Что такое соответствие PCI и нужно ли мне соответствовать требованиям PCI?

Соответствие PCI: что это такое?

Компании, выпускающие кредитные карты, должны соблюдать требования PCI, чтобы обеспечить безопасность транзакций по кредитным картам в финансовой системе. Соответствие индустрии платежных карт относится к техническим и операционным требованиям фирм по защите и сохранению данных о держателях карт, предоставляемых во время операций по обработке карт. Совет по стандартам безопасности PCI разрабатывает стандарты соответствия PCI и управляет ими.

Понимание соответствия PCI

Обработка кредитных карт регулируется Федеральной торговой комиссией (FTC), поскольку она подпадает под защиту прав потребителей и регулирование. Хотя законодательного принуждения к соблюдению PCI не существует, это рассматривается как требуемое в соответствии с судебным прецедентом.

Соответствие стандарту PCI, в целом, является важным компонентом процесса обеспечения безопасности каждой компании, выпускающей кредитные карты. Компании, выпускающие кредитные карты, часто требуют этого, и это упоминается в сетевых соглашениях о кредитных картах.

Совет по требованиям PCI отвечает за разработку стандартов соответствия PCI. Эти стандарты применяются к процессингу продавцов и были дополнены требованиями к зашифрованным интернет-транзакциям. Другими важными учреждениями, участвующими в процессе установления стандартов в индустрии кредитных карт, являются Сеть карточных ассоциаций и Национальная автоматизированная клиринговая палата (NACHA).

Что делать, если я не совместим с PCI?

Хотя соответствие PCI является обязательным, некоторые владельцы компаний задаются вопросом, могут ли они обойти эти стандарты — это неэтичная и, возможно, пагубная идея. Если вы не соответствуете требованиям PCI, вы рискуете безопасностью своих потребителей и компании. Без гарантий, обеспечиваемых соответствием PCI, ваша компания может подвергнуться дорогостоящим атакам и утечкам данных.

Если произойдет утечка данных, а ваша организация не соответствует требованиям PCI, вы можете быть подвергнуты санкциям и штрафам в размере от 5000 до 500 000 долларов США. Однако штрафы — это только начало вреда, причиняемого несоблюдением. Если вы не соответствуете требованиям PCI, вы рискуете потерять свой торговый счет, что не позволит вам вообще принимать платежи по кредитным картам. Кроме того, ваша фирма может быть включена в Список предупреждений участников о контроле продавцов с высоким уровнем риска (MATCH), что лишает вас права на открытие нового торгового счета в течение многих лет.

Кроме того, утечка данных может привести к убыткам в тысячи долларов, потере уважения и доверия потребителей и потере вашего бренда. Из-за ряда штрафов, связанных с несоблюдением PCI, всегда разумно соблюдать как можно более полное соответствие, чтобы избежать дорогостоящих штрафов и других убытков.

Каковы 12 требований для соответствия стандарту PCI DSS?

Установка и обслуживание брандмауэров

Брандмауэры эффективно запрещают доступ к частным данным сторонним или неизвестным организациям. Эти меры предосторожности часто являются первой линией защиты от хакеров (злонамеренных или иных). Из-за их способности предотвращать несанкционированный доступ брандмауэры необходимы для соответствия стандарту PCI DSS.

Эффективная защита паролем

Маршрутизаторы, модемы, системы торговых точек (POS) и другие товары сторонних производителей часто содержат общие пароли и механизмы безопасности, легко доступные для широкой публики. Компании часто не могут защитить эти уязвимости. Поддержание соответствия в этой области включает в себя ведение списка всех устройств и приложений, защищенных паролем (или других средств защиты доступа). При инвентаризации устройств/паролей необходимо реализовать необходимую защиту и настройки (например, изменить пароль).

Защитите данные держателя карты

Третье обязательство по соответствию стандарту PCI DSS заключается в защите данных держателей карт двумя способами. Данные держателя карты должны быть зашифрованы с использованием определенного алгоритма. Эти шифрования реализуются с использованием ключей шифрования, которые также должны быть зашифрованы в целях соответствия требованиям. Регулярное обслуживание и сканирование основных номеров учетных записей (PAN) необходимо для проверки отсутствия незашифрованных данных.

Шифрование передаваемых данных

Данные о держателях карт отправляются по различным традиционным маршрутам (т. е. через платежные системы, домашние офисы из местных магазинов и т. д.). Когда эти данные передаются в эти известные пункты назначения, они должны быть зашифрованы. Кроме того, номера счетов никогда не следует сообщать неизвестным сайтам.

Используйте и поддерживайте антивирус

Вне соответствия PCI DSS использование антивирусного программного обеспечения является разумной практикой. Однако на всех устройствах, которые взаимодействуют с PAN и хранят его, должно быть установлено антивирусное программное обеспечение. Это программное обеспечение должно регулярно исправляться и обновляться. Кроме того, ваш поставщик торговых точек должен использовать антивирусную защиту в тех областях, где ее нельзя развернуть напрямую.

Обновленное программное обеспечение

Брандмауэры и антивирусное программное обеспечение необходимо будет регулярно обновлять. Кроме того, разумно поддерживать все программное обеспечение в корпорации в актуальном состоянии. Большинство программ включают в себя меры безопасности, такие как исправления для недавно обнаруженных уязвимостей, как часть их обновлений, обеспечивая дополнительный уровень защиты. Эти обновления важны для любого программного обеспечения, работающего на устройствах, которые взаимодействуют с данными держателей карт или хранят их.

Ограничить доступ к данным

Информация о держателе карты должна быть строго «необходимо знать». Всем сотрудникам, руководителям и третьим лицам, которым не нужна эта информация, должно быть отказано в доступе. Обязанности, которым требуются конфиденциальные данные, должны быть хорошо задокументированы и регулярно обновляться, как того требует стандарт PCI DSS.

Уникальные коды доступа

Сотрудники, у которых есть доступ к данным о держателях карт, должны быть идентифицированы, и каждый из них должен иметь свои учетные данные. Например, доступ к зашифрованным данным не должен осуществляться через один логин, когда несколько сотрудников знают имя пользователя и пароль. Уникальные идентификаторы снижают уязвимость и ускоряют реакцию в случае компрометации данных.

Ограничение доступа на физическом уровне

Любые данные о держателях карт должны физически храниться в безопасном месте. Физически записанные или напечатанные данные, а также данные, хранящиеся в цифровом виде (например, на жестком диске), должны быть защищены в безопасной комнате, ящике или шкафу. Не только доступ должен быть ограничен, но и всякий раз, когда происходит доступ к конфиденциальным данным, должна вестись запись для обеспечения соблюдения.

Управление журналами доступа

Все транзакции, связанные с данными держателей карт и основными номерами счетов (PAN), должны быть зарегистрированы. Возможно, наиболее распространенной проблемой несоблюдения требований является отсутствие достаточного учета и документации для доступа к конфиденциальным данным. Соответствие требует отслеживания потока данных, поступающих в вашу компанию, и частоты, с которой требуется доступ. Кроме того, для обеспечения точности необходимы программные средства, отслеживающие доступ.

Сканирование и тестирование уязвимостей

Каждый из предыдущих десяти критериев соответствия требует использования многих программных продуктов, физических местоположений и персонала. Многочисленные элементы могут работать неправильно, устаревать или подвергаться человеческим ошибкам. Мы можем снизить эти риски, придерживаясь критериев PCI DSS для регулярного сканирования и тестирования на наличие уязвимостей.

Политика в отношении документов

Для обеспечения соответствия потребуется документация по оборудованию, программному обеспечению и работникам, имеющим доступ. Кроме того, записи о доступе к данным держателей карт потребуют документации. Также необходимо записывать, как информация поступает в ваш бизнес, где она хранится и используется за пределами точки продажи.

Преимущества соответствия PCI

Преимущества соответствия включают снижение риска утечки данных, защиту данных держателей карт и предотвращение кражи личных данных. Соответствие требованиям является передовой практикой для бизнеса, поскольку оно сводит к минимуму штрафы, связанные с утечкой данных, приносит пользу репутации бренда фирмы и гарантирует, что потребители будут удовлетворены и уверены в том, что они имеют дело с ответственной компанией, что приводит к лояльности к бренду.

Все предприятия, которые принимают информацию о кредитных картах, обязаны в соответствии с их соглашениями об обработке карт поддерживать соответствие PCI. Соответствие PCI является отраслевым стандартом, и компании, которые не соблюдают его, рискуют понести значительные штрафы за нарушение условий контракта и небрежность. Компании, которые не соответствуют требованиям PCI, также очень подвержены воровству, мошенничеству и утечке данных.

В Fixed.net мы настоятельно рекомендуем вам никогда не прикасаться к данным карты . Это означает, что используйте провайдера, такого как Stripe или Braintree, где данные карты токенизированы. Данные карты не сохраняются вами и даже не видны вам. Клиент вводит данные с помощью встроенного виджета с веб-сайта платежной системы.

Соответствие PCI и WordPress

WordPress является программным обеспечением с открытым исходным кодом и не имеет встроенной платежной системы. Вместо этого платежные системы поставляются в комплекте с плагинами, такими как WooCommerce. Эти плагины обычно имеют возможность связывать сторонние шлюзы, такие как Stripe. Если вы выбираете шлюз, где вы не трогаете данные карты, вам не нужно быть PCI-совместимым.

Соответствие PCI и WooCommerce

WooCommerce поставляется с несколькими вариантами оплаты в комплекте, и вы можете расширить его с помощью сторонних плагинов. Мы переходим к вариантам оплаты в различных других руководствах в этом блоге. Однако подавляющее большинство подписчиков Fixed, как правило, используют комбинацию Stripe и PayPal.