Соответствие стандарту PCI DSS: 12 требований, которые необходимо учитывать

Опубликовано: 27 Февраля, 2023
Соответствие стандарту PCI DSS: 12 требований, которые необходимо учитывать

Стандарт безопасности данных индустрии платежных карт (PCI DSS) включает 12 требований соответствия, разработанных Советом по стандартам безопасности PCI. Этот стандарт гарантирует, что все компании, которые принимают кредитные карты, делают это безопасным образом.

Соединенные Штаты не обеспечивают соблюдение PCI DSS на федеральном уровне, но в некоторых штатах действуют аналогичные законы. Соблюдение PCI DSS может защитить ваш бизнес от судебных исков. Все это зависит от вашего местоположения, а также от федеральных и местных законов. Этот стандарт и его требования могут помочь вам создать более безопасную платежную сеть и уберечь вас от юридических проблем в будущем, если ваши платежные данные будут скомпрометированы.

В этой статье я расскажу вам о стандарте PCI DSS, его 12 требованиях соответствия и о том, почему это важно для вашего бизнеса. Итак, давайте начнем с того, что такое PCI DSS и на кого он распространяется.

Что такое PCI DSS и на кого он распространяется?

Как я объяснил выше, PCI DSS — это стандарт безопасности для платежей по кредитным картам. Он был создан для повышения безопасности платежных систем в бизнесе. Он был запущен в 2007 году Советом по стандартам безопасности PCI, независимым советом, сформированным основными брендами кредитных карт: Visa, MasterCard, American Express, Discover и JCB.

Правила и нормы PCI DSS применяются к любой организации , которая принимает, передает или хранит любые данные о держателях карт, независимо от размера бизнеса или количества транзакций. Однако, как я упоминал ранее, PCI DSS не применяется на федеральном уровне в Соединенных Штатах. Тем не менее, некоторые законы штата ссылаются на это.

Вы можете спросить , как вы можете соответствовать PCI DSS и каковы его 12 требований? Читай дальше что бы узнать.

12 требований соответствия стандарту PCI DSS

Ниже приведены 12 требований соответствия PCI DSS, их назначение и способы защиты данных держателей карт. Соблюдение этих 12 требований абсолютно необходимо, если вы хотите, чтобы ваша компания прошла сертификацию.

Подготовьте и настройте свою систему

1. Установите брандмауэр

Установите и поддерживайте аппаратный и программный брандмауэр. Вы должны настроить этот брандмауэр для защиты данных держателей карт. Кроме того, ваш брандмауэр должен иметь строгие правила для входящего и исходящего трафика.

2. Безопасные конфигурации для всех систем

Вы не должны использовать готовые конфигурации для системных паролей и других параметров безопасности. Вместо этого вы должны реализовать надлежащее управление конфигурацией системы.

Зашифруйте и защитите данные вашего клиента

3. Защитите сохраненные данные учетной записи держателя карты

Чтобы обеспечить защиту данных учетной записи, убедитесь, что вы зашифровали данные и что у вас есть строгий контроль над базой данных.

4. Шифровать данные держателя карты при передаче

Важно отметить, что данные о держателях карт могут использоваться где угодно, а это означает, что эти данные проходят через открытые или общедоступные сети. Вот почему вы должны убедиться, что данные ваших держателей карт полностью зашифрованы. Вы также должны помнить, куда эти данные передаются и откуда, и кто их получает. Не полагайтесь на старый SSL и ранний TLS для обеспечения адекватной защиты.

5. Используйте антивирусное программное обеспечение

Не забывайте инвестировать в надежное антивирусное программное обеспечение. Не забывайте постоянно обновлять этот антивирус. Кроме того, рассмотрите возможность получения защиты от вредоносных программ либо в виде отдельного программного обеспечения, либо в комплекте с антивирусом.

Сохранение и ограничение доступа к данным клиентов

6. Поддерживайте безопасность систем и приложений

Ваши внутренние системы должны быть обновлены и поддерживаться в хорошем состоянии. Критические системы и программное обеспечение должны регулярно обновляться.

7. Ограничить доступ к данным о держателях карт

Физические лица должны иметь доступ к данным о держателях карт только в случае деловой необходимости. Не забудьте отметить, кто имеет доступ к этим данным. Система контроля доступа обычно требуется для отслеживания входа в систему и мониторинга системы, так что имейте это в виду.

8. Назначьте уникальные идентификаторы

Рассмотрите возможность назначения уникальные идентификаторы для всех и убедитесь, что вы регулярно обновляете пароли доступа к вашей системе. Также рекомендуется внедрить многофакторную аутентификацию для всех ваших систем.

9. Ограничьте физический доступ к данным о держателях карт

Важно постоянно контролировать свои POS-терминалы. Вы должны убедиться, что физический доступ к областям, содержащим серверы или компьютеры, остается заблокированным и контролируемым. Держите своих сотрудников в курсе последних событий и обучайте их передовым методам обеспечения безопасности.

Тестируйте, настраивайте и документируйте свою систему

10. Настройте программное обеспечение для мониторинга и оповещения

Компоненты системы и данные о держателях карт должны иметь настроенное программное обеспечение для регистрации и оповещения, чтобы вы могли отслеживать, кто и когда обращался к данным. Вам также потребуется создать для этого правила управления журналами и системы управления журналами .

11. Проверьте свои системы безопасности

Вы должны регулярно тестировать свои системы. Вы должны знать свое окружение. Для вас важно запускать сканирование уязвимостей каждый квартал и проводить тесты на проникновение.

12. Задокументируйте свою политику информационной безопасности

Все, что касается ваших систем и процессов безопасности , должно быть задокументировано. Вы должны создать план реагирования на инциденты, а также процесс оценки рисков. Имейте их на месте на случай возникновения каких-либо проблем.

Теперь, когда вы знаете 12 требований, пришло время сделать следующий шаг и получить сертификат соответствия PCI DSS.

Изображение 42

Как стать совместимым с PCI DSS

Как только вы выполните все 12 требований, вы сможете выполнить следующие 5 шагов, чтобы получить полную сертификацию PCI DSS. Процесс сертификации довольно прост, но вы можете захотеть , чтобы третья сторона проверила вашу работу и утвердила вас в процессе. Помогает! Давайте рассмотрим 5 шагов, которые помогут вам получить полную сертификацию:

  1. Просмотрите все стандарты соответствия, чтобы увидеть, к чему относится ваш бизнес, и как общие стандарты PCI описывают ваш бизнес.
  2. Возьмите анкету самооценки. Заполнив анкету, вы сможете увидеть, чего вам не хватает и что вам нужно исправить, прежде чем перейти к следующему шагу.
  3. Найдите поставщика токенизации данных. Они могут токенизировать данные вашего клиента, чтобы сделать их более безопасными при передаче.
  4. Заполните официальное заявление. После того, как все ваши технологии будут установлены и настроены должным образом, вы будете готовы заполнить формальную аттестацию соответствия. Вы также можете нанять квалифицированного эксперта по безопасности для проверки ваших систем и написания отчета для проверки ваших систем.
  5. Подайте документы в кредитные компании и банки. Как только вы это сделаете, вы получите сертификат! Теперь вы готовы к работе!

Поздравляем! Ты сделал это! Вы настроили свой бизнес на успех и уделили первоочередное внимание безопасности данных кредитной карты вашего клиента как не подлежащему обсуждению вопросу. Теперь давайте закругляться!

Нижняя линия

Если вы работаете с платежными данными клиентов, то в ваших же интересах обеспечить соответствие требованиям. Это связано с тем, что вы, как владелец бизнеса, хотите защитить данные своих клиентов и репутацию своей компании. Кроме того, в случае кибератаки вы будете защищены от множества юридических проблем, которые могут возникнуть, если вы не будете соблюдать требования.

Подводя итог, вы узнали, что такое PCI DSS, каковы его 12 требований и как удовлетворить эти требования. Я также объяснил, как подать заявку на получение официальной сертификации. По сути, PCI DSS направлен на защиту данных держателей карт. У вас должны быть передовые методы, чтобы гарантировать, что никто не сможет скомпрометировать информацию карты ваших пользователей. Я надеюсь, что эта статья помогла вам, не стесняйтесь обращаться к ней в будущем по мере необходимости.

У вас есть дополнительные вопросы о стандарте PCI DSS и его 12 требованиях? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже.

Часто задаваемые вопросы

Что такое PCI DSS?

PCI DSS означает стандарт безопасности данных индустрии платежных карт. Группа компаний-эмитентов кредитных карт собрала его, чтобы защитить данные потребителей, а также сократить количество атак за счет принятия мер безопасности.

Кто основал PCI DSS?

Учредителями являются American Express, Discover Financial Services, JCB, Mastercard и Visa. Они собрались вместе, чтобы ввести в действие систему требований, которая лучше защитит потребителя. Соблюдение этого стандарта может не везде являться юридическим требованием, но лучше всего применять принципы PCI DSS в своей деятельности.

Что такое данные держателя карты?

В соответствии с PCI DSS к конфиденциальным данным о держателях карт относятся: PAN, имя держателя карты, сервисный код и дата истечения срока действия. Он также может включать данные дорожки с магнитной полосы или эквивалентные данные на чипе, CAV2/CVC2/CVV2/CID/CVN2 и блок PIN/PIN.

Кто должен соблюдать?

Любой, кто принимает платежи по кредитным картам, должен соблюдать PCI DSS. Однако вы должны знать о местных/государственных/федеральных законах и правилах, которые могут повлиять на применимость требований PCI DSS.

Что такое определение «продавца» в соответствии с PCI DSS?

Для целей PCI DSS продавцом является любое лицо, которое принимает платежные карты с логотипом участвующего платежного бренда PCI SSC (Visa, Mastercard, AMEX и т. д.) в качестве оплаты товаров и/или услуг. Все продавцы должны соблюдать этот стандарт. В противном случае они могут подвергнуть риску ваши данные держателя карты.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023