Lista kontrolna zgodności PCI: co każda firma e-commerce musi wiedzieć

Wygląda na to, że każdego dnia słyszymy o nowym wycieku danych. Tylko w 2020 r. duże firmy, takie jak J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon i Staples, doświadczyły naruszeń danych, co kosztowało duże sumy pieniędzy i niweczyło zaufanie klientów.

Łatwo jest pomyśleć, że „to zdarza się tylko dużym graczom”, ale faktem jest, że 90% naruszeń ma wpływ na małe firmy. Z tego powodu sprzedawcy eCommerce, którzy przetwarzają płatności kartą kredytową lub debetową online – a więc prawie wszystkie! – powinien być zgodny z PCI. Czym więc jest zgodność z PCI i jak może pomóc Twojej firmie? Zanurzmy się!

Co to jest zgodność z PCI?

PCI to skrót od „Przemysł kart płatniczych”. Możesz również zobaczyć to jako PCI DSS, co oznacza „Payment Card Industry Data Security Standard”. Tak czy inaczej, definicja zgodności PCI to „zestaw wymagań mających na celu zapewnienie, że wszystkie firmy przetwarzające, przechowujące lub przesyłające informacje o kartach kredytowych utrzymują bezpieczne środowisko”.

Zgodność z PCI została opracowana w 2006 roku przez PCI Security Standards Council (PCI SSC) , niezależny organ składający się z liderów branży kart płatniczych z Visa, MasterCard, American Express, Discover i JCB (dlatego czasami jest określany jako „kredytowy zgodność kart”). Ich celem jest ochrona wszystkich stron zaangażowanych w transakcje płatnicze, w tym sieci płatniczych, procesorów, instytucji finansowych, klientów i firm.

Dlaczego zgodność z PCI jest ważna?

Zgodność z PCI nie jest wymogiem prawnym. Jednak nieprzestrzeganie protokołów PCI może wpędzić sprzedawców eCommerce w kłopoty prawne. Jak? Jeśli Twoja firma dozna naruszenia bezpieczeństwa danych, a wynikające z tego dochodzenia ujawnią, że Twoje procesy nie były zgodne z PCI, możesz zostać obciążony grzywnami i opłatami w wysokości tysięcy dolarów rządowych i wydawców kart płatniczych, a za niepowodzenie mogą zostać wszczęte procesy sądowe i roszczenia ubezpieczeniowe zgodność ze standardami PCI. Ponadto możesz stracić zaufanie klientów, cennych pracowników, możliwość akceptowania kart płatniczych (dzwon śmierci dla sprzedawców internetowych) i narazić się na wyższe koszty przestrzegania przepisów.

Tak więc, chociaż nie możesz zostać ukarany tylko za niezgodność z PCI, możesz zostać pociągnięty do odpowiedzialności za wszelkie naruszenia, które wystąpią, jeśli nie spełnisz wymagań. Jak wspomniano wcześniej, 90% naruszeń ma wpływ na małe firmy, więc lepiej być bezpiecznym niż żałować.

Być może zastanawiasz się, dlaczego cyberprzestępcy chcieliby ścigać małe firmy; w końcu są dużo większe ryby do smażenia! Cóż, cyberprzestępcy postrzegają małe firmy jako łatwą zdobycz. Wiedzą, że większość dużych detalistów będzie zgodna z PCI, a tym samym mniej podatna na zagrożenia. Jednak obstawiają, że wiele małych firm nie podjęło niezbędnych kroków, aby uzyskać zgodność z PCI, co czyni je łatwym znakiem.

6 rodzajów naruszeń bezpieczeństwa Zgodność z PCI chroni przed

Chociaż cyberprzestępcy zawsze będą szukać sposobu, aby mimo zabezpieczeń (tak właśnie się robili), zgodność z PCI może wiele zrobić, aby uchronić się przed następującymi sześcioma typami awarii bezpieczeństwa .

1. Złośliwe oprogramowanie. Przestępcy wykorzystują złośliwe oprogramowanie do infiltracji systemu komputerowego i kradzieży danych płatniczych. Ransomware , w którym haker przetrzymuje dane jako „zakładników” w zamian za pieniądze w Bitcoin, jest jedną z najszybciej rozwijających się form złośliwego oprogramowania.
2. Wyłudzanie informacji. Częsty środek dostarczania złośliwego oprogramowania, wiadomości phishingowe (takie jak faktura lub prośba o informacje od kierownictwa) wyglądają na uzasadnione, aby przekonać ludzi do ich otwarcia. Zawierają jednak złośliwe linki lub załączniki, które mogą zainfekować komputer i cały system.
3. Dostęp zdalny. Słabe kontrole dostępu zdalnego, na przykład stosowane przez dostawców terminali płatniczych, umożliwiają cyberprzestępcom uzyskanie dostępu do systemów przechowujących, przetwarzających lub przesyłających dane dotyczące płatności.
4. Słabe hasła . Istnieje powód, dla którego w dzisiejszych hasłach wymagane są różne litery, cyfry i symbole specjalne: ponad 80% naruszeń danych dotyczy skradzionych/lub słabych haseł.
5. Nieaktualne oprogramowanie. Błędy w przestarzałym oprogramowaniu często pozostają „niezałatane”, co ułatwia cyberprzestępcom infiltrację.
6. Szumowanie. Chociaż dotyczy to tylko fizycznych lokalizacji sklepów, skimming ma miejsce, gdy przestępcy podłączają małe sprzętowe „urządzenia do skimmingu” do czytników kart, które kradną dane dotyczące płatności klientów, gdy używają oni kart płatniczych. Następnie można tworzyć fałszywe karty, aby dokonywać nielegalnych zakupów.

4 poziomy zgodności PCI

Myślisz, że to niesprawiedliwe, że Twoja mała firma przestrzega tych samych standardów PCI, co firma warta wiele miliardów dolarów, taka jak Amazon? Dobra wiadomość jest taka, że ​​tak nie jest! Istnieją cztery poziomy zgodności PCI, które są określane na podstawie liczby transakcji, które firma obsługuje każdego roku.

• Poziom 1: Sprzedawcy, którzy przetwarzają ponad 6 milionów transakcji kartowych rocznie.
• Poziom 2: Sprzedawcy, którzy przetwarzają od 1 do 6 milionów transakcji rocznie.
• Poziom 3: Sprzedawcy, którzy przetwarzają od 20 000 do 1 miliona transakcji rocznie.
• Poziom 4: Sprzedawcy, którzy przetwarzają mniej niż 20 000 transakcji rocznie.

PCI SSC oferuje również prosty kwestionariusz samooceny na swojej stronie internetowej, który pomoże Ci określić, które wymagania PCI Data Security Standard mają zastosowanie do Twojej firmy.

Jak start-upy i małe firmy zajmujące się handlem elektronicznym mogą przygotować się, korzystając z tej listy kontrolnej zgodności PCI

Poniżej znajdują się sposoby na podniesienie poziomu zgodności PCI w celu ochrony firmy i klientów. Pomyśl o tym jako o „liście kontrolnej zgodności PCI”. Wszystkie 12 wymagań zgodności PCI odnosi się do zasady, a zasady te to:

• Zbuduj i utrzymuj bezpieczną sieć
• Chroń dane posiadacza karty
• Prowadź program zarządzania podatnościami
• Wdróż silne środki kontroli dostępu
• Regularnie monitoruj i testuj sieci
• Utrzymuj politykę bezpieczeństwa informacji

1. Używaj i utrzymuj zapory sieciowe

Kiedy cyberprzestępca lub inny nieznany podmiot, złośliwy lub inny, próbuje uzyskać dostęp do prywatnych danych w twoim systemie, zapora zasadniczo blokuje ich dostęp. Oczywiście zapory ogniowe nie są nieprzeniknione i można znaleźć luki w zabezpieczeniach (dlatego ważne jest utrzymywanie ich poprzez aktualizacje), ale są one dobrą pierwszą linią obrony.

2. Używaj odpowiednich zabezpieczeń hasłem

Oprogramowanie i sprzęt innych firm często zawierają ogólne hasła i domyślne środki bezpieczeństwa, do których cyberprzestępcy mogą łatwo uzyskać dostęp. Aby zachować zgodność z PCI, musisz zmienić te hasła i dostosować podstawowe konfiguracje, a także prowadzić listę wszystkich urządzeń wymagających hasła lub innych środków dostępu.

3. Chroń przechowywane dane posiadaczy kart

Dane posiadacza karty nigdy nie powinny być przechowywane dłużej niż czas potrzebny na sfinalizowanie transakcji, chyba że jest to wymagane ze względów prawnych, regulacyjnych lub biznesowych. Jeśli przechowywanie jest konieczne, firmy muszą ograniczyć czas przechowywania i przechowywania do minimum, usuwając dane co najmniej raz na kwartał. Zgodność z PCI określa również, w jaki sposób powinny być wyświetlane główne numery kont (PAN), np. ujawniając tylko pierwsze sześć i ostatnie cztery cyfry.

4. Szyfruj przesyłane dane

Gdy dane posiadacza karty są przesyłane przez sieci publiczne, jest to doskonała okazja dla cyberprzestępców do ich przechwycenia. Ten wymóg PCI stanowi, że dane posiadacza karty muszą być szyfrowane za każdym razem, gdy są wysyłane do tych znanych lokalizacji i że nigdy nie powinny być wysyłane do nieznanych lokalizacji.

5. Używaj i utrzymuj oprogramowanie antywirusowe

Oprogramowanie antywirusowe, takie jak McAfee lub Norton, jest wymagane dla każdego urządzenia, które współdziała z siecią PAN lub ją przechowuje. Podobnie jak zapora, to oprogramowanie musi być regularnie aktualizowane, aby można było naprawić luki w zabezpieczeniach. Sprawdź listę najlepszych programów antywirusowych na 2021 na PC .

6. Utrzymuj bezpieczne systemy i aplikacje

Firmy zajmujące się handlem elektronicznym muszą dbać o bezpieczeństwo oprogramowania, współpracując ze swoimi dostawcami oprogramowania, aby zapewnić, że łatki bezpieczeństwa są aktualne, łatwo dostępne i wykonalne. Oprócz terminowego wdrażania krytycznych poprawek firmy muszą stworzyć proces wykrywania nowych luk w zabezpieczeniach i ich rankingu. Te aktualizacje są szczególnie ważne dla całego oprogramowania na urządzeniach, które wchodzą w interakcję z danymi posiadaczy kart lub przechowują je.

7. Ogranicz dostęp do danych posiadacza karty

Dane posiadacza karty są bardzo wrażliwymi informacjami i powinny być przeglądane tylko przez agentów, którzy absolutnie muszą je znać. Większość pracowników i osób trzecich nie będzie potrzebowała dostępu do tych informacji, dlatego należy je ograniczyć. Te role, które potrzebują dostępu do tych danych, powinny być dobrze udokumentowane i regularnie aktualizowane.

8. Przypisz unikalne identyfikatory w celu uzyskania dostępu

Zamiast mieć jedną nazwę użytkownika i hasło do logowania do danych posiadacza karty, osoby, które potrzebują dostępu, muszą mieć indywidualne poświadczenia i identyfikację. Gwarantuje to, że za każdym razem, gdy ktoś uzyska dostęp do danych posiadacza karty, czynność tę można prześledzić do znanego użytkownika lub przynajmniej natychmiast rozpoznać jako nieautoryzowany dostęp. W przypadku zdalnego dostępu wymagana jest autoryzacja dwuskładnikowa, która zapewnia dodatkową warstwę bezpieczeństwa.

9. Ogranicz fizyczny dostęp do danych

Wszystkie dane posiadaczy kart na miejscu muszą być fizycznie przechowywane w bezpiecznym miejscu, monitorowane i wymagają rejestrowania. Należy wprowadzić procedury szybkiego identyfikowania osób, które nie należą. Kopie zapasowe muszą być również przechowywane w bezpiecznej lokacji dodatkowej. Wreszcie, gdy firma nie potrzebuje już danych, należy je zniszczyć.

10. Regularnie audytuj sieci

Zgodność z PCI wymaga od firm handlu elektronicznego regularnego monitorowania i testowania swoich sieci, aby upewnić się, że nie ma fizycznych lub bezprzewodowych luk w zabezpieczeniach. Potrzebne są zautomatyzowane ścieżki audytu wraz z możliwością odtworzenia zdarzeń w przypadku wystąpienia naruszenia. Dane audytu muszą być zabezpieczone i utrzymywane przez co najmniej rok.

11. Skanuj i testuj pod kątem luk

Luki powstają w wyniku działalności cyberprzestępców, awarii, błędów ludzkich i wprowadzenia nowego kodu. Oznacza to, że wszystkie wewnętrzne i zewnętrzne systemy i procesy muszą być testowane co kwartał, aby zapewnić utrzymanie bezpieczeństwa. Inne bieżące wymagania PCI DSS obejmują testy penetracyjne oraz stosowanie systemów wykrywania i zapobiegania włamaniom. Ponadto monitorowanie plików jest wymagane w celu zapewnienia zgodności z PCI, dzięki czemu alarmy są zgłaszane za każdym razem, gdy użytkownik zmodyfikował zawartość, konfigurację lub plik systemowy w nieautoryzowany sposób.

12. Zasady bezpieczeństwa dokumentów

Inwentaryzacja sprzętu, oprogramowania i pracowników, którzy mają dostęp do danych, będzie musiała być udokumentowana w celu zapewnienia zgodności. Należy również udokumentować rejestry dostępu do danych posiadacza karty oraz sposób, w jaki informacje wpływają do firmy, gdzie są przechowywane i jak są wykorzystywane po sprzedaży. Ponadto należy wyznaczyć osobę lub zespół do tworzenia inicjatyw uświadamiających w zakresie bezpieczeństwa oraz do sprawdzania potencjalnych pracowników, kontrahentów itp. w ramach procesu zatrudniania, aby uniknąć wewnętrznych naruszeń danych.

Budżetowanie pod kątem zgodności z PCI

Osiągnięcie i utrzymanie 12 kroków zgodności z PCI bez wątpienia będzie kosztować. Oczywiście, ile pieniędzy będzie zależeć od tego, jaki poziom zgodności spadnie w Twojej firmie, od wielkości Twojej organizacji, kultury bezpieczeństwa Twojej firmy, rodzaju używanej technologii oraz od tego, czy stać Cię na dedykowanego specjalistę IT/PCI.

Ponieważ jednak koszt niezgodności może być tak wysoki w przypadku naruszenia danych (a szczerze mówiąc, nie jest to kwestia czy, ale kiedy), warto znaleźć na to budżet, nawet jeśli oznacza to zmniejszenie wydatków gdzie indziej lub zwiększenie tymczasowe ustalanie cen niektórych produktów w celu zebrania pieniędzy. W końcu będziesz mieć bezpieczny biznes eCommerce i spokój ducha dla Ciebie i Twoich klientów.

Zmniejsz obawy o bezpieczeństwo danych dzięki laboratorium realizacji

Technologia zapewnia detalistom handlu elektronicznego wiele korzyści, od monitorowania zapasów po śledzenie przesyłek, przetwarzanie płatności i bezpieczeństwo danych klientów. Oczywiście nabycie tych systemów wymaga dużej inwestycji finansowej – a zawsze jest krzywa uczenia się!

Przenosząc realizację zamówień do The Fulfillment Lab, lidera marketingu eCommerce z 14 międzynarodowymi placówkami, zdejmij ciężar wysyłki ze swoich rąk. Zmniejszysz również wiele problemów związanych ze zgodnością z PCI, ponieważ uzyskasz dostęp do naszego najnowocześniejszego oprogramowania Global Fulfillment System (GFS) . Ten bezpieczny system umożliwia monitorowanie zapasów, śledzenie przesyłek, dostosowywanie opakowań i przetwarzanie płatności. Zajrzyj do naszego bloga 10 powodów, dla których warto skorzystać z centrum realizacji wysyłki w e-commerce , aby uzyskać więcej informacji, i nie wahaj się skontaktować z nami, aby dowiedzieć się więcej.