Visa, Mastercard og American Express.

Rapportering

Når bedriftseiere har fullført selvvurderingen, må de rapportere det til kredittkortselskapet. Bedrifter som kvalifiserer for en personvurdering, må sende inn en rapport om overholdelse av betalingskortutstederen direkte. PCI -overholdelsesvurderinger er bare påkrevd årlig, men bedriftseiere kan trenge kvartalsvis sårbarhetsskanninger utført av en godkjent skanningsleverandør. Uansett hvilken vurdering som gjøres, er det å rapportere revisjonsresultatene til utstedere av betalingskortet for PCI -samsvar.

Key Takeaways

  • PCI Compliance er kredittkortbransjesettet med standarder som virksomheter som aksepterer, sender og lagrer kortholderdata, må følge.
  • Det er 12 tekniske og operasjonelle standarder virksomheter må følge for å oppfylle PCI -samsvar.
  • Det er en tretrinnsprosess for å bli PCI-kompatibel: scoping, vurdering og rapportering.
  • Vurderingsprosessen innebærer enten å ta et spørreskjema for selvvurdering eller få en revisjon på stedet.