Kdy je vyžadován audit PCI?

pokud jste se za posledních deset let neskrývali v jeskyni nebo uvízli na odlehlém ostrově někde uprostřed oceánu, pravděpodobně víte, že prevalence útoků na kybernetickou bezpečnost exponenciálně vzrostla.

Poslední porušení viděl finanční organizace HSBC jako cíl. Útok vyústil v odhalení osobně identifikovatelných informací dosud nezveřejněného počtu účtů. Je pravděpodobné, že solidní čísla budou oznámena, jakmile bude rozsah útoku plně pochopen.

útoky na finanční sektor se bohužel stávají normou. Ve skutečnosti nová zpráva sponzorovaná společností IBM poukázala na to, že sektor finančních služeb je dnes nejvíce napadeným průmyslovým vertikálem. Je to proto, že porušení v této vertikální oblasti trhu jsou finančně lukrativní—v roce 2017 stojí podniky v průměru kolem 3,7 milionu dolarů.

pokud jste podnik, který zpracovává údaje o zákaznických kartách, pravděpodobně znáte požadavky na dodržování předpisů určené k zajištění bezpečnosti a zabezpečení údajů držitelů karet. Pokud jste se stali terčem porušení nebo jste již nějakou dobu nezkoumali pozici PCI compliance, může se stát, že budete muset podstoupit audit PCI compliance. Tady je to, co potřebujete vědět.

co je to audit shody PCI DSS?

audit shody PCI DSS hodnotí, jak robustní je zabezpečení vašeho systému prodeje. Audit se zaměřuje především na identifikaci zranitelností systému a nastínění bezpečnostních postupů a osvědčených postupů pro vaše systémy. Audit také poskytne doporučení, jak zabránit ohrožení údajů.

PCI DSS byla založena hlavními společnostmi vydávajícími kreditní karty. Byl vytvořen soubor standardů, které nejen chrání údaje o zákaznících,ale poskytují rámec pro organizace, které přijímají nebo zpracovávají údaje o kartách.

jaké jsou úrovně shody a jaké jsou snadné způsoby, jak zjistit, do které úrovně, pokud existuje, zapadáte?

naštěstí Rada PCI DSS obchodníkům poměrně usnadnila zjistit, do jaké kategorie souladu se hodí. Vše je obecně založeno na počtu transakcí, které obchodník zpracovává.

v současné době existují čtyři úrovně souladu s PCI:

Úroveň 1: obchodníci zpracovávají více než 6 milionů karetních transakcí ročně.

úroveň 2: obchodníci zpracovávají 1-6 milionů transakcí ročně.

úroveň 3: obchodníci zpracovávají 20 000-1 milion transakcí ročně.

úroveň 4: obchodníci zpracovávají méně než 20 000 transakcí ročně.

všechny čtyři úrovně vyžadují, aby obchodníci podstoupili dotazník pro sebehodnocení (SAQ), čtvrtletní skenování sítě schváleným dodavatelem skenování a formulář potvrzení shody. Úroveň 1 vyžaduje všechny výše uvedené plus zprávu o souladu kvalifikovaným hodnotitelem bezpečnosti (QSA).

kdo pro vás provádí audit shody?

k provedení auditu budete muset uzavřít smlouvu s kvalifikovaným a schváleným radou pro bezpečnostní standardy PCI (QSA). QSA začínají hodnocením bezpečnostní infrastruktury—postupů, zásad, sítí a systémů-poté vám poskytnou posouzení rizik a poskytnou vám návrhy, jak zlepšit zabezpečení dat.

QSA s vámi přezkoumá vaše hodnocení rizik a určí priority oblastí, které je třeba řešit. Tento přehled je nezbytný pro zlepšení zásad zabezpečení dat a vedení vašich zaměstnanců poskytováním školení o povědomí o bezpečnosti.

jak se můžete připravit na audit?

nejjednodušší způsob, jak se připravit na audit, je posoudit stávající zásady a postupy zabezpečení dat před provedením auditu. Začněte tím, že zkoumá bezpečnost věcí, jako je vaše síťová brána firewall a systémy integrity monitorování souborů pro neobvyklé nebo kritické změny.

pokud si nejste jisti, jak a kde začít na cestě k dodržování PCI, klikněte zde pro některé užitečné pokyny.

uvědomte si, že nedodržení může mít za následek pokutu ve výši $ 5,000 – $ 500,000 pro nabývající banku, která s vysokou pravděpodobností předá pokuty nevyhovujícímu obchodníkovi. Kromě toho, pokud jste již kompatibilní s PCI a trpíte porušením dat, můžete čelit pozastavení přijetí kreditní karty vaší bankou, nikoli radou PCI.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.