Skladnost PCI
Skladnost industrije plačilnih kartic (PCI) se nanaša na tehnične in operativne standarde, ki jih morajo podjetja upoštevati, da zagotovijo zaščito podatkov kreditnih kartic, ki jih nudijo imetniki kartic. Skladnost s PCI uveljavlja Svet standardov PCI in vsa podjetja, ki shranjujejo, obdelujejo ali prenašajo podatke o kreditnih karticah v elektronski obliki, morajo upoštevati smernice skladnosti.
BREAKING DOWN PCI Compliance
Standardi skladnosti industrije plačilnih kartic (PCI) zahtevajo, da trgovci in druga podjetja varno ravnajo s podatki o kreditnih karticah, kar pomaga zmanjšati verjetnost, da bi imetniki kartic ukradli občutljive finančne podatke. Če trgovci ne bodo pravilno ravnali s podatki o kreditnih karticah, bi lahko podatke o kartici vdrli in jih uporabili za lažne nakupe. Poleg tega bi lahko občutljive podatke o imetniku kartice uporabili pri goljufiji z identiteto.
Skladnost s PCI pomeni dosledno upoštevanje nabora smernic, ki jih izdajo podjetja, ki izdajajo kreditne kartice. Smernice opisujejo vrsto korakov, ki jih morajo nenehno upoštevati obdelovalci kreditnih kartic. Podjetja najprej prosijo, da ocenijo svojo infrastrukturo informacijske tehnologije, poslovne procese in postopke ravnanja s kreditnimi karticami, da pomagajo prepoznati potencialne grožnje, ki bi lahko ogrozile podatke kreditnih kartic. Nato se od podjetij zahteva, da odpravijo morebitne vrzeli na področju varnosti in se izogibajo shranjevanju občutljivih podatkov o imetnikih kartic, na primer socialne varnosti in številk vozniških dovoljenj. Podjetja morajo predložiti poročila o skladnosti blagovnim znamkam kartic, s katerimi sodelujejo, na primer American Express in VISA.
Vsa podjetja, ki obdelujejo podatke o kreditnih karticah, morajo vzdrževati skladnost PCI, ne glede na njihovo velikost ali število transakcij s kreditnimi karticami. Vsa podjetja so razdeljena na ravni trgovcev glede na število transakcij, ki so obdelane v določenem obdobju. Skladnost PCI ureja Svet za varnostne standarde industrije plačilnih kartic, organizacija, ki je bila ustanovljena leta 2006 za upravljanje varnosti kreditnih kartic. Zahteve, znane kot standardi varnosti podatkov v industriji plačilnih kartic (PCI DSS), upravljajo večje družbe za kreditne kartice, med drugim VISA, American Express, Discover in MasterCard.
Skladnost PCI in kršitve podatkov
Številnim največjim kršitvam podatkov v zgodovini bi se bilo mogoče izogniti, če bi bili prizadeti trgovci ali finančne institucije skladne s PCI. Tu je nekaj ključnih ukrepov iz poročila o varnosti plačil Verizon 2017, poglobljene študije skladnosti PCI DSS:
- Maloprodajne organizacije so pokazale najnižjo trajnost skladnosti PCI v vseh ključnih panogah.
- Industrija IT storitev je dosegla najvišjo popolno skladnost vseh ključnih raziskovalnih skupin industrije.
- 77 odstotkov podjetij, ocenjenih po kršitvi podatkov, ni bilo v skladu z zahtevo PCI številka ena: namestite in vzdržite konfiguracijo požarnega zidu.
- Študija kaže "dokazljivo" povezavo med podjetji, ki so na tekočem s standardi PCI, in podjetji, ki so se uspešno branila pred kibernetskimi grožnjami.
- Število podjetij, ki so 100-odstotno skladne s PCI, se iz leta v leto znatno poveča.