Розвінчання міфів про відповідність PCI - 5 найкращих міфів про відповідність PCI

Стандарт PCI DSS був введений у дію 7 вересня 2006 року. Його метою було управління стандартами безпеки PCI та підвищення безпеки рахунків у процесі транзакцій. Стандарт безпеки даних індустрії платіжних карток відповідає за адміністрування та управління PCI DSS. Саме платіжні бренди повинні переконатися, що вони дотримуються правил і норм, встановлених PCI DSS.

Проблеми відповідності стандарту PCI

У наші дні відповідність стандарту PCI є обов'язковою для будь-якої компанії або організації, що працює з картковими даними. Основна
проблема дотримання правил PCI полягає в тому, що вони дуже великі, тому більшість організацій вважають, що дотримання цих правил є складним завданням. Існує безліч оман та міфів, пов'язаних з індустрією платежів, що ще більше ускладнює ситуацію. Це означає, що організації навіть не впевнені, що означає бути повністю сумісними з правилами PCI. У продавців може виникнути спокуса дотримуватися тільки тих стандартів, які мають логічний сенс для їхньої професійної діяльності. Їм здається, що вони роблять достатньо, щоб залишатися захищеними у критично важливих галузях. Оскільки вони вважають, що порушення безпеки є досить малоймовірним. Деякі комерсанти навіть можуть повністю
ігнорувати необхідність відповідності стандарту PCI.

Проблема невідповідності стандартам PCI полягає в тому, що це призводить до фінансових збитків від витоку даних, втрати довіри з боку клієнтів і навіть до значних штрафів з боку компаній, що обслуговують кредитні картки, та серйозних судових позовів. Тому організації повинні чітко знати свої вимоги щодо дотримання правил PCI.

Ось 5 основних міфів щодо відповідності PCI, про які ви повинні знати.

PCI призначений для підприємств електронної комерції

Комерсанти вважають, що їм необхідно дотримуватися правил PCI, якщо вони займаються електронною комерцією. Однак насправді відповідність PCI поширюється на всі види бізнесу, пов'язані зі зберіганням, обробкою та передачею інформації про власників карток. Це може бути платформа для електронної комерції у точці продажу або POS-системі, що використовується в магазині, віртуальний термінал або окремий термінал. Якщо ви є продавцем у магазині і хочете працювати з даними кредитних карток, то вам необхідно мати на увазі, що POS-пристрої іноді вимагають від користувачів зберігати дані треку разом із транзакціями. Однак цей процес суперечить правилам PCI DSS і може призвести до великих штрафів різних банків. Отже, ви повинні ретельно вибирати POS-пристрій, щоб уникнути будь-яких неприємних інцидентів. Це стосується платіжних шлюзів. Усі постачальники повинні дотримуватися правил PCI.

Малі підприємства зобов'язані турбуватися про PCI до того часу, поки їхній бізнес не розшириться і зросте.

Це твердження може бути далеким від істини. Реальність така, що малому бізнесу слід приділяти особливу увагу до відповідності PCI. Кіберзлочинці та хакери часто вибирають малі підприємства з поганими заходами безпеки даних, ніж більші підприємства. Не має значення, який розмір підприємства – великий чи маленький. Вони повинні дотримуватись правил відповідності стандарту PCI до тих пір, поки працюють з конфіденційними картковими даними. Це означає, що тільки-но комерційна фірма починає свою діяльність, вона повинна бути в курсі всіх вимог PCI і відповідати їм.

Бізнес може відповідати PCI, якщо він дотримується більшості критеріїв

Багато комерсантів вважають, що якщо вони дотримуються більшості умов та правил, пов'язаних із PCI, то вони відповідають вимогам PCI. Однак це не так, і такий спосіб мислення може зробити їх вразливими до різних порушень безпеки. Навіть якщо ви не дотримуєтеся лише одного правила PCI, ви не можете вважатися відповідними правилами PCI. Щоб бути сумісним, ви повинні дотримуватися всіх вимог. Не намагайтеся вибрати ті стандарти, які здаються вам розумними або логічними для вашого бізнесу. Незалежно від того, чи ви усвідомлюєте важливість того чи іншого правила відповідності, ви повинні слідувати йому, щоб бути повністю захищеним від потенційних атак. Як тільки ви не дотримуєтеся хоч одного стандарту, ви піддаєте ризику своїх клієнтів. Повна відповідність стандарту PCI потрібна для захисту інформації про власників карток. Однак це лише мінімальний стандарт. Ви можете застосовувати додаткові заходи безпеки для підвищення безпеки систем даних.

PCI вимагає, щоб торгові підприємства зберігали інформацію про власників карток

Для PCI зберігання даних про власників карток не є обов'язковим. Більше того, PCI настійно не рекомендує процесорам та торговцям зберігати ці дані. Зберігання даних, отриманих з магнітних смуг на звороті кредитних карток, є незаконним. Якщо торговому підприємству необхідно зберегти інформацію, що знаходиться на лицьовій стороні кредитної картки, наприклад, номери рахунків та імена клієнтів, то така інформація повинна зберігатися у зашифрованому вигляді.

Продавці можуть вибирати для зберігання будь-які дані.

Комерсанти не володіють і не мають прав на будь-які дані клієнтів. Отже, підприємства не можуть зберігати або отримувати доступ до будь-якої інформації, яку вони хотіли б використовувати для підтримки своїх бізнес-вимог. PCI суворо забороняє всім торговим підприємствам зберігати номери кредитних карток, пін-блоки, CVV або CVV2, а також PIN-коди. Якщо такі дані будуть виявлені в базі даних компанії, аудиторських журналах або журналах реєстрації, проти них можуть бути вжиті юридичні заходи.

Відстеження перелічених вище міфів – це спосіб переконатися в тому, що компанія знає, що потрібно робити, щоб відповідати правилам PCI Compliance. Ви також можете перейти за посиланням, щоб дізнатися більше про PCI Compliance.