Ce este conformitatea PCI și trebuie să fiu conformă PCI?

Conformitatea PCI: ce este?

Companiile cu carduri de credit trebuie să respecte conformitatea PCI pentru a ajuta la protejarea siguranței tranzacțiilor cu cardul de credit în sistemul financiar. Conformitatea industriei cardurilor de plată se referă la cerințele tehnice și operaționale ale firmelor de a proteja și păstra datele deținătorilor de carduri furnizate în timpul operațiunilor de procesare a cardurilor. Consiliul pentru Standarde de Securitate PCI dezvoltă și gestionează standardele de conformitate PCI.

Înțelegerea conformității PCI

Procesarea cardurilor de credit este reglementată de Comisia Federală pentru Comerț (FTC), deoarece face obiectul protecției și reglementărilor consumatorilor. Deși nu există nicio constrângere legislativă pentru conformitatea PCI, aceasta este considerată ca fiind cerută de precedentul instanței.

Conformitatea PCI, în general, este o componentă critică a procesului de securitate al oricărei companii de card de credit. Firmele de carduri de credit solicită adesea acest lucru și este menționat în acordurile de rețea de carduri de credit.

Consiliul pentru cerințele PCI este responsabil pentru dezvoltarea standardelor de conformitate PCI. Aceste standarde se aplică procesării comerciantilor și au fost îmbunătățite pentru a include cerințe pentru tranzacțiile criptate pe internet. Alte instituții importante implicate în procesul de stabilire a standardelor industriei cardurilor de credit sunt Card Association Network și National Automated Clearing House (NACHA).

Ce se întâmplă dacă nu sunt compatibil PCI?

În timp ce conformitatea PCI este obligatorie, unii proprietari de companii se întreabă dacă pot evita standardele - aceasta este o idee lipsită de etică și posibil dezastruoasă. Dacă nu sunteți conform PCI, riscați securitatea consumatorilor și a companiei dvs. Fără garanțiile oferite de conformitatea PCI, firma dvs. poate fi expusă la atacuri costisitoare și la încălcări ale datelor.

Dacă are loc o încălcare a datelor și organizația dvs. nu respectă PCI, este posibil să fiți supus penalităților și amenzilor cuprinse între 5.000 USD și 500.000 USD. Cu toate acestea, sancțiunile sunt doar începutul prejudiciului cauzat de nerespectare. Dacă nu sunteți conform PCI, riscați să vă pierdeți contul de comerciant, ceea ce v-ar împiedica să acceptați complet plățile cu cardul de credit. În plus, firma dvs. poate fi inclusă în Lista de Alertă pentru membri pentru controlul comercianților cu risc ridicat (MATCH), ceea ce vă face ineligibil timp de mulți ani pentru a crea un nou cont de comerciant.

În plus, o încălcare a datelor poate duce la daune de mii de dolari, la pierderea respectului și a încrederii consumatorilor și la pierderea mărcii dvs. Datorită gamei de sancțiuni asociate cu non-conformitatea PCI, este întotdeauna înțelept să fii cât mai complet posibil pentru a evita amenzi costisitoare și alte daune.

Care sunt cele 12 cerințe pentru conformitatea PCI DSS?

Instalați și întrețineți firewall-uri

Firewall-urile refuză în mod eficient accesul la datele private organizațiilor externe sau necunoscute. Aceste măsuri de precauție sunt adesea prima linie de protecție împotriva hackerilor (răușitori sau de altă natură). Datorită capacității lor de a preveni accesul neautorizat, firewall-urile sunt necesare pentru conformitatea cu PCI DSS.

Protecție eficientă prin parolă

Routerele, modemurile, sistemele de puncte de vânzare (POS) și alte bunuri terțe includ adesea parole generice și mecanisme de securitate ușor accesibile publicului larg. Adesea, companiile nu reușesc să protejeze aceste vulnerabilități. Menținerea conformității în acest domeniu implică menținerea unei liste cu toate dispozitivele și aplicațiile protejate prin parolă (sau alte tipuri de securitate pentru acces). Cu un inventar de dispozitive/parole, ar trebui implementate protecția și setările esențiale (de exemplu, schimbarea parolei).

Protejați datele deținătorului cardului

A treia obligație de conformitate cu PCI DSS este de a securiza datele deținătorului de card în două moduri. Datele deținătorului de card trebuie să fie criptate folosind un anumit algoritm. Aceste criptări sunt implementate folosind chei de criptare – care trebuie, de asemenea, să fie criptate în scopuri de conformitate. Este necesară menținerea și scanarea regulată a numerelor de cont primare (PAN) pentru a verifica dacă nu există date necriptate.

Criptați datele transmise

Datele deținătorului de card sunt trimise prin diferite rute convenționale (de exemplu, procesatoare de plăți, birouri de acasă din magazinele locale etc.). Când aceste date sunt transferate către aceste destinații cunoscute, acestea trebuie criptate. În plus, numerele de cont nu trebuie date niciodată către site-uri necunoscute.

Utilizați și mențineți Anti-Virus

În afara conformității cu PCI DSS, utilizarea software-ului antivirus este o practică inteligentă. Totuși, toate dispozitivele care interacționează cu și stochează PAN trebuie să aibă instalat software antivirus. Acest software ar trebui să fie corectat și actualizat în mod regulat. În plus, furnizorul dvs. de la punctul de vânzare ar trebui să utilizeze protecție antivirus în zonele în care nu poate fi implementat direct.

Software actualizat

Firewall-urile și software-ul antivirus vor trebui actualizate în mod regulat. În plus, este înțelept să păstrați toate software-urile dintr-o corporație la zi. Majoritatea programelor software încorporează măsuri de securitate, cum ar fi patch-uri pentru a aborda vulnerabilitățile nou identificate, ca parte a actualizărilor lor, oferind un nivel suplimentar de protecție. Aceste upgrade-uri sunt semnificative pentru orice software care rulează pe dispozitive care interacționează cu sau stochează datele deținătorilor de card.

Restricționați accesul la date

Informațiile deținătorului cardului trebuie să fie strict „necesitate de știut”. Tuturor angajaților, directorilor și terților care nu au nevoie de aceste informații ar trebui să li se interzică accesul. Responsabilitățile care necesită date sensibile ar trebui să fie bine documentate și actualizate în mod regulat, așa cum prevede PCI DSS.

Coduri unice de acces

Angajații care au acces la datele deținătorilor de card ar trebui să fie identificați și fiecare să aibă acreditările lor separate. De exemplu, datele criptate nu ar trebui să fie accesate printr-o singură autentificare, mai mulți lucrători cunoscând numele de utilizator și parola. Identificatorii unici reduc susceptibilitatea și asigură un timp de reacție mai rapid dacă datele sunt compromise.

Limitați accesul la nivel fizic

Orice date despre deținătorii de carduri trebuie să fie stocate fizic într-o zonă sigură. Datele scrise sau tastate fizic și datele stocate digital (de exemplu, pe un hard disk) ar trebui să fie securizate într-o cameră, sertar sau dulap sigur. Nu numai că accesul ar trebui restricționat, dar ori de câte ori sunt accesate date sensibile, ar trebui păstrată o înregistrare pentru a asigura conformitatea.

Gestionați jurnalele de acces

Toate tranzacțiile care implică datele deținătorului de card și numerele de cont primare (PAN) trebuie înregistrate. Poate că cea mai răspândită problemă de neconformitate este lipsa unei evidențe suficiente și a documentației pentru accesul la date sensibile. Conformitatea necesită urmărirea fluxului de date care intră în compania dvs. și frecvența cu care este necesar accesul. În plus, instrumentele software care urmăresc accesul sunt necesare pentru a asigura acuratețea.

Scanarea și testarea vulnerabilităților

Fiecare dintre cele zece criterii de conformitate anterioare necesită utilizarea multor produse software, locații fizice și personal. Numeroase articole pot să nu funcționeze corect, să devină învechite sau să facă obiectul unor greșeli umane. Putem atenua aceste riscuri respectând criteriile PCI DSS pentru scanările regulate și testarea vulnerabilităților.

Politici privind documentele

Conformitatea va avea nevoie de documentația echipamentelor, software-ului și lucrătorilor care au acces. În plus, înregistrările privind accesul la datele deținătorului de card vor necesita documente. De asemenea, va fi necesar să înregistrați modul în care informațiile intră în afacerea dvs., unde sunt deținute și utilizate dincolo de punctul de vânzare.

Avantajele conformității PCI

Avantajele conformității includ un risc scăzut de încălcare a datelor, protecția datelor deținătorilor de card și evitarea furtului de identitate. Conformitatea este cea mai bună practică pentru companii, deoarece minimizează penalitățile asociate cu încălcarea datelor, aduce beneficii reputației mărcii unei firme și asigură că consumatorii sunt mulțumiți și încrezători că fac afaceri cu o companie responsabilă, ceea ce duce la loialitatea mărcii.

Toate companiile care acceptă informații despre cardul de credit sunt obligate, conform acordurilor lor de procesare a cardurilor, să mențină conformitatea PCI. Conformitatea PCI este standardul industriei, iar companiile care nu aderă la acesta riscă să suporte penalități semnificative pentru încălcarea contractelor și neglijență. Companiile care nu sunt conforme cu PCI sunt, de asemenea, foarte expuse la furturi, fraude și încălcări ale datelor.

La Fixed.net vă recomandăm insistent să nu atingeți niciodată datele cardului . Aceasta înseamnă că utilizați un furnizor precum Stripe sau Braintree unde datele cardului sunt tokenizate. Datele cardului nu sunt stocate de dvs. și nici măcar nu sunt văzute de dvs. Un client introduce detaliile folosind un widget încorporat de pe site-ul furnizorului de plăți.

Conformitate PCI și WordPress

WordPress este un software cu sursă deschisă și nu are un sistem de plată încorporat. În schimb, sistemele de plată sunt la pachet cu pluginuri precum WooCommerce. Aceste plugin-uri au de obicei capacitatea de a asocia gateway-uri terțe precum Stripe. Dacă alegeți un gateway unde nu atingeți datele cardului, atunci nu trebuie să fiți compatibil PCI.

Conformitate PCI și WooCommerce

WooCommerce vine cu o serie de opțiuni de plată combinate și îl puteți extinde cu pluginuri terțe. Intrăm în opțiunile de plată în diverse alte ghiduri de pe acest blog. Cu toate acestea, marea majoritate a abonaților fix tind să folosească o combinație de Stripe și PayPal.