Ako sa stať kompatibilným s PCI?
PCI, často nazývaný PCI DSS, je skratka pre štandard zabezpečenia údajov priemyslu platobných kariet. Stručne povedané, PCI je súbor priemyselných štandardov používaných na meranie bezpečnosti podnikov, ktoré prijímajú, spracúvajú, uchovávajú a prenášajú informácie o kreditných kartách. Spoločnosti, ktoré sú v súlade s PCI, menej pravdepodobne trpia narušením údajov, ktoré by mohlo zákazníkov odhaliť krádež. Ak máte ID obchodníka a akceptujete kreditné karty vo fyzickom alebo virtuálnom obchode, podliehate priemyselným štandardom PCI DSS. Rada pre bezpečnostné štandardy PCI je nezávislá skupina profesionálov z priemyslu, ktorí skúmajú vznikajúce problémy so zabezpečením PCI a vytvárať programy a štandardy na zachovanie integrity systému platobných kariet.
Časť 1 z 3: preskúmanie základov PCI DSS
- 1Potvrďte svoju úroveň obchodníka. Prvým krokom je prediskutovanie a overenie úrovne vášho obchodníka s bankou alebo informačným strediskom, ktoré sa zaoberajú vašimi transakciami s kreditnou kartou. Obchodníci sú rozdelení do štyroch kategórií na základe transakcie kartou VISA počas 12 mesiacov. Úroveň vášho obchodníka určí, aké prísne musia byť vaše programy súladu s PCI.
- Obchodník úrovne 1 spracuje viac ako 6 miliónov transakcií VISA ročne alebo ho spoločnosť VISA označí za úroveň 1.
- Obchodník úrovne 2 akceptuje 1 až 6 miliónov transakcií VISA ročne. To zahŕňa osobne a online.
- Obchodník úrovne 3 spracuje 20000 až 1 milión transakcií VISA ročne.
- Obchodník úrovne 4, považovaný za drobného obchodníka, ročne vykoná menej ako 20000 platieb VISA.
- Požiadavky na PCI DSS sa vzťahujú aj na firmy, ktoré akceptujú iné kreditné karty, ako napríklad European Express, MasterCard a Discover. VISA sa používa ako štandard pre stanovovanie úrovní obchodníka.
- 2Pochopte sankcie za porušenie pravidiel PCI DSS. Podniky, ktoré nie sú kompatibilné s PCI DSS, môžu byť pokutované sankciami a stratou oprávnení od informačného strediska, ktoré spracováva platby kreditnou kartou. Ak by zlyhanie PCI malo za následok skutočnú stratu dát, podniku by mohli hroziť pokuty, vyššie poplatky a ďalšie sankcie od bánk a spracovateľov kreditných kariet.
- Na firmy, ktoré nie sú v súlade s PCI, sa môžu vzťahovať súdne konania a štátne stíhania za to, že nechránili údaje o zákazníkoch.
- 3Zoznámte sa s najlepšími postupmi zabezpečenia. Prvý štandard PCI DSS implementovaný v septembri 2009 (DSS v 1,2) zaviedol 12 požiadaviek, ktoré by mal obchodník preskúmať, aby bol v súlade s PCI. V závislosti od úrovne vášho obchodníka sa množstvo technológie, školenia a odbornosti na implementáciu štandardov bude líšiť. Napríklad sieť, ktorá zvládne 2 milióny transakcií, bude sofistikovanejšia ako sieť, ktorá spracováva 2000.
- PCI 3,1 vstúpil do platnosti v júni 2015 a zaoberá sa novými technologickými štandardmi a rieši zraniteľné miesta v bežných šifrovacích programoch.
- Osvedčené postupy pre dodržiavanie PCI sú zaradené do piatich všeobecných kategórií: bezpečná sieť, ochrana údajov, správa zraniteľností, kontrola prístupu, monitorovanie a bezpečnostná politika. Rada PCI má dotazník na sebahodnotenie, ktorý pomôže malým podnikom určiť súlad s bezpečnostnými normami.
Časť 2 z 3: Implementácia programov súladu s PCI
- 1Vybudujte a udržujte bezpečnú sieť. Pre podniky to bude znamenať rozvoj vzťahu s dôveryhodným dodávateľom. Pokiaľ nie ste odborníkom v oblasti IT, nemali by ste si inštalovať vlastnú sieť, ak bude uchovávať údaje o zákazníkoch. Ak nie je nainštalovaný a správne aktualizovaný, môže mať zraniteľnosti dokonca aj vybalený systém.
- Udržujte svoje brány firewall aktuálne a funkčné. Nedovoľte, aby zamestnanci za akýmkoľvek účelom deaktivovali brány firewall.
- Heslá poskytnuté dodávateľom okamžite zmeňte. Implementujte pre svojich zamestnancov aj program hesiel. Heslá by sa mali pravidelne meniť v súlade s pokynmi predajcu. Heslá by napríklad mali byť kombináciou alfanumerických znakov a znakov, ktoré nie sú slovníkmi. Ak váš dodávateľ funguje vo vašom systéme, mali by ste zmeniť všetky heslá, keď sa vráti do režimu online.
- 2Chráňte informácie o držiteľovi karty. Ak ručne spracovávate kreditné karty, doklady a potvrdenky by mali byť uchovávané v uzamknutých súboroch s obmedzeným prístupom. Ak sú informácie o držiteľovi karty uložené vo vašej sieti, mali by byť šifrované a chránené za bránami firewall spoločnosti
- 3Vytvorte program na správu zraniteľností. Váš systém by mal byť chránený vhodným antivírusovým softvérom. Mali by ste mať aj firemný program, ktorý zakazuje pridávanie softvéru, napríklad hier, ktoré by mohlo ohroziť systém.
- 4Implementujte riadenie prístupu. Prístup s heslom do vášho systému by mal byť obmedzený. Každý zamestnanec by mal mať iba prístup, ktorý potrebuje na výkon svojej práce. Vysvetlite, že to chráni tak vašich zamestnancov, ako aj vašich zákazníkov. Ak dôjde k narušeniu ochrany údajov, obmedzený prístup zúži možnosti a pomôže vyšetrovaniu.
- Pre vašu sieť dajte každému používateľovi a každému terminálu jedinečné identifikačné číslo. V prípade potvrdeného alebo predpokladaného porušenia budú vaši IT odborníci schopní rýchlo identifikovať vstupný bod.
- Zabezpečte fyzické záznamy, ktoré obsahujú údaje o zákazníkovi a držiteľovi karty. Použite buď systém kľúčov karty, alebo fyzický zámok a kľúč.
Časť 3 z 3: testovanie a udržiavanie zhody s PCI
- 1Monitorujte a testujte svoje siete. Váš bezpečnostný program musí zahŕňať pravidelné kontroly a testy na sledovanie a monitorovanie toku zákazníckych údajov cez vašu sieť. Váš IT odborník alebo predajca môže implementovať testy tak pri slabom používaní systému (napríklad neskoro v noci cez víkendy), ako aj v reálnom čase, keď sa systém používa.
- Uchovávajte denník výsledkov testov. Diskutujte o tom, ako dlho musíte uchovávať záznamy o testoch so svojou bankou a poisťovňou.
- 2Vypracovať politiku bezpečnosti informácií. Všetky kroky vo vašom programe súladu s PCI musia byť zdokumentované vo vašich bezpečnostných zásadách. Tento dokument by mal podrobne popisovať všetky kroky, ktoré vaša spoločnosť robí pre zabezpečenie údajov o zákazníkoch. Pre obchodníkov úrovne 1 až 3 môže tento program fungovať pre niekoľko zväzkov a integrovať manuál pre zamestnancov.
- Obchodníci na úrovni 1 až 3 pravdepodobne uzatvoria zmluvu s profesionálom v oblasti bezpečnosti alebo budú mať špecializovaných pracovníkov vyškolených v zložitosti písania a udržiavania politiky informačnej bezpečnosti.
- Obchodník úrovne 4 by sa mal obrátiť na informačné stredisko pre kreditné karty o radu a pomoc pri vytváraní bezpečnostnej politiky. Ak procesor neposkytne šablónu programu, mali by ste zvážiť uzatvorenie zmluvy s odborníkom na zabezpečenie vytvorenia dokumentu. Pokiaľ nie ste odborníkom v oblasti IT, je nepravdepodobné, že sa dostatočne vyznáte v technických podrobnostiach svojho systému na vytvorenie bezpečnostnej politiky kompatibilnej s PCI. Akonáhle je vytvorený, bude ho potrebné aktualizovať iba vtedy, ak je vaša sieť rozšírená alebo aktualizovaná. Váš dodávateľ IT vám môže poskytnúť dokumenty, ktoré potrebujete na aktualizáciu svojich bezpečnostných zásad.
- Väčšina vášho bezpečnostného programu bude mať technickú povahu, ako výber brány firewall a bezpečnostného softvéru, ako aj testovacích protokolov. Mali by ste však zahrnúť aj časti o procese, keď zamestnanec odíde zo spoločnosti a budú zrušené heslá.
- Vypracujte postup na sledovanie kľúčov a kariet. Hlavné kľúče by mali byť rovnako prísne regulované ako heslá na vysokej úrovni.
- 3Zhodnoťte, napravte a nahláste zhodu s PCI. Hneď ako sa implementuje 12 častí osvedčených postupov PCI, mali by ste pravidelne absolvovať trojstupňový postup preskúmania Rady PCI, aby ste sa uistili, že je dodržaný súlad.
- Inventarizujte svoje systémy IT a obchodné procesy. Ak sa niečo zmenilo, aktualizujte svoje programy zabezpečenia a plány správy zraniteľností.
- Ak nájdete vo svojom systéme slabinu, odstráňte problém. Môže to vyžadovať nové zariadenie alebo softvér, školenie používateľov alebo aktualizáciu siete. IT odborníci by mali tieto zmeny implementovať.
- Uchovávajte záznamy o svojich krokoch a správy o svojich snahách o dodržiavanie predpisov odosielajte svojim bankám a spoločnostiam vydávajúcim kreditné karty. Vaše správy, snahy a postrehy môžu pomôcť inej spoločnosti chrániť údaje zákazníkov.
- Obchodníci úrovne 4 by mali prediskutovať dodržiavanie PCI s bankou alebo zúčtovacím strediskom pre kreditné karty a postupovať podľa odporúčaní.
- Ak ste veľmi malý obchodník, ako je napríklad domáci podnik, je nepravdepodobné, že budete ukladať údaje o kartách do svojej osobnej siete. Svoje procesy by ste si však mali u banky overiť. Rada PCI má online školenia a zdroje, ktoré vám pomôžu zabrániť krádeži údajov o zákazníkoch.
Otázky a odpovede
- Ako zistím, či je môj súlad aktuálny?