PCI atitiktis
Mokėjimo kortelių pramonės (PCI) atitiktis reiškia techninius ir veiklos standartus, kurių turi laikytis įmonės, kad užtikrintų kortelių savininkų pateiktų kredito kortelių duomenų apsaugą. PCI laikymąsi vykdo PCI standartų taryba, o visos įmonės, kurios saugo, apdoroja ar perduoda kredito kortelių duomenis elektroniniu būdu, privalo laikytis atitikties gairių.
PCI ATITIKIMAS
Mokėjimo kortelių pramonės (PCI) atitikties standartai reikalauja, kad prekybininkai ir kitos įmonės saugiai tvarkytų kredito kortelių informaciją, kuri padeda sumažinti tikimybę, kad kortelių turėtojai pavogtų neskelbtinus finansinius duomenis. Jei prekybininkai netinkamai tvarko kredito kortelių informaciją, kortelės informacija gali būti nulaužta ir panaudota apgaulingiems pirkiniams. Be to, slapta informacija apie kortelės turėtoją galėtų būti naudojama sukčiaujant tapatybę.
Atitikimas PCI reiškia nuoseklų kredito kortelių išdavimo bendrovių nustatytų rekomendacijų laikymąsi. Gairėse aprašomi keli žingsniai, kurių turi nuolat atlikti kredito kortelių tvarkytojai. Pirmiausia įmonių prašoma įvertinti savo informacinių technologijų infrastruktūrą, verslo procesus ir kreditinių kortelių tvarkymo procedūras, kad būtų lengviau nustatyti galimas grėsmes, kurios gali pakenkti kreditinių kortelių duomenims. Tada įmonių prašoma pašalinti bet kokius saugumo trūkumus ir, kai įmanoma, saugoti neskelbtiną kortelių turėtojų informaciją, pavyzdžiui, socialinę apsaugą ir vairuotojo pažymėjimo numerius. Reikalaujama, kad įmonės pateiktų atitikties ataskaitas kortelių prekiniams ženklams, su kuriais jos dirba, pavyzdžiui, „American Express“ ir „VISA“.
Visos įmonės, kurios tvarko kredito kortelių informaciją, privalo išlaikyti PCI laikymąsi, nepriklausomai nuo jų dydžio ar apdorojamų kredito kortelių operacijų skaičiaus. Visos įmonės yra suskirstytos į prekybininkų lygius, atsižvelgiant į operacijų, kurios įvykdytos per nurodytą laikotarpį, skaičių. PCI laikymąsi reglamentuoja Mokėjimo kortelių pramonės saugumo standartų taryba, organizacija, įsteigta 2006 m. Kreditinių kortelių saugumui valdyti. Reikalavimus, žinomus kaip Mokėjimo kortelių pramonės duomenų apsaugos standartai (PCI DSS), valdo didžiosios kreditinių kortelių įmonės, įskaitant „VISA“, „American Express“, „Discover“ ir „MasterCard“.
PCI atitiktis ir duomenų pažeidimai
Gali būti išvengta daugelio istorijoje buvusių didžiausių duomenų pažeidimų, jei paveikti prekybininkai ar finansinės institucijos atitiko PCI. Čia pateikiami keli pagrindiniai dalykai iš „Verizon 2017“ mokėjimų saugos ataskaitos, nuodugnaus PCI DSS atitikties tyrimo:
- Mažmeninės prekybos organizacijos parodė, kad visose pagrindinėse pramonės šakose PCI laikymasis yra žemiausias.
- IT paslaugų pramonė pasiekė aukščiausią visišką atitiktį visoms tirtoms pramonės grupėms.
- 77 procentai įmonių, įvertintų po duomenų pažeidimo, neatitiko PCI reikalavimo Nr. 1: įdiegti ir prižiūrėti ugniasienės konfigūraciją.
- Tyrimas rodo „įrodomą“ koreliaciją tarp įmonių, kurios yra naujausios PCI standartų, ir įmonių, kurios sėkmingai apsigynė nuo kibernetinių grėsmių.
- Įmonių skaičius, kurios 100 proc. Atitinka PCI, per metus, palyginti su ankstesniais metais, labai auga.