Відповідність PCI
Відповідність галузі платіжних карток (PCI) стосується технічних та експлуатаційних стандартів, яких повинні дотримуватися підприємства, щоб забезпечити захист даних кредитних карт, наданих власниками карт. Відповідність PCI застосовується Радою стандартів PCI, і всі підприємства, які зберігають, обробляють або передають дані кредитних карток в електронному вигляді, зобов'язані дотримуватися вказівок щодо відповідності.
НАРУШЕННЯ Відповідність PCI
Стандарти дотримання платіжних карток (PCI) вимагають від продавців та інших підприємств безпечну обробку інформації про кредитні картки, що сприяє зниженню ймовірності того, що власники карток будуть вкрадені чутливих фінансових даних. Якщо торговці не обробляють належним чином інформацію про кредитні картки, її дані можуть бути зламані та використані для здійснення шахрайських покупок. Крім того, конфіденційна інформація про власника картки може бути використана при шахрайстві з особою.
Бути сумісним із PCI означає послідовно дотримуватися набору інструкцій, викладених компаніями, що випускають кредитні картки. Вказівки окреслюють низку кроків, яких слід постійно дотримуватись процесорам кредитних карток. Компанії спочатку просять оцінити інфраструктуру інформаційних технологій, бізнес-процеси та процедури обробки кредитних карт, щоб допомогти виявити потенційні загрози, які можуть поставити під загрозу дані кредитних карт. Потім компанії просять усунути будь-які прогалини в безпеці та уникати зберігання конфіденційної інформації власників карток, наприклад, соціального забезпечення та номерів посвідчення водія, коли це можливо. Компанії зобов’язані надавати звіти про відповідність брендам карт, з якими вони працюють, наприклад American Express і VISA.
Усі компанії, що обробляють інформацію про кредитні картки, зобов'язані підтримувати відповідність PCI, незалежно від їх розміру чи кількості транзакцій з кредитними картками, які вони обробляють. Усі компанії розбиваються на рівні торговців залежно від кількості операцій, які обробляються протягом визначеного періоду. Відповідність PCI регулюється Радою стандартів безпеки платіжних карток, організацією, утвореною в 2006 році з метою управління безпекою кредитних карт. Вимогами, відомими як Стандарти безпеки даних платіжних карток (PCI DSS), керуються великі компанії з кредитних карток, зокрема VISA, American Express, Discover та MasterCard, серед інших.
Відповідність PCI та порушення даних
Багатьох найбільших в історії порушень даних можна було уникнути, якщо постраждалі торговці чи фінансові установи відповідали PCI. Ось кілька ключових заходів із звіту про безпеку платежів Verizon 2017, поглибленого дослідження відповідності PCI DSS:
- Організації роздрібної торгівлі продемонстрували найнижчу стійкість відповідності PCI у всіх ключових галузях.
- Індустрія ІТ-послуг досягла найвищої повноти відповідності всіх ключових галузевих груп.
- 77 відсотків компаній, оцінених після порушення даних, не відповідали вимозі PCI номер один: встановити та підтримувати конфігурацію брандмауера.
- Дослідження показує "демонстративну" кореляцію між сучасною інформацією про стандарти PCI та бізнесом, який успішно захистився від кіберзагроз.
- Кількість підприємств, які на 100 відсотків сумісні з PCI, значно зростає з кожним роком.