Co to jest zgodność z PCI i czy muszę być zgodny z PCI?

Zgodność z PCI: co to jest?

Firmy obsługujące karty kredytowe muszą przestrzegać zgodności z PCI, aby chronić bezpieczeństwo transakcji kartami kredytowymi w systemie finansowym. Zgodność branży kart płatniczych odnosi się do wymagań technicznych i operacyjnych firm dotyczących ochrony i zachowania danych posiadaczy kart dostarczonych podczas operacji przetwarzania kart. Rada Standardów Bezpieczeństwa PCI opracowuje i zarządza standardami zgodności PCI.

Zrozumienie zgodności z PCI

Przetwarzanie kart kredytowych jest regulowane przez Federalną Komisję Handlu (FTC), ponieważ podlega ochronie i przepisom konsumenckim. Chociaż nie ma prawnego przymusu przestrzegania PCI, uważa się, że jest to wymagane na mocy precedensu sądowego.

Zasadniczo zgodność z PCI jest krytycznym elementem procesu bezpieczeństwa każdej firmy obsługującej karty kredytowe. Firmy obsługujące karty kredytowe często tego wymagają i jest to wspomniane w umowach dotyczących sieci kart kredytowych.

Rada ds. wymagań PCI jest odpowiedzialna za opracowywanie standardów zgodności PCI. Standardy te mają zastosowanie do przetwarzania handlowców i zostały rozszerzone o wymagania dotyczące szyfrowanych transakcji internetowych. Inne znaczące instytucje zaangażowane w proces ustanawiania standardów w branży kart kredytowych to Card Association Network i National Automated Clearing House (NACHA).

Co zrobić, jeśli nie jestem zgodny z PCI?

Chociaż zgodność z PCI jest obowiązkowa, niektórzy właściciele firm zastanawiają się, czy mogą unikać standardów – jest to nieetyczny i prawdopodobnie katastrofalny pomysł. Jeśli nie jesteś zgodny z PCI, ryzykujesz bezpieczeństwo swoich klientów i firmy. Bez zabezpieczeń zapewnianych przez zgodność z PCI Twoja firma może być narażona na kosztowne ataki i naruszenia danych.

Jeśli dojdzie do naruszenia danych, a Twoja organizacja nie jest zgodna z PCI, możesz podlegać karom i grzywnom w wysokości od 5 000 do 500 000 USD. Jednak kary to dopiero początek szkód wyrządzonych przez nieprzestrzeganie przepisów. Jeśli nie jesteś zgodny z PCI, ryzykujesz utratę konta sprzedawcy, co uniemożliwiłoby Ci całkowite przyjmowanie płatności kartą kredytową. Ponadto Twoja firma może zostać uwzględniona na liście Member Alert w celu kontroli sprzedawców wysokiego ryzyka (MATCH), przez co przez wiele lat nie będziesz kwalifikować się do założenia nowego konta sprzedawcy.

Ponadto naruszenie danych może skutkować odszkodowaniami w wysokości tysięcy dolarów, utratą szacunku i zaufania konsumentów oraz utratą marki. Ze względu na szereg kar związanych z niezgodnością z PCI, zawsze mądrze jest zachować jak największą zgodność, aby uniknąć kosztownych grzywien i innych szkód.

Jakie są 12 wymagań dotyczących zgodności ze standardem PCI DSS?

Zainstaluj i utrzymuj zapory sieciowe

Zapory skutecznie odmawiają dostępu do prywatnych danych zewnętrznym lub nieznanym organizacjom. Te środki ostrożności są często pierwszą linią ochrony przed hakerami (złośliwymi lub innymi). Ze względu na ich zdolność do zapobiegania nieautoryzowanemu dostępowi, zapory są niezbędne do zapewnienia zgodności ze standardem PCI DSS.

Skuteczna ochrona hasłem

Routery, modemy, systemy punktów sprzedaży (POS) i inne towary innych firm często zawierają ogólne hasła i mechanizmy bezpieczeństwa łatwo dostępne dla ogółu społeczeństwa. Firmy często nie chronią tych luk. Utrzymanie zgodności w tym obszarze obejmuje utrzymywanie listy wszystkich urządzeń i aplikacji chronionych hasłem (lub innych zabezpieczeń dostępu). W przypadku inwentaryzacji urządzeń/hasła należy wdrożyć niezbędne zabezpieczenia i ustawienia (np. zmianę hasła).

Chroń dane posiadacza karty

Trzecim obowiązkiem zgodności ze standardem PCI DSS jest zabezpieczenie danych posiadacza karty na dwa sposoby. Dane posiadacza karty muszą być zaszyfrowane przy użyciu określonego algorytmu. Szyfrowania te są implementowane za pomocą kluczy szyfrowania — które również muszą być zaszyfrowane w celu zapewnienia zgodności. Regularne utrzymywanie i skanowanie głównych numerów kont (PAN) jest konieczne, aby sprawdzić, czy nie istnieją żadne niezaszyfrowane dane.

Szyfruj przesyłane dane

Dane posiadacza karty są przesyłane różnymi konwencjonalnymi drogami (tj. procesory płatności, biura domowe z lokalnych sklepów itp.). Gdy te dane są przesyłane do tych znanych miejsc docelowych, muszą być zaszyfrowane. Ponadto nigdy nie należy podawać numerów kont nieznanym witrynom.

Używaj i utrzymuj antywirusa

Poza zgodnością ze standardem PCI DSS korzystanie z oprogramowania antywirusowego jest inteligentną praktyką. Jednak wszystkie urządzenia, które wchodzą w interakcje i przechowują PAN, muszą mieć zainstalowane oprogramowanie antywirusowe. To oprogramowanie powinno być regularnie łatane i aktualizowane. Ponadto dostawca w punkcie sprzedaży powinien korzystać z ochrony antywirusowej w obszarach, w których nie można jej wdrożyć bezpośrednio.

Zaktualizowane oprogramowanie

Zapory sieciowe i oprogramowanie antywirusowe będą musiały być regularnie aktualizowane. Dodatkowo dobrze jest aktualizować całe oprogramowanie w korporacji. Większość programów zawiera w ramach swoich aktualizacji środki bezpieczeństwa, takie jak poprawki usuwające nowo zidentyfikowane luki w zabezpieczeniach, zapewniając dodatkową warstwę ochrony. Te aktualizacje są istotne dla każdego oprogramowania działającego na urządzeniach, które wchodzą w interakcję z danymi posiadaczy kart lub przechowują je.

Ogranicz dostęp do danych

Informacje o posiadaczu karty muszą być ściśle „trzeba wiedzieć”. Wszystkim pracownikom, kadrze kierowniczej i stronom trzecim, które nie potrzebują tych informacji, należy odmówić dostępu. Obowiązki wymagające danych wrażliwych powinny być dobrze udokumentowane i regularnie aktualizowane, zgodnie z wymogami PCI DSS.

Unikalne kody dostępu

Pracownicy, którzy mają dostęp do danych posiadacza karty, powinni zostać zidentyfikowani i każdy z nich ma swoje oddzielne poświadczenia. Na przykład do zaszyfrowanych danych nie należy uzyskiwać dostępu za pomocą jednego loginu, gdy kilku pracowników zna nazwę użytkownika i hasło. Unikalne identyfikatory zmniejszają podatność i zapewniają szybszy czas reakcji w przypadku naruszenia bezpieczeństwa danych.

Ogranicz dostęp na poziomie fizycznym

Wszelkie dane dotyczące posiadaczy kart muszą być fizycznie przechowywane w bezpiecznym miejscu. Fizycznie zapisane lub wpisane dane oraz dane przechowywane cyfrowo (np. na dysku twardym) powinny być zabezpieczone w bezpiecznym pomieszczeniu, szufladzie lub szafce. Należy nie tylko ograniczać dostęp, ale zawsze, gdy uzyskuje się dostęp do danych wrażliwych, należy prowadzić rejestr w celu zapewnienia zgodności.

Zarządzaj dziennikami dostępu

Wszystkie transakcje obejmujące dane posiadacza karty i główne numery kont (PAN) muszą być rejestrowane. Być może najbardziej rozpowszechnionym problemem związanym z niezgodnością jest brak wystarczającej dokumentacji i dokumentacji umożliwiającej dostęp do danych wrażliwych. Zgodność wymaga śledzenia przepływu danych wchodzących do Twojej firmy oraz częstotliwości, z jaką wymagany jest dostęp. Ponadto, aby zapewnić dokładność, niezbędne są narzędzia programowe śledzące dostęp.

Skanowanie i testowanie luk

Każde z powyższych dziesięciu kryteriów zgodności wymaga użycia wielu produktów oprogramowania, lokalizacji fizycznych i personelu. Wiele elementów może nie działać poprawnie, stać się nieaktualne lub podlegać ludzkim błędom. Możemy złagodzić te zagrożenia, przestrzegając kryteriów PCI DSS dotyczących regularnych skanów i testów podatności.

Zasady dotyczące dokumentów

Zgodność będzie wymagać dokumentacji sprzętu, oprogramowania i pracowników, którzy mają dostęp. Dodatkowo ewidencja dostępu do danych posiadacza karty będzie wymagała dokumentacji. Konieczne będzie również zarejestrowanie, w jaki sposób informacje trafiają do Twojej firmy, gdzie są przechowywane i wykorzystywane poza punktem sprzedaży.

Zalety zgodności z PCI

Zalety zgodności obejmują mniejsze ryzyko naruszenia danych, ochronę danych posiadaczy kart i unikanie kradzieży tożsamości. Zgodność jest najlepszą praktyką dla firm, ponieważ minimalizuje kary związane z naruszeniami danych, korzystnie wpływa na reputację marki firmy i zapewnia, że ​​konsumenci są zadowoleni i pewni, że prowadzą interesy z odpowiedzialną firmą, co skutkuje lojalnością wobec marki.

Wszystkie firmy, które akceptują informacje o kartach kredytowych, są zobowiązane na mocy umów dotyczących przetwarzania kart do zachowania zgodności z PCI. Zgodność z PCI jest standardem branżowym, a firmy, które jej nie przestrzegają, ryzykują poniesieniem znacznych kar za naruszenie umowy i nieostrożność. Firmy, które nie są zgodne z PCI, są również bardzo narażone na kradzieże, oszustwa i naruszenia bezpieczeństwa danych.

W Fixed.net zdecydowanie zalecamy, aby nigdy nie dotykać danych karty . Oznacza to, że użyj dostawcy takiego jak Stripe lub Braintree, w którym dane karty są tokenizowane. Dane karty nie są przez Ciebie przechowywane , a nawet nie są przez Ciebie widoczne . Klient wprowadza dane za pomocą wbudowanego widżetu ze strony internetowej dostawcy płatności.

Zgodność z PCI i WordPress

WordPress jest oprogramowaniem typu open source i nie ma wbudowanego systemu płatności. Zamiast tego systemy płatności są wyposażone w wtyczki, takie jak WooCommerce. Wtyczki te zwykle mają możliwość kojarzenia bram innych firm, takich jak Stripe. Jeśli wybierzesz bramę, w której nie dotykasz danych karty, nie musisz być zgodny ze standardem PCI.

Zgodność PCI i WooCommerce

WooCommerce oferuje szereg opcji płatności w pakiecie, które można rozszerzyć za pomocą wtyczek innych firm. Omawiamy opcje płatności w różnych innych przewodnikach na tym blogu. Jednak zdecydowana większość abonentów usług stacjonarnych ma tendencję do korzystania z kombinacji Stripe i PayPal.