Kaj je PCI skladnost
Skladnost industrije plačilnih kartic (PCI) se nanaša na tehnične in operativne standarde, ki jih morajo podjetja upoštevati, da se zagotovi zaščita podatkov kreditnih kartic, ki jih nudijo imetniki kartic. Skladnost s PCI uveljavlja Svet standardov PCI in vsa podjetja, ki shranjujejo, obdelujejo ali prenašajo podatke kreditnih kartic v elektronski obliki, morajo upoštevati smernice skladnosti.
Razumevanje skladnosti PCI
Standardi skladnosti s plačilnimi karticami (PCI) zahtevajo, da trgovci in druga podjetja varno ravnajo s podatki o kreditnih karticah, kar pomaga zmanjšati verjetnost, da bi imetniki kartic ukradli občutljive finančne podatke. Če trgovci ne bodo pravilno ravnali s podatki o kreditnih karticah, bi lahko podatke o kartici vdrli in jih uporabili za lažne nakupe. Poleg tega bi lahko občutljive podatke o imetniku kartice uporabili pri goljufiji z identiteto.
Skladnost s PCI pomeni dosledno spoštovanje nabora smernic, ki jih postavljajo podjetja, ki izdajajo kreditne kartice. Smernice opisujejo vrsto korakov, ki jih morajo nenehno upoštevati obdelovalci kreditnih kartic. Podjetja najprej prosijo, da ocenijo svojo infrastrukturo informacijske tehnologije, poslovne procese in postopke ravnanja s kreditnimi karticami, da pomagajo prepoznati morebitne grožnje, ki bi lahko ogrozile podatke kreditnih kartic. Nato se od podjetij zahteva, da odpravijo morebitne vrzeli na področju varnosti in se izogibajo shranjevanju občutljivih podatkov o imetnikih kartic, kot so socialna varnost in številke vozniških dovoljenj, kadar koli je to mogoče. Podjetja morajo predložiti poročila o skladnosti blagovnim znamkam kartic, s katerimi sodelujejo, na primer American Express in VISA.
Vsa podjetja, ki obdelujejo podatke o kreditnih karticah, morajo vzdrževati skladnost PCI, ne glede na njihovo velikost ali število transakcij s kreditnimi karticami. Vsa podjetja so razdeljena na ravni trgovcev glede na število transakcij, ki so obdelane v določenem obdobju. Skladnost PCI ureja Svet za varnostne standarde industrije plačilnih kartic, organizacija, ki je bila ustanovljena leta 2006 za upravljanje varnosti kreditnih kartic. Zahteve, znane kot standardi varnosti podatkov v industriji plačilnih kartic (PCI DSS), upravljajo večje družbe za kreditne kartice, med drugim VISA, American Express, Discover in MasterCard.
Skladnost PCI in kršitve podatkov
Številnim največjim kršitvam podatkov v zgodovini bi se bilo mogoče izogniti, če bi bili prizadeti trgovci ali finančne institucije skladne s PCI. Tu je nekaj ključnih ukrepov iz poročila o varnosti plačil Verizon 2017, poglobljene študije skladnosti PCI DSS:
- Maloprodajne organizacije so pokazale najnižjo vzdržnost skladnosti PCI v vseh ključnih panogah. Industrija IT storitev je dosegla najvišjo popolno skladnost vseh ključnih raziskovalnih skupin industrije77 odstotkov podjetij, ocenjenih po kršitvi podatkov, ni bilo v skladu z zahtevo PCI številka ena: namestite in vzdržujemo konfiguracijo požarnega zidu. Študija kaže "dokazljivo" povezavo med podjetji, ki so posodobljena na standardih PCI, in podjetji, ki so se uspešno branila pred kibernetskimi grožnjami. Število podjetij, ki so stoodstotno združljiva s PCI, je medletno močno narašča.
