Контрольный список соответствия PCI: что нужно знать каждому бизнесу электронной коммерции

Кажется, каждый день мы слышим о новой утечке данных. Только в 2020 году крупные компании, такие как J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon и Staples, столкнулись с утечкой данных, что стоило больших сумм денег и подрывало доверие клиентов.

Легко думать, что «это случается только с крупными парнями», но на самом деле 90% взломов затрагивают малый бизнес. По этой причине розничные продавцы электронной коммерции, которые обрабатывают платежи по кредитным или дебетовым картам в Интернете, - почти все они! - должен соответствовать стандарту PCI. Так что же такое соответствие PCI и как оно может помочь вашему бизнесу? Давайте погрузимся!

Что такое соответствие PCI?

PCI — это аббревиатура от «Индустрия платежных карт». Вы также можете увидеть его как PCI DSS, что означает «Стандарт безопасности данных индустрии платежных карт». В любом случае, определение соответствия PCI — это «набор требований, призванных гарантировать, что все компании, которые обрабатывают, хранят или передают информацию о кредитных картах, поддерживают безопасную среду».

Соответствие требованиям PCI было разработано в 2006 году Советом по стандартам безопасности PCI (PCI SSC) — независимым органом, состоящим из лидеров индустрии платежных карт Visa, MasterCard, American Express, Discover и JCB (поэтому его иногда называют «кредитным сертификатом»). соответствие карты»). Их цель — защитить все стороны, участвующие в платежных транзакциях, включая платежные сети, процессоры, финансовые учреждения, клиентов и предприятия.

Почему важно соответствие требованиям PCI?

Соответствие PCI не является юридическим требованием. Однако несоблюдение протоколов PCI может привести к юридическим проблемам у розничных продавцов электронной коммерции. Как? Если в вашем бизнесе произойдет утечка данных, и в результате проведенных расследований будет установлено, что ваши процессы не соответствуют стандарту PCI, вы можете быть подвергнуты тысячам долларов в виде штрафов и сборов со стороны государства и эмитента платежных карт, а также против вас могут быть возбуждены судебные иски и страховые претензии в связи с невыполнением требований. соответствовать стандартам PCI. Кроме того, вы можете потерять доверие клиентов, ценных сотрудников, возможность принимать платежные карты (похоронный звон для интернет-магазинов) и понести более высокие расходы на соблюдение требований.

Таким образом, хотя вы не можете быть наказаны просто за несоблюдение PCI, вы можете быть привлечены к ответственности за любое нарушение, которое произойдет, если вы не будете соответствовать требованиям. И, как упоминалось ранее, 90% нарушений касаются малого бизнеса, поэтому лучше перестраховаться, чем сожалеть.

Вам может быть интересно, почему киберпреступники хотят преследовать малый бизнес; в конце концов, есть гораздо более крупная рыба, которую можно жарить! Что ж, киберпреступники рассматривают малый бизнес как легкую добычу. Они знают, что большинство крупных розничных продавцов будут соответствовать требованиям PCI и, следовательно, будут менее уязвимы. Однако они делают ставку на то, что многие малые предприятия не предприняли необходимых шагов, чтобы стать совместимыми с PCI, что делает их легкой добычей.

6 типов нарушений безопасности, от которых защищает соответствие стандарту PCI

Несмотря на то, что киберпреступники всегда будут искать способ проникнуть внутрь, несмотря на средства защиты (именно это они и делают), соблюдение требований PCI может многое сделать для защиты от следующих шести типов угроз безопасности .

1. Вредоносное ПО. Преступники используют вредоносное программное обеспечение для проникновения в компьютерную систему и кражи платежных данных. Программа- вымогатель , в которой хакер держит данные «в заложниках» в обмен на деньги в биткойнах, является одной из самых быстрорастущих форм вредоносных программ.
2. Фишинг. Обычное средство доставки вредоносных программ, фишинговые электронные письма (такие как счета или запросы информации от высшего руководства) выглядят законными, чтобы убедить людей открыть их. Однако они содержат вредоносные ссылки или вложения, которые могут заразить компьютер и всю систему.
3. Удаленный доступ. Слабые средства управления удаленным доступом, например те, которые используются поставщиками ваших платежных терминалов, позволяют киберпреступникам получать доступ к вашим системам, которые хранят, обрабатывают или передают платежные данные.
4. Слабые пароли . Есть причина, по которой современные пароли запрашивают разные буквы регистра, цифры и специальные символы: более 80% утечек данных связаны с украденными/или слабыми паролями.
5. Устаревшее программное обеспечение. Недостатки в устаревшем программном обеспечении часто остаются «неисправленными», что облегчает проникновение киберпреступников.
6. Скимминг. Хотя это относится только к физическим магазинам, скимминг — это когда преступники подключают небольшие аппаратные «скимминговые устройства» к считывателям карт, которые крадут платежные данные клиентов, когда они используют платежные карты. Затем могут быть созданы поддельные карты для совершения незаконных покупок.

4 уровня соответствия PCI

Считаете несправедливым, что ваш малый бизнес придерживается тех же стандартов PCI, что и многомиллиардная компания, такая как Amazon? Хорошая новость в том, что это не так! Существует четыре уровня соответствия PCI, которые определяются количеством транзакций, которые бизнес обрабатывает каждый год.

• Уровень 1: Продавцы, которые ежегодно обрабатывают более 6 миллионов транзакций по картам.
• Уровень 2: Продавцы, которые ежегодно обрабатывают от 1 до 6 миллионов транзакций.
• Уровень 3: Продавцы, которые ежегодно обрабатывают от 20 000 до 1 миллиона транзакций.
• Уровень 4: Продавцы, которые ежегодно обрабатывают менее 20 000 транзакций.

PCI SSC также предлагает простую анкету для самооценки на своем веб-сайте, которая поможет вам определить, какие требования Стандарта безопасности данных PCI применимы к вашему бизнесу.

Как стартапы и малый бизнес электронной коммерции могут подготовиться, используя этот контрольный список соответствия PCI

Ниже приведены способы повышения уровня соответствия PCI для защиты вашего бизнеса и клиентов. Считайте это своим «Контрольным списком соответствия требованиям PCI». Все 12 требований соответствия PCI относятся к одному принципу, а именно:

• Создайте и поддерживайте безопасную сеть
• Защитите данные держателя карты
• Поддерживать программу управления уязвимостями
• Внедрите строгие меры контроля доступа
• Регулярный мониторинг и тестирование сетей
• Поддерживать политику информационной безопасности

1. Используйте и обслуживайте брандмауэры

Когда киберпреступник или другой неизвестный субъект, злонамеренный или иной, пытается получить доступ к личным данным в вашей системе, брандмауэр фактически блокирует их доступ. Конечно, брандмауэры не являются непроницаемыми, и уязвимости могут быть найдены (именно поэтому важно поддерживать их с помощью обновлений), но они являются хорошей первой линией защиты.

2. Используйте надлежащую защиту паролем

Стороннее программное и аппаратное обеспечение часто поставляется с общими паролями и мерами безопасности по умолчанию, к которым киберпреступники могут легко получить доступ. Чтобы быть совместимым с PCI, вам необходимо изменить эти пароли и настроить базовые конфигурации, а также вести список всех устройств, для которых требуется пароль или другие средства доступа.

3. Защитите сохраненные данные держателей карт

Данные о держателях карт никогда не должны храниться дольше времени, необходимого для завершения транзакции, за исключением случаев, когда это требуется для юридических, нормативных или деловых нужд. Если хранение необходимо, предприятия должны ограничить время хранения и хранения до минимума, очищая данные не реже одного раза в квартал. Соответствие PCI также касается того, как должны отображаться основные номера счетов (PAN), например, отображать только первые шесть и последние четыре цифры.

4. Шифровать передаваемые данные

Когда данные о держателях карт передаются по общедоступным сетям, у киберпреступников появляется отличная возможность их перехватить. Это требование PCI гласит, что данные о держателях карт должны быть зашифрованы всякий раз, когда они отправляются в эти известные места, и что они никогда не должны отправляться в неизвестные места.

5. Используйте и обслуживайте антивирусное программное обеспечение

Антивирусное программное обеспечение, такое как McAfee или Norton, требуется для любого устройства, которое взаимодействует с PAN или хранит его. Как и ваш брандмауэр, это программное обеспечение необходимо регулярно обновлять, чтобы можно было исправлять уязвимости. Ознакомьтесь со списком лучших антивирусных программ для ПК на 2021 год.

6. Поддерживайте безопасность систем и приложений

Предприятия электронной коммерции должны поддерживать безопасность программного обеспечения, работая со своими поставщиками программного обеспечения, чтобы обеспечить актуальность исправлений безопасности, а также легкодоступность и исполняемость. Помимо своевременного развертывания критических исправлений, компаниям необходимо создать процесс обнаружения новых уязвимостей и их ранжирования. Эти обновления особенно важны для всех программ на устройствах, которые взаимодействуют с данными держателей карт или хранят их.

7. Ограничить доступ к данным держателя карты

Данные о держателях карт являются очень конфиденциальной информацией и должны просматриваться только агентами, которым это абсолютно необходимо. Большинству ваших сотрудников и третьих лиц не понадобится доступ к этой информации, поэтому ее следует ограничить. Те роли, которые нуждаются в доступе к этим данным, должны быть тщательно задокументированы и регулярно обновляться.

8. Назначьте уникальные идентификаторы для доступа

Вместо единого имени пользователя и пароля для доступа к данным держателя карты лица, которым необходим доступ, должны иметь индивидуальные учетные данные и удостоверение личности. Это гарантирует, что всякий раз, когда кто-то получает доступ к данным держателя карты, эта активность может быть отслежена до известного пользователя или, по крайней мере, немедленно распознана как несанкционированный доступ. Для удаленного доступа требуется двухфакторная авторизация , которая обеспечивает дополнительный уровень безопасности.

9. Ограничьте физический доступ к данным

Все данные о держателях карт на месте должны физически храниться в безопасном месте, контролироваться и требовать регистрации. Должны быть введены в действие процедуры для быстрого выявления людей, которые не принадлежат. Резервные копии также должны храниться на безопасном вторичном сайте. Наконец, когда бизнес больше не нуждается в данных, они должны быть уничтожены.

10. Регулярно проверяйте сети

Соответствие стандарту PCI требует, чтобы предприятия электронной коммерции регулярно отслеживали и тестировали свои сети, чтобы убедиться в отсутствии физических или беспроводных уязвимостей. Необходимы автоматизированные контрольные журналы, а также возможность реконструировать события в случае нарушения. Данные аудита должны быть защищены и храниться не менее одного года.

11. Сканирование и проверка на наличие уязвимостей

Уязвимости возникают из-за киберпреступной деятельности, сбоев в работе, человеческих ошибок и внедрения нового кода. Это означает, что все внутренние и внешние системы и процессы должны тестироваться ежеквартально для обеспечения безопасности. Другие текущие требования PCI DSS включают тестирование на проникновение, а также использование систем обнаружения и предотвращения вторжений. Кроме того, для соответствия требованиям PCI требуется мониторинг файлов, чтобы оповещения появлялись каждый раз, когда пользователь несанкционированно модифицировал содержимое, конфигурацию или системный файл.

12. Политики безопасности документов

Инвентаризация оборудования, программного обеспечения и сотрудников, имеющих доступ к данным, должна быть задокументирована для соответствия требованиям. Журналы доступа к данным о держателях карт и то, как информация поступает в вашу компанию, где она хранится и как она используется после продажи, также должны быть задокументированы. Кроме того, необходимо назначить отдельного человека или группу для создания инициатив по повышению осведомленности о безопасности и для проверки потенциальных сотрудников, подрядчиков и т. д. в рамках процесса найма, чтобы избежать утечки внутренних данных.

Бюджетирование для соответствия требованиям PCI

Достижение и поддержание 12 шагов соответствия PCI, несомненно, будет стоить денег. Конечно, сумма денег будет зависеть от того, на какой уровень соответствия падает ваш бизнес, от размера вашей организации, культуры безопасности вашей компании, типа используемой вами технологии и от того, можете ли вы позволить себе выделенного специалиста по ИТ/PCI.

Однако, поскольку цена несоблюдения может быть очень велика в случае утечки данных (и, честно говоря, вопрос не в том, произойдет ли это, а когда), стоит найти бюджет для этого, даже если это означает сокращение расходов в другом месте или увеличение цены на некоторые продукты временно, чтобы собрать деньги. В конце концов, у вас будет безопасный бизнес электронной коммерции и душевное спокойствие для вас и ваших клиентов.

Избавьтесь от проблем с безопасностью данных с помощью The Fulfillment Lab

Технология предоставляет ритейлерам электронной коммерции множество преимуществ, от мониторинга запасов до отслеживания отгрузок, обработки платежей и защиты данных клиентов. Конечно, приобретение этих систем требует больших финансовых вложений, и всегда нужно учиться!

Перекладывая выполнение заказов на The Fulfillment Lab, лидера в области маркетинга электронной коммерции с 14 международными филиалами, вы снимаете с себя бремя доставки. Вы также уменьшите количество проблем, связанных с соблюдением требований PCI, поскольку получите доступ к нашему передовому программному обеспечению Global Fulfillment System (GFS) . Эта безопасная система позволяет вам контролировать запасы, отслеживать поставки, настраивать упаковку и обрабатывать платежи. Обязательно ознакомьтесь с нашим блогом «10 причин использовать Fulfillment Center для доставки электронной коммерции », чтобы узнать больше, и не стесняйтесь обращаться к нам, чтобы узнать больше.