Как получить сертификат соответствия PCI за 6 шагов
25 ноября 2021 г.
Обеспечение безопасности конфиденциальной информации о клиентах может помочь компаниям сохранить положительную репутацию, завоевать доверие потребителей и снизить риск нарушений безопасности. Соблюдение отраслевых стандартов платежных карт важно для предприятий, которые планируют выполнять транзакции с использованием дебетовых и кредитных карт. Изучение требований и передовых методов работы с картами поможет компаниям следовать правильным процедурам и поддерживать безопасность важной информации о клиентах.
В этой статье мы объясняем, что такое PCI DSS, перечисляем причины для получения сертификата соответствия и предлагаем ряд шагов, которые вы можете выполнить, чтобы убедиться, что ваша компания понимает соответствующие передовые практики и установленные правила.
Что такое PCI DSS?
Стандарт безопасности данных индустрии платежных карт (PCI DSS) представляет собой свод базовых стандартов безопасности, которым должны следовать крупные компании-эмитенты кредитных карт. Рекомендации помогают снизить риск кражи и мошенничества. Компании, обрабатывающие транзакции по кредитным и дебетовым картам, часто должны подтверждать свое соответствие требованиям, чтобы продолжать успешно принимать платежи. Соответствие требованиям гарантирует, что компании могут надежно внедрять передовые методы, такие как установка брандмауэров, использование антивирусного программного обеспечения и шифрование передачи данных.
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
В зависимости от размера вашей компании и количества транзакций, которые вы обрабатываете, вам, возможно, придется добиваться определенных уровней соответствия. Есть четыре уровня:
Первый уровень: Сертификация соответствия первого уровня означает, что компании обрабатывают более 6 миллионов транзакций по кредитным или дебетовым картам в год. Это верхний уровень соответствия.
Второй уровень. Соответствие второму уровню предназначено для компаний, которые ежегодно обрабатывают от 1 до 6 миллионов транзакций.
Третий уровень. Третий уровень соответствия стандарту PCI DSS предназначен для компаний, которые обрабатывают от 20 000 до 1 миллиона транзакций в год.
Четвертый уровень: окончательный уровень соответствия — четвертый. Это самый низкий уровень и охватывает компании, которые обрабатывают менее 20 000 транзакций в год.
Зачем получать сертификат соответствия PCI?
Есть много причин, по которым стоит рассмотреть возможность получения сертификата соответствия PCI, в том числе:
Расширенный доступ к торговым поставщикам обработки
Одной из основных причин прохождения сертификации является обработка дебетовых и кредитных транзакций для вашей компании. Большинство компаний, которые планируют принимать карты в качестве формы оплаты, используют торговые процессоры. Многие торговые процессоры требуют, чтобы компании соблюдали требования, чтобы помочь снизить риск, связанный с предложением вариантов оплаты кредитной картой. Сертификаты соответствия показывают поставщикам и торговым компаниям, что они могут доверять безопасности онлайн-транзакций вашей организации.
Существует множество причин, по которым компании могут захотеть обрабатывать, хранить или передавать данные кредитных карт, и соблюдение требований может помочь им сделать это успешно и правильно. Сертификация соответствия поможет вам расширить бизнес-предложения и предложить своим клиентам больше способов оплаты.
Повышенная безопасность бизнеса
Помимо того, что это является обязательным условием для большинства продавцов и компаний, выпускающих кредитные карты, соблюдение требований может обеспечить вам дополнительную безопасность. Сертификация PCI помогает компаниям защищать безопасность своих данных. Следуя лучшим практикам и установленным требованиям, компании могут снизить риск утечки данных и помочь защитить конфиденциальную финансовую информацию клиентов. Регулярные проверки также помогают организациям контролировать свои усилия по обеспечению безопасности и выявлять риски до того, как они станут проблематичными.
Повышение доверия клиентов
Когда компании ценят безопасность и конфиденциальность данных своих клиентов, потребители могут чувствовать себя более уверенно, возвращаясь к бизнесу для будущих транзакций. Показывая, что вы заботитесь о законах и правилах, вы можете убедить клиентов, поставщиков и продавцов в том, что вы отдаете приоритет передовым практикам и следуете рекомендациям в своих процессах. Заботясь об информации о клиентах и делая все возможное для согласования ценностей вашего бизнеса и клиентов, вы можете улучшить свою репутацию как компании.
Снижение риска штрафов
Соответствие требованиям может помочь предприятиям избежать ненужных сборов или дорогостоящих последствий. Утечки данных могут повлиять на доверие клиентов, финансовую безопасность бизнеса и репутацию компании. Кроме того, компании, которые столкнулись с нарушением или не имеют надлежащей сертификации, могут столкнуться со штрафами от поставщиков обработки торговых операций, судебными исками от пострадавших клиентов или снижением продаж.
Как получить сертификат соответствия PCI
Если вы заинтересованы в получении сертификата соответствия PCI, вы можете предпринять следующие шаги:
1. Определите свой уровень сертификации
Различные уровни соответствия PCI могут влиять на требования, которым необходимо соответствовать для выполнения политик PCI. Руководящие принципы исследования, чтобы определить, какой уровень лучше всего подходит для вашей компании. Выбранный вами уровень может зависеть как от количества транзакций личных клиентов, так и от транзакций электронной торговли, поэтому обязательно учитывайте оба параметра при просмотре параметров уровня. Каждый уровень сертификации имеет уникальные требования и требует соблюдения установленных политик. Успешное выполнение процедур может потребовать частых действий, таких как ежеквартальные проверки соответствия и ежегодные оценки.
2. Понимание требований PCI DSS
Соответствие может зависеть от вашей способности следовать изложенным требованиям и процедурам PCI DSS. Совет по стандартам безопасности индустрии платежных карт перечисляет 12 компонентов для безопасной обработки данных клиентов. 12 требований выполняют множество задач, связанных с обеспечением безопасности корпоративных сетей, защитой конфиденциальной информации о держателях карт, снижением рисков и уязвимостей, тестированием сетей и успешной защитой информации.
Вот 12 требований:
Установите, настройте и поддерживайте эффективный брандмауэр.
Разработайте политику компании, определяющую, как вы планируете обеспечивать безопасность и соответствие требованиям.
Регулярно тестируйте системы безопасности и процессы компании.
Ограничьте доступ к важным данным и информации.
Убедитесь, что каждый человек, имеющий доступ к компьютеру, имеет уникальный идентификационный код.
Отслеживайте любые действия, связанные с доступом к информации о держателях карт или сетевым ресурсам.
Ограничьте доступ к информации о держателях карт только для персонала, которому это необходимо.
Установите антивирусное программное обеспечение и регулярно обновляйте программное обеспечение.
Разрабатывать и поддерживать безопасные системы.
Шифруйте любую информацию конфиденциальными данными во время передачи.
Защитите сохраненные данные, информацию о карте или конфиденциальную личную информацию.
Используйте исходные пароли и замените все ключи доступа, предоставленные поставщиком.
3. Заполните ROC или SAQ
Помня о вышеуказанных правилах, заполните анкету самооценки (SAQ) или отчет о соответствии (ROC). SAQ — это инструмент, который продавцы могут использовать для проверки ответов на вашу самооценку. Некоторые компании, особенно крупные, обращаются за помощью к квалифицированному оценщику безопасности (QSA), который может помочь им точно оценить текущий уровень соответствия требованиям. ROC предназначен для компаний первого уровня, проходящих аудит безопасности. Большинство ROC действительны в течение одного года.
4. Подтвердите свой статус и приверженность соблюдению стандартов соответствия
Полное соответствие PCI также требует от компаний пройти аттестацию соответствия (AOC), которая формализует их статус. QSA обычно заполняют AOC, чтобы подтвердить соответствие и предоставить письменную документацию, подтверждающую использование передового опыта. Версия SAQ и AOC, которую вы выберете и заполните, может зависеть от типа вашей компании и конкретного уровня, поэтому не забудьте провести тщательное исследование при выполнении этих шагов процесса.
5. Выполняйте ежеквартальное сканирование
Большинство уровней соответствия требуют, чтобы компании регулярно сканировали свою деятельность и процессы, чтобы обеспечить их постоянное соответствие и соблюдение установленных передовых практик. Вы можете использовать утвержденного поставщика сканеров (ASV), чтобы гарантировать надежность и точность ваших сканирований и соответствие рекомендациям PCI. Поставщики проводят внешний аудит с использованием утвержденных инструментов безопасности для выявления рисков или уязвимостей в вашей системе. После того, как вы определили потенциальные слабые места, вы можете исправить их, чтобы исключить возможности для хакерских атак. Частое сканирование, каждый рабочий квартал или 90 дней, может помочь вам обеспечить постоянную безопасность ваших систем.
6. Сообщите о соблюдении требований банкам и платежным компаниям
Последним шагом является предоставление всей соответствующей документации заинтересованным сторонам, например, вашему банку или компании-эмитенту карт, которую вы используете. Это включает ваши сканирования SAQ, AOC и ASV. После того, как вы отправите свои документы, убедитесь, что они получены и приняты. Это может помочь вам гарантировать успешную сертификацию и упростить начало эффективной обработки транзакций.
Обратите внимание, что ни одна из компаний или сертификатов, упомянутых в этой статье, не связана с компанией Indeed.