Ako sa stať zadarmo kompatibilným s PCI?
Ak vlastníte alebo prevádzkujete firmu - či už online alebo na fyzickom mieste - a prijímate platby kreditnou kartou od svojho zákazníka, musíte zaistiť, aby vaše systémy spĺňali požiadavky štandardu zabezpečenia údajov priemyslu platobných kariet (PCI DSS). Súlad nie je zákonnou požiadavkou, ale značky kariet ako Visa a MasterCard môžu obchodníkom, ktorí nedodržiavajú príslušné štandardy zabezpečenia údajov, uložiť vysoké pokuty. Procesy potrebné na zaistenie a udržanie súladu môžu byť drahé, ak uzatvoríte zmluvu s jednou z mnohých spoločností zabezpečujúcich údaje, ale vo väčšine prípadov sa malé firmy môžu stať bezplatnými v súlade s PCI. Majte však na pamäti, že dodržiavanie PCI nie je jednorazové, ale je to prebiehajúci proces s požiadavkami na každoročné a niekedy aj štvrťročné vykazovanie.
Časť 1 zo 4: Budovanie bezpečnej siete
- 1Zistite úroveň svojho obchodníka. Požiadavky na PCI DSS sa líšia v závislosti od počtu transakcií Visa, ktoré ročne spracujete.
- Všetci obchodníci, ktorí akceptujú priame platby od zákazníkov pomocou kreditných alebo debetných kariet, spadajú do jednej zo štyroch úrovní obchodníka na základe objemu transakcií Visa, ktoré obchodník spracuje počas 12-mesačného obdobia.
- Objem transakcií je súhrnný, takže ak máte viac ako jeden obchod alebo miesto pôsobiace pod rovnakým podnikateľským subjektom, chcete sa pozrieť na celkové transakcie vo všetkých týchto lokalitách. Ak máte napríklad kamenný obchod a webovú stránku, potrebovali by ste vedieť celkový počet transakcií Visa za jeden rok v obchode aj na webe.
- Väčšina malých podnikov spadne do úrovne obchodníka 4. Táto úroveň zahŕňa obchodníkov, ktorí online spracúvajú menej ako 20000 transakcií Visa, a všetkých ostatných obchodníkov, ktorí ročne spracujú až 1 milión transakcií Visa.
- Obchodníci na úrovni 4 sa zvyčajne môžu bezplatne stať kompatibilnými s PCI, pretože sú potrebné menej komplikované validačné dokumenty a obchodníci môžu vyplniť dotazníky, ktoré sami vyhodnotia, než aby museli najímať schváleného dodávateľa skenovania (ASV), akým je napríklad ControlScan.
- Majte na pamäti, že ak prijímate platby kreditnou kartou priamo cez svoj web, stále musíte uzavrieť zmluvu s ASV o štvrťročných kontrolách zraniteľnosti - takže ak si chcete zachovať súlad s PCI bez toho, aby vám vznikli akékoľvek ďalšie výdavky, musíte sa vyhnúť prijímaniu platieb kreditnou kartou priamo online. Namiesto toho by ste mohli chcieť vybudovať svoj online obchod prostredníctvom iného webu, ako je eBay alebo Etsy, ktorý je kompatibilný s PCI a spracuje platby za vás.
- 2Spolupracujte s dodávateľmi kompatibilnými s PCI. Ak využívate iné firmy alebo služby, ako napríklad webhostingovú službu, mali by ste porozumieť a implementovať bezpečnostné opatrenia, ktoré sú v súlade s PCI DSS.
- Váš hostiteľ webu by mal rozumieť PCI a byť schopný spolupracovať s vašou firmou na dosiahnutí súladu - najmä ak plánujete ponúkať produkty na predaj online.
- Majte na pamäti, že na to, aby si vaša firma udržala súlad s PCI, musí byť každý dodávateľ, partner alebo poskytovateľ služieb, s ktorým pracujete, kompatibilný s PCI, ak sú vystavení údajom o držiteľovi karty.
- 3Šifrujte údaje na všetkých počítačoch a serveroch. Ak uchovávate citlivé údaje o držiteľovi karty, a to aj na krátku dobu, šifrovanie údajov pomáha zaistiť ich bezpečnosť.
- Pokiaľ je to len trochu možné, vôbec neukladajte čísla kreditných kariet a ďalšie podobné informácie na počítače svojej firmy alebo na sieť. Ak tak urobíte, celý váš fyzický systém musí tiež spĺňať štandardy súladu s PCI, čo môže zahŕňať vynaloženie peňazí na aktualizáciu funkcií zabezpečenia a nainštalovanie dodatočnej ochrany.
- Ak ukladáte údaje o držiteľovi karty, spravidla budete potrebovať šifrovanie na všetkých počítačoch a serveroch, ktoré vaša firma používa, vrátane záložných jednotiek a súborov na obnovu.
- Šifrovanie bráni niekomu, kto by mohol ukradnúť vaše počítače alebo do nich preniknúť, aby získali prístup k tam uloženým údajom bez šifrovacieho kľúča.
- Aj keď je inštalácia a implementácia šifrovacích programov vo vašom systéme pomerne jednoduchá, vzniknú vám dodatočné náklady vo forme licenčných poplatkov za program pre používateľa.
- 4Nainštalujte antivírusový softvér. Udržiavanie antivírusového softvéru v aktuálnom stave chráni vašu sieť a príznaky pred vírusmi a škodlivým softvérom.
- Váš antivírusový softvér by mal byť navrhnutý tak, aby nikomu neumožňoval sťahovať alebo inštalovať akýkoľvek program, pokiaľ nezadá heslo správcu. Heslá správcu poskytujte iba zásadným zamestnancom a pravidelne ich meňte.
- Váš antivírusový softvér by tiež mal byť schopný generovať protokoly auditu pre všetky procesy dokončené vo vašich počítačoch alebo sieti.
- 5Chráňte svoju sieť pomocou brán firewall. Brány firewall môžu zabrániť hackerom preniknúť do vašej siete a ohroziť údaje držiteľa karty.
- Majte na pamäti, že bezdrôtové siete sú obzvlášť citlivé na hackerov. Použitie káblových sietí, najmä na prenos citlivých údajov držiteľa karty, môže byť jednoduchšie a nákladovo efektívnejšie.
- 6Používajte silné heslá. Akékoľvek heslo dodávateľa alebo predvolené heslo by malo byť okamžite zmenené na jedinečné heslo
- Váš bezdrôtový smerovač by mal byť tiež chránený heslom, aby sa zabránilo neoprávnenému prístupu a prístupu k vašej sieti.
- Majte na pamäti, že čím dlhšie je heslo, tým ťažšie je ho prelomiť. Nepoužívajte slovníky alebo slovné spojenia, ktoré sú s vami zjavne spojené, napríklad vašu e -mailovú adresu, názov spoločnosti alebo názov počítača.
- Na internete je k dispozícii mnoho služieb, ktoré vám poskytnú náhodne vygenerované hexadecimálne heslá, ktoré môžu poskytnúť jednu z najsilnejších ochranou heslom. Aj keď pomocou takejto služby získate silné heslá, heslo by ste si mali často meniť.
- Heslá si nikdy nepíšte na papier ani ich nenechávajte v blízkosti počítačov, kde by ich mohol niekto vidieť alebo skopírovať.
Časť 2 zo 4: vývoj politiky informačnej bezpečnosti
- 1Určte manažéra súladu. Váš personál by mal zahŕňať jednu osobu, ktorá je zodpovedná za udržiavanie a testovanie zhody s PCI.
- Váš manažér dodržiavania predpisov by mal pravidelne kontrolovať predpisy PCI DSS, aby sa s nimi udržal oboznámený, a monitorovať informácie, ktoré o interpretácii a implementácii týchto predpisov poskytuje Rada pre bezpečnostné štandardy PCI.
- Váš manažér súladu si môže stiahnuť najnovšie dokumenty PCI DSS z online knižnice dokumentov Rady pre bezpečnostné štandardy, ktorá je k dispozícii na adrese https://pcisecuritystandards.org/security_standards/documents.php.
- Aj keď sa PCI DSS vzťahuje na všetky hlavné značky kariet, každá môže mať mierne odlišné požiadavky na súlad. Váš manažér dodržiavania predpisov by mal byť oboznámený so špecifickými normami pre každý typ karty, ktorý akceptujete.
- Tieto všeobecné zásady dodržiavanie stanovenej Radou bezpečnostných štandardov sú len minimum - každý poskytovateľ karty môže vyžadovať dodatočné ochrany. Aby ste zaistili, že budete plne kompatibilní s PCI, musíte mať znalosti a znalosti o štandardoch pre všetky značky kariet, ktoré akceptujete.
- Ak si vaša firma nemôže dovoliť zamestnať niekoho konkrétne na túto úlohu, stále by ste mali mať konkrétneho manažéra z personálu, ktorý sa stará o dodržiavanie PCI. Môžete sa tiež obrátiť na banku, ktorá spracováva vaše transakcie s kreditnými kartami (zvyčajne sa označuje ako vaša nadobúdajúca banka), a opýtať sa, ako najlepšie dodržať štandardy. Mnoho z týchto bánk má zdroje a odborné rady, ktoré vám bezplatne ponúknu.
- 2Kupujte a používajte iba schválené zariadenia na zadávanie pinov a platobný softvér. Schválené a overené zariadenia a softvér už spĺňajú štandardy zhody PCI.
- Rada pre bezpečnostné štandardy má zoznam schválených zariadení dostupných na svojej webovej stránke na adrese https://pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php. Zoznam je zoradený abecedne podľa názvu spoločnosti, ktorá zariadenie predáva, a tiež je možné ho vyhľadávať v niekoľkých rôznych poliach vrátane názvu produktu a poskytovaných funkcií.
- Zoznam overených žiadostí o platby je dostupný aj na webovej stránke Rady pre bezpečnostné štandardy na adrese https://pcisecuritystandards.org/approved_companies_providers/vpa_agreement.php. Tento zoznam je možné vyhľadávať podľa názvu spoločnosti, názvu aplikácie alebo typu aplikácie.
- 3Heslá zamestnancov pravidelne meňte. Pravidlá pravidelnej zmeny hesiel zamestnancov alebo v prípade určitých udalostí môžu zabrániť prístupu neoprávnených strán k vášmu systému.
- Zakážte zamestnancom zapisovať si heslá alebo ich nechávať vedľa počítača alebo kdekoľvek, kde by k nim mohol získať prístup niekto iný.
- Zmeňte všetky heslá zamestnancov, kedykoľvek zamestnanec z akéhokoľvek dôvodu opustí vašu spoločnosť, a odstráňte staré heslo tohto zamestnanca zo systému. Umožnenie nepretržitého prístupu k vášmu systému niekomu, kto už nie je vo vašej spoločnosti zamestnaný, môže mať za následok vážne narušenie bezpečnosti.
- Majte heslá pre jednotlivých zamestnancov s úrovňami prístupu, ktoré zodpovedajú ich úlohe vo vašej firme, a nie s generickými správcovskými účtami alebo s prístupom pre každého.
- 4Zaškolte personál o bezpečnosti údajov. Všetci zamestnanci, ktorí narábajú s citlivými údajmi držiteľa karty, by mali pochopiť, ako najlepšie tieto informácie udržať v bezpečí a ako postupovať v prípade narušenia zabezpečenia.
- Uistite sa, že každý vie, kto je manažér súladu a ako sa s ním môžete zoznámiť, ak sa zistí porušenie.
- Váš manažér dodržiavania predpisov by mal zvyčajne tiež zodpovedať za komunikáciu vašich zásad a postupov v oblasti zabezpečenia údajov s ostatnými vašimi zamestnancami a za informovanie ich o akýchkoľvek zmenách alebo aktualizáciách.
- Zdôraznite zamestnancom dôležitosť zabezpečenia údajov držiteľa karty a sankcionujte zamestnancov, ktorí porušujú vaše zásady zabezpečenia informácií.
- 5Fyzicky zabezpečte všetky papierové záznamy. Chcete sa vyhnúť uchovávaniu papierových záznamov obsahujúcich údaje o držiteľovi karty, ako sú úplné čísla kreditných kariet, na papieri.
- Prísne kontrolujte prístup k akýmkoľvek papierovým záznamom, ktoré obsahujú akékoľvek údaje o držiteľovi karty.
- Nikdy si nezapisujte úplné číslo kreditnej karty zákazníka, najmä žiadne ďalšie identifikačné údaje, ako napríklad jeho meno alebo dátum vypršania platnosti karty.
- Uistite sa, že na všetkých účtenkách vrátane kópie zákazníka je maskované celé číslo účtu zákazníka.
- Majte na pamäti, že možno budete musieť nainštalovať fyzický zabezpečovací systém vrátane bezpečnostných kamier a dverných alarmov, ktorý nemusí byť zahrnutý alebo zahrnutý v prenájme vašej nehnuteľnosti. Týmto dodatočným nákladom môžete zabrániť tým, že informácie o držiteľovi karty neuložíte vo svojom vlastnom systéme.
- 6Vytvorte plán reakcie na incident. V prípade narušenia zabezpečenia musia všetci manažéri vedieť, aké opatrenia je potrebné vykonať okamžite na zabezpečenie vašej siete.
- Majte na pamäti, že väčšina štátov má zákony vyžadujúce upozornenie držiteľov kariet v prípade narušenia ochrany údajov.
- Musíte si overiť právo štátu alebo štátov, v ktorých vaša firma pôsobí, aby ste zistili, aký druh oznámenia je vyžadovaný pri narušení bezpečnosti.
- Mali by ste spolupracovať so svojim manažérom súladu, aby ste zaistili, že všetky zistené porušenia alebo zraniteľné miesta budú opravené alebo opravené čo najskôr po ich prvom zistení.
- 7Podľa potreby aktualizujte svoje pravidlá, aby boli v súlade s novými predpismi. Pri revízii predpisov PCI DSS musíte určiť, aké zmeny musíte vykonať vo svojom systéme alebo postupoch, aby bola zachovaná zhoda. [[Obrázok: Be-a-Business-Analyst-in-Top-
Management-Step-3-Version-2.jpg | centrum]]
- 1
- Majte na pamäti, že štandardy sa musia rýchlo vyvíjať, aby držali krok s technologickým pokrokom. Hackeri pracujú na prelomení nového bezpečnostného protokolu v okamihu jeho implementácie, takže vaše zásady musia zostať flexibilné a prispôsobiteľné rýchlo sa meniacim technologickým prostrediam
Časť 3 zo 4: Testovanie a monitorovanie vašej siete
- 1Vykonajte štvrťročné kontroly zraniteľností. Ak prijímate platby priamo cez internet, musíte vyhľadať chyby zabezpečenia vo verejnej sieti.
- Nie všetci obchodníci sú povinní predkladať štvrťročné správy o skenovaní. Ak nemáte internetový obchod alebo ak sú vaše online platobné procesy výlučne outsourcované, tieto skenovania nemusíte vykonávať, aby ste zostali v súlade s PCI.
- Ak sú však vaše platobné procesy zadávané externe iba čiastočne alebo ak prijímate platby priamo prostredníctvom verejnej online siete, musíte štvrťročne skenovať a podávať správy.
- Majte na pamäti, že štvrťročné skenovanie bude stáť peniaze. Aby ste dodržali súlad, musíte uzavrieť zmluvu so schváleným dodávateľom skenovania, akým je napríklad ControlScan. Tieto štvrťročné kontroly zvyčajne stoja niekoľko stoviek dolárov ročne.
- Ak sa od vás požaduje odosielanie štvrťročných skenov, vaša nadobúdajúca banka môže odporučiť konkrétneho poskytovateľa. Môžete ísť s touto spoločnosťou, ak chcete, ale môže to stáť za váš čas porozhliadnuť sa a zistiť, či nájdete cenovo výhodnejšie riešenia u iného predajcu. Jedinou požiadavkou je, aby predajcu schválila rada PCI.
- 2Pravidelne kontrolujte pripájacie zariadenia a počítače. Hackeri môžu k vašim strojom pripojiť „skimmery“ alebo podobné zariadenia na zachytávanie údajov o kreditných kartách tak, ako ich zadávajú zamestnanci alebo zákazníci.
- Zariadenia môžu byť umiestnené na vonkajšej strane strojov a môžu byť prakticky nedetekovateľné, pokiaľ sa na svoj stroj nepozriete pozorne. Je tiež možné nainštalovať softvér na odcudzenie citlivých údajov držiteľa karty. Uistite sa, že pravidelne kontrolujete všetky stroje a systémy a že váš antivírusový program zakazuje inštaláciu programov alebo softvéru bez hesla správcu.
- 3Implementujte denníky návštevníkov a automatické audítorské chodníky. V prípade narušenia alebo problému s transakciou vám tieto denníky a chodníky poskytujú informácie o každom prístupe k tejto transakcii. [[Obrázok: Pracovne efektívne a uchovávajte-
Oneself-Diversities-Step-3.jpg | centrum]]
- 1
- Protokoly by mali mať dostatok podrobností, aby vám umožnili znovu vytvoriť všetky prístupy jednotlivých používateľov k akýmkoľvek údajom držiteľa karty, akcie kohokoľvek, kto používa heslo správcu, akékoľvek pokusy o neplatný prístup a akýkoľvek prístup k samotným protokolom.
- Každý záznam v denníku by mal obsahovať identifikáciu používateľa, typ udalosti, dátum a čas udalosti, či bol pokus o prístup úspešný alebo neúspešný, kde k pokusu o prístup došlo a aké údaje boli zahrnuté.
Časť 4 zo 4: vedenie príslušnej dokumentácie
- 1Odošlite štvrťročné správy o skenovaní. Ak sa od vás požaduje, aby ste štvrťročne vykonávali kontroly zraniteľností, musíte správy o týchto skenoch odoslať svojim nadobúdajúcim bankám a všetkým značkám kariet, s ktorými obchodujete.
- Táto správa poskytuje dôkaz, že ste prešli kontrolou zraniteľnosti vykonanou schváleným dodávateľom skenovania.
- Každých 90 dní alebo najmenej raz za štvrťrok musíte svojej nadobúdajúcej banke predložiť správu o úspešnom skenovaní. Banka spravidla nastaví plán, ktorý určuje, kedy sú vaše správy splatné.
- 2Vyplňte svoj vlastný hodnotený dotazník (SAQ) každý rok. Vo väčšine prípadov sú malé podniky oprávnené dokončiť SAQ, a nie platiť za prepracovanejšie overovanie.
- SAQ je navrhnutý pre malé podniky a vo väčšine prípadov ho môžete vyplniť sami alebo s pomocou svojho manažéra dodržiavania predpisov bez toho, aby ste museli znášať ďalšie náklady.
- Konkrétny SAQ, ktorý musíte vyplniť každý rok, bude závisieť od spôsobov spracovania, ktoré používate, a od toho, či spracúvate svoje vlastné platby alebo spracovanie platieb zadávate tretej strane tretej strane overenej PCI.
- Vaše hodnotiace správy by mali byť odoslané vašej nadobúdajúcej banke, ako aj každej značke karty, ktorú vo svojej firme akceptujete.
- 3Uchovávajte dokumentáciu všetkých šifrovacích kľúčov a históriu auditných záznamov. Musíte zaznamenať a uchovávať všetky kryptografické kľúče potrebné na prístup k šifrovaným údajom v prípade, že sa vo vašom systéme niečo stane a budete potrebovať údaje obnoviť.
- Ak máte na diskoch a v sieti šifrovanie údajov, musíte udržiavať správnu dokumentáciu kľúčov, aby bolo možné súbory na obnovenie odšifrovať.
- Rovnako ako všetky ostatné údaje, aj táto dokumentácia by mala byť zabezpečená. Ak uchovávate tieto informácie vo fyzickom súbore, mali by ste ich uchovávať pod zámkou s prístupom prísne obmedzeným a monitorovaným. Zároveň však musíte zaistiť, aby k informáciám mali v prípade potreby prístup kľúčoví ľudia, napríklad váš manažér dodržiavania predpisov.
- Protokoly návštevníkov by sa mali uchovávať najmenej tri mesiace a história auditných záznamov by sa mala uchovávať najmenej jeden rok.