Hvornår kræves en PCI-revision?

medmindre du har gemt dig inde i en hule eller strandet på en fjerntliggende ø et sted midt i havet i det sidste årti, er du sandsynligvis klar over, at forekomsten af cybersikkerhedsangreb er steget eksponentielt.

det seneste brud så HSBC finansiel organisation som målet. Angrebet resulterede i eksponering af personligt identificerbare oplysninger om et endnu ikke offentliggjort antal konti. Det er sandsynligt, at solide tal vil blive annonceret, når omfanget af angrebet er fuldt ud forstået.

angreb på den finansielle sektor er desværre ved at blive normen. Faktisk påpegede en ny rapport sponsoreret af IBM, at sektoren for finansielle tjenester er den mest angrebne industrielle lodrette i dag. Det skyldes, at overtrædelser inden for dette marked lodret er økonomisk lukrative—koster virksomheder i gennemsnit omkring $3.7 millioner i 2017.

hvis du er en virksomhed, der behandler kundekortdata, er du sandsynligvis opmærksom på overholdelseskrav, der er designet til at sikre sikkerheden og sikkerheden for kortholderdata. Hvis du har været målet for et brud eller ikke har undersøgt din PCI-overholdelsesstilling i et stykke tid, kan du blive bedt om at gennemgå en PCI-overholdelsesrevision. Her er hvad du behøver at vide.

Hvad er en PCI DSS compliance audit?

en PCI DSS compliance audit vurderer, hvor robust sikkerheden i dit salgssted er. Revisionen fokuserer primært på at identificere systemsårbarheder og skitsere sikkerhedsprocedurer og bedste praksis for dine systemer. Revisionen vil også give anbefalinger om, hvordan man forhindrer data i at blive kompromitteret.

PCI DSS blev etableret af de store kreditkortselskaber. Der blev oprettet et sæt standarder for ikke kun at beskytte kundedata, men give en ramme for organisationer, der accepterer eller behandler kortdata, der skal følges.

Hvad er niveauerne for overholdelse, og hvad er nemme måder at vide, hvilket niveau, hvis nogen, du passer ind?

heldigvis har PCI DSS-Rådet gjort det ret nemt for handlende at finde ud af, hvilken kategori af overholdelse de passer ind i. Det hele er generelt baseret på antallet af transaktioner, som en købmand behandler.

der er i øjeblikket fire niveauer af PCI-overholdelse:

Niveau 1: forhandlere, der behandler over 6 millioner korttransaktioner om året.

niveau 2: købmænd behandler 1-6 millioner transaktioner om året.

niveau 3: købmænd, der håndterer 20.000-1 million transaktioner om året.

niveau 4: forhandlere, der håndterer færre end 20.000 transaktioner om året.

alle fire niveauer kræver, at forhandlere gennemgår et selvvurderingsspørgeskema (sak), en kvartalsvis netværksscanning af en godkendt scanningsleverandør og en attesteringsformular. Niveau 1 kræver alle ovenstående plus en rapport om overholdelse af en kvalificeret sikkerhedsvurdering.

Hvem udfører en compliance audit for dig?

du skal indgå kontrakt med en kvalificeret og godkendt PCI Security Standards Council security assessor (KSA) for at gennemføre din revision. Start med at evaluere sikkerhedsinfrastruktur-procedurer, politikker, netværk og systemer—og derefter give dig en risikovurdering, der giver dig forslag til, hvordan du forbedrer din datasikkerhed.

KVALITETSSTYRELSEN vil gennemgå din risikovurdering sammen med dig og prioritere de områder, der skal løses. Denne oversigt er nødvendig for at forbedre dine datasikkerhedspolitikker og vejlede dine medarbejdere ved at tilbyde uddannelse i sikkerhedsbevidsthed.

Hvordan kan du blive klar til en revision?

den nemmeste måde at forberede en revision på er at vurdere dine eksisterende datasikkerhedspolitikker og-praksis, før revisionen finder sted. Start med at undersøge sikkerheden ved ting som dit netværks brandvæg og filovervågningsintegritetssystemer for usædvanlige eller kritiske ændringer.

hvis du er usikker på, hvordan eller hvor du skal starte på vejen mod PCI-overholdelse, Klik her for nogle nyttige vejledninger.

Vær opmærksom på, at manglende overholdelse kan resultere i en bøde på $5.000-$500.000 for den overtagende bank, der med stor sandsynlighed vil videregive bøderne til den ikke-kompatible købmand. Ud over, hvis du allerede er PCI-kompatibel og lider af et databrud, du kan blive udsat for suspension af kreditkortaccept fra din bank, ikke PCI-Rådet.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.