Lista de verificare a conformității PCI: Ce trebuie să știe orice afacere de comerț electronic

Se pare că în fiecare zi auzim despre o nouă încălcare a datelor. Numai în 2020, companii importante precum J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon și Staples au experimentat încălcări ale datelor, costând sume mari de bani și dăunând încrederii clienților.

Este ușor să crezi că „asta se întâmplă doar băieților mari”, dar adevărul este că 90% dintre încălcări afectează întreprinderile mici. Din acest motiv, comercianții cu amănuntul de comerț electronic care procesează plățile cu cardul de credit sau debit online – deci, aproape toți! – ar trebui să fie compatibil PCI. Deci, ce este conformitatea PCI și cum vă poate ajuta afacerea? Să ne scufundăm!

Ce este conformitatea PCI?

PCI este un acronim pentru „Industria cardurilor de plată”. Este posibil să îl vedeți și ca PCI DSS, care înseamnă „Payment Card Industry Data Security Standard”. În orice caz, definiția de conformitate PCI este „un set de cerințe menite să asigure că toate companiile care procesează, stochează sau transmit informații despre cardul de credit mențin un mediu securizat”.

Conformitatea PCI a fost dezvoltată în 2006 de către PCI Security Standards Council (PCI SSC) , un organism independent format din lideri din industria cardurilor de plată de la Visa, MasterCard, American Express, Discover și JCB (de aceea este uneori denumit „credit conformitatea cardului”). Scopul lor este de a proteja toate părțile implicate în tranzacțiile de plată, inclusiv rețelele de plată, procesatorii, instituțiile financiare, clienții și întreprinderile.

De ce este importantă conformitatea PCI?

Conformitatea PCI nu este o cerință legală. Cu toate acestea, nerespectarea protocoalelor PCI ar putea pune comercianții cu amănuntul de comerț electronic în probleme legale. Cum? Dacă afacerea dvs. suferă o încălcare a datelor, iar investigațiile rezultate dezvăluie că procesele dvs. nu au fost conforme cu PCI, este posibil să fiți supus unor mii de dolari în amenzi și taxe guvernamentale și emitente de carduri de plată, iar procese și cereri de asigurare pot fi intentate împotriva dvs. pentru eșec pentru a respecta standardele PCI. În plus, ai putea pierde încrederea clienților, angajații valoroși, capacitatea de a accepta carduri de plată (cantonul morții pentru comercianții cu amănuntul online) și să fii supus costurilor mai mari de conformitate.

Deci, deși nu puteți fi penalizat pur și simplu pentru că nu respectați PCI, puteți fi tras la răspundere pentru orice încălcare care apare dacă nu sunteți conform. Și, așa cum am menționat mai devreme, 90% dintre încălcări afectează întreprinderile mici, așa că este mai bine să fii sigur decât să-ți pară rău.

S-ar putea să vă întrebați de ce infractorii cibernetici ar dori să meargă după întreprinderile mici; la urma urmei, există pești mult mai mari de prăjit! Ei bine, criminalii cibernetici văd întreprinderile mici ca o pradă ușoară. Ei știu că majoritatea comercianților mari cu amănuntul vor respecta PCI și, prin urmare, vor fi mai puțin vulnerabili. Cu toate acestea, pariază că multe întreprinderi mici nu au făcut pașii necesari pentru a deveni conforme cu PCI, ceea ce le face un punct ușor.

6 tipuri de încălcări de securitate împotriva conformității PCI

În timp ce infractorii cibernetici vor căuta întotdeauna o cale de a intra în ciuda protecțiilor (doar asta fac), conformitatea PCI poate face mult pentru a proteja împotriva următoarelor șase tipuri de dezastre de securitate .

1. Programe malware. Infractorii folosesc software rău intenționat pentru a se infiltra într-un sistem informatic și a fura date de plată. Ransomware , în care un hacker ține „ostatic” datele în schimbul banilor în Bitcoin, este una dintre formele de malware cu cea mai rapidă creștere.
2. phishing. Un vehicul obișnuit de livrare pentru programe malware, e-mailuri de phishing (cum ar fi o factură sau o solicitare de informații de la C-suite) par legitime pentru a convinge oamenii să le deschidă. Cu toate acestea, ele conțin link-uri sau atașamente rău intenționate care pot infecta un computer și întregul sistem.
3. Acces de la distanță. Controalele slabe ale accesului de la distanță, de exemplu, cele utilizate de furnizorii de terminale de plată, permit infractorilor cibernetici să obțină acces la sistemele dvs. care stochează, procesează sau transmit date de plată.
4. Parole slabe . Există un motiv pentru care parolele de astăzi solicită diferite litere, numere și simboluri speciale: mai mult de 80% dintre încălcările de date implică parole furate/sau slabe.
5. Software învechit. Defectele software-ului învechit sunt adesea „nepattchizate”, ceea ce le face ușor de infiltrat de către infractorii cibernetici.
6. Skiming. În timp ce acest lucru se aplică numai locațiilor fizice ale magazinelor, skimming-ul este atunci când infractorii atașează mici „dispozitive de skimming” hardware la cititoarele de carduri care fură datele de plată ale clienților atunci când folosesc carduri de plată. Apoi, cardurile contrafăcute pot fi create pentru a face achiziții ilegale.

Cele 4 niveluri de conformitate PCI

Crezi că nu este corect ca afacerea ta mică să respecte aceleași standarde PCI ca o companie de mai multe miliarde de dolari precum Amazon? Vestea bună este că nu este! Există patru niveluri de conformitate PCI, care sunt determinate de numărul de tranzacții pe care o afacere le gestionează în fiecare an.

• Nivelul 1: Comercianți care procesează peste 6 milioane de tranzacții cu cardul anual.
• Nivelul 2: Comercianți care procesează între 1 și 6 milioane de tranzacții anual.
• Nivelul 3: Comercianți care procesează între 20.000 și 1 milion de tranzacții anual.
• Nivelul 4: Comercianți care procesează mai puțin de 20.000 de tranzacții anual.

PCI SSC oferă, de asemenea, un chestionar simplu de autoevaluare pe site-ul său web, care vă va ajuta să determinați ce cerințe PCI Data Security Standard sunt aplicabile afacerii dvs.

Cum se pot pregăti startup-urile și micile afaceri de comerț electronic folosind această listă de verificare a conformității PCI

Mai jos sunt modalitățile prin care puteți crește nivelurile de conformitate PCI pentru a vă proteja afacerea și clienții. Gândiți-vă la aceasta ca fiind „Lista de verificare a conformității PCI”. Toate cele 12 cerințe de conformitate PCI se referă la un principiu, iar aceste principii sunt:

• Construiți și mențineți o rețea sigură
• Protejați datele deținătorului cardului
• Mențineți un program de gestionare a vulnerabilităților
• Implementați măsuri puternice de control al accesului
• Monitorizați și testați în mod regulat rețelele
• Menține o politică de securitate a informațiilor

1. Utilizați și mențineți firewall-uri

Atunci când un criminal cibernetic sau alt actor necunoscut, rău intenționat sau de altă natură, încearcă să acceseze date private din sistemul dvs., un firewall le blochează în esență să intre. Desigur, firewall-urile nu sunt impenetrabile și pot fi găsite vulnerabilități (de aceea este important să le menținem prin actualizări), dar sunt o primă linie de apărare bună.

2. Folosiți protecția cu parolă adecvată

Software-ul și hardware-ul terților vin adesea cu parole generice și măsuri de securitate implicite care pot fi accesate cu ușurință de către infractorii cibernetici. Pentru a fi compatibil PCI, trebuie să schimbați aceste parole și să ajustați configurațiile de bază, precum și să păstrați o listă cu fiecare dispozitiv care necesită o parolă sau alte mijloace de acces.

3. Protejați datele stocate ale titularului de card

Datele deținătorului de card nu ar trebui să fie stocate dincolo de timpul necesar pentru finalizarea unei tranzacții, cu excepția cazului în care este necesar pentru nevoi legale, de reglementare sau de afaceri. Dacă stocarea este necesară, companiile trebuie să limiteze la minimum timpul de stocare și păstrare, purtând datele cel puțin o dată pe trimestru. Conformitatea PCI abordează, de asemenea, modul în care ar trebui să fie afișate numerele de cont primare (PAN), de exemplu, dezvăluirea numai a primelor șase și ultimelor patru cifre.

4. Criptați datele transmise

Atunci când datele deținătorului de card sunt transmise prin rețele publice, aceasta este o oportunitate primordială pentru infractorii cibernetici de a le intercepta. Această cerință PCI prevede că datele deținătorului de card trebuie să fie criptate ori de câte ori sunt trimise în aceste locații cunoscute și că nu ar trebui să fie niciodată trimise în locații necunoscute.

5. Utilizați și întrețineți software-ul antivirus

Software-ul antivirus precum McAfee sau Norton este necesar pentru orice dispozitiv care interacționează cu sau stochează PAN. La fel ca firewall-ul dvs., acest software trebuie actualizat în mod regulat, astfel încât vulnerabilitățile să poată fi corectate. Consultați lista PC-ului cu cele mai bune programe antivirus pentru 2021.

6. Mențineți sisteme și aplicații securizate

Întreprinderile de comerț electronic trebuie să păstreze software-ul în siguranță, lucrând cu furnizorii lor de software pentru a se asigura că corecțiile de securitate sunt actualizate și ușor accesibile și executabile. Pe lângă implementarea în timp util a patch-urilor critice, companiile trebuie să creeze un proces pentru a descoperi noi vulnerabilități și a le clasifica. Aceste actualizări sunt deosebit de importante pentru toate programele de pe dispozitivele care interacționează cu sau stochează datele deținătorului cardului.

7. Restricționați accesul la datele deținătorului de card

Datele deținătorilor de carduri sunt informații foarte sensibile și ar trebui să fie vizualizate numai de agenții care trebuie neapărat să le cunoască. Majoritatea personalului dvs. și a terților nu vor avea nevoie de acces la aceste informații, așa că ar trebui să fie restricționate. Acele roluri care au nevoie de acces la aceste date ar trebui să fie foarte documentate și actualizate în mod regulat.

8. Atribuiți ID-uri unice pentru acces

În loc să aibă un singur nume de utilizator și o parolă de conectare pentru datele deținătorului cardului, persoanele care au nevoie de acces trebuie să aibă acreditări și identificare individuale. Acest lucru asigură că ori de câte ori cineva accesează datele deținătorului cardului, acea activitate poate fi urmărită până la un utilizator cunoscut sau cel puțin imediat recunoscută ca acces neautorizat. Pentru acces la distanță, este necesară o autorizare cu doi factori , care oferă un nivel suplimentar de securitate.

9. Restricționați accesul fizic la date

Toate datele deținătorilor de card la fața locului trebuie să fie păstrate fizic într-o locație sigură, monitorizate și necesită jurnalele. Trebuie puse în aplicare proceduri de identificare rapidă a persoanelor care nu aparțin. Backup-urile trebuie menținute și pe un site secundar securizat. În sfârșit, atunci când afacerea nu mai are nevoie de date, acestea trebuie distruse.

10. Auditează în mod regulat rețelele

Conformitatea PCI impune companiilor de comerț electronic să-și monitorizeze și să testeze rețelele în mod regulat pentru a se asigura că nu există vulnerabilități fizice sau wireless. Sunt necesare piste de audit automate, împreună cu capacitatea de a reconstrui evenimente, în cazul în care apare o încălcare. Datele de audit trebuie să fie securizate și menținute timp de cel puțin un an.

11. Scanați și testați pentru vulnerabilități

Vulnerabilitățile apar din cauza activității infracționale cibernetice, a disfuncționalităților, a erorilor umane și a introducerii unui cod nou. Aceasta înseamnă că toate sistemele și procesele interne și externe trebuie testate trimestrial pentru a se asigura că securitatea este menținută. Alte cerințe PCI DSS în curs de desfășurare includ testarea de penetrare, precum și utilizarea sistemelor de detectare și prevenire a intruziunilor. În plus, monitorizarea fișierelor este necesară pentru conformitatea PCI, astfel încât alertele să apară oricând un utilizator a modificat conținutul, configurația sau un fișier de sistem într-o manieră neautorizată.

12. Politicile de securitate a documentelor

Inventarul echipamentelor, software-ului și angajaților care au acces la date va trebui să fie documentat pentru conformitate. Jurnalele de accesare a datelor deținătorilor de card și modul în care informațiile circulă în compania dvs., unde sunt stocate și modul în care sunt utilizate după vânzare trebuie, de asemenea, să fie documentate. În plus, o persoană sau o echipă trebuie să fie numită pentru crearea inițiativelor de conștientizare a securității și pentru screening-ul potențialilor angajați, contractori etc., ca parte a procesului de angajare, pentru a evita încălcările interne ale datelor.

Bugetare pentru conformitatea PCI

Realizarea și menținerea celor 12 pași ai conformității PCI va costa fără îndoială bani. Desigur, câți bani vor depinde de nivelul de conformitate cu care se încadrează afacerea dvs., de dimensiunea organizației dvs., de cultura de securitate a companiei dvs., de tipul de tehnologie pe care o utilizați și de dacă vă puteți permite un profesionist IT/PCI dedicat.

Cu toate acestea, deoarece costul neconformității poate fi atât de mare în cazul în care se produce o încălcare a datelor (și sincer nu este o chestiune de dacă, ci când), merită să găsiți bugetul pentru aceasta, chiar dacă înseamnă reducerea cheltuielilor în altă parte sau creșterea cheltuielilor. stabilirea temporară a prețurilor la anumite produse pentru a strânge banii. În cele din urmă, vei avea o afacere de comerț electronic sigură și liniște sufletească pentru tine și clienții tăi.

Reduceți preocupările privind securitatea datelor cu The Fulfillment Lab

Tehnologia oferă comerțului electronic cu amănuntul multe beneficii, de la monitorizarea inventarului până la urmărirea expedierilor, procesarea plăților până la securitatea datelor clienților. Desigur, achiziționarea acestor sisteme necesită o investiție financiară mare - și există întotdeauna o curbă de învățare!

Când descărcați onorarea comenzilor către The Fulfillment Lab, un lider în marketingul de comerț electronic cu 14 facilități internaționale, scăpați de sarcina transportului. De asemenea, veți reduce o mulțime de probleme legate de conformitatea PCI, deoarece veți obține acces la software-ul nostru de ultimă oră Global Fulfillment System (GFS) . Acest sistem securizat vă permite să monitorizați inventarul, să urmăriți expedierile, să personalizați ambalajul și să procesați plățile. Asigurați-vă că consultați blogul nostru, 10 motive pentru a utiliza un centru de onorare pentru livrarea dvs. de comerț electronic , pentru mai multe și nu ezitați să ne contactați pentru a afla mai multe.