Shoda s PCI je přísné dodržování pokynů standardu zabezpečení dat v odvětví platebních karet (PCI DSS) požadovaného pro všechny podniky, které přijímají platby kreditní kartou. Rada pro bezpečnostní standardy v odvětví platebních karet je orgán, který nese odpovědnost za dodržování předpisů. Rada PCI nabízí různá školení a kurzy pro podniky i jednoduché kvízy, které mohou absolvovat, aby otestovaly jejich úroveň dodržování předpisů.
PCI také poskytuje přístup hodnotitelům (často bezpečnostním organizacím třetích stran), kteří kontrolují, zda podniky dodržují PCI. Rada pro bezpečnostní standardy PCI také zajišťuje, aby kvalifikovaní hodnotitelé zabezpečení byli pravidelně certifikováni a schvalováni, aby sami dodržovali vysoký standard shody.
PCI také poskytuje standardy pro zařízení PTS (PIN Transaction Security), což je hardware, na kterém probíhají transakce kartou. Na webu PCI Security Standards je seznam zařízení PTS schválených PCI, která mají také zásady zabezpečení. Platnost těchto zařízení nesmí vypršet, pokud je bude podnik používat.
Dvanáct požadavků na soulad s PCI
Rada pro bezpečnostní standardy stanovila dvanáct standardů, které musí každý podnik přijímající karty dodržovat:
- Implementace firewallů ve firemní síti
- Procvičování nejlepších návyků pro dobrá hesla, nejen minimální nebo výchozí hesla
- Šifrování informací o kreditní kartě i šifrovacích klíčů
- Šifrování dat v pohybu (zatímco překračuje veřejné sítě)
- Využívání nejnovějších antivirových řešení
- Zabezpečení celé sítě, včetně softwaru / aplikací
- Umožnění zaměstnancům přístup k informacím o kartě pouze v nezbytných případech
- Poskytnutí každého zaměstnance vlastní přístupový kód k počítači / systému, uživatelské jméno a / nebo heslo
- Omezení přístupu k hardwaru nebo jinému zařízení, ve kterém jsou uchovávány údaje o kartě
- Monitorování přístupu do systému, včetně vedení záznamů o každém přístupu zaměstnance k informacím o kartě
- Časté testování bezpečnostních protokolů
- Poskytování zásad zabezpečení nejen zaměstnancům, ale také třetím stranám a dokumentování ukládání, přenosu a přístupu k datům na kartě. Jedna další důležitá poznámka o těchto dokumentech a protokolech: další právní normy, jako je GDPR a CCPA, pravděpodobně budou také vyžadovat, aby organizace dokumentovaly veškeré použití a přenos citlivých dat, takže je dvojnásobně důležité vést podrobné záznamy.
Možné důsledky nedodržení předpisů PCI
Nedodržení těchto přísných požadavků zvyšuje riziko narušení dat. Zvyšuje také šanci na ztrátu reputace a důvěry zákazníků. Šifrování dat a omezení přístupu k nim na druhé straně poskytuje podnikům větší bezpečnost. Ačkoli přísné dodržování standardů PCI neznamená, že je společnost imunní vůči útokům a porušování, znamená to, že jejich pokuty a jakékoli právní kroky budou pravděpodobně sníženy.
Kybernetické zločiny, včetně krádeží údajů o kreditních kartách, se zločincům stávají mnohem snazšími. Dodržování standardů PCI je nejlepší praxí pro podniky, které chtějí legálně fungovat a udržet si spokojenou zákaznickou základnu.