Milloin PCI-auditointi vaaditaan?

ellet ole piileskellyt luolassa tai jumissa syrjäisellä saarella jossain keskellä valtamerta viimeisen vuosikymmenen ajan, olet todennäköisesti tietoinen siitä, että kyberturvallisuushyökkäysten yleisyys on lisääntynyt räjähdysmäisesti.

viimeisimmän murron kohteena oli HSBC: n rahoitusorganisaatio. Hyökkäyksen seurauksena paljastettiin vielä julkistamattomien tilien henkilötiedot. On todennäköistä, että vankat luvut julkistetaan, kun hyökkäyksen laajuus on täysin selvillä.

finanssisektoriin kohdistuvista hyökkäyksistä on valitettavasti tulossa normi. Itse asiassa IBM: n sponsoroima Uusi raportti osoitti, että rahoituspalvelusektori on tällä hetkellä eniten hyökätty teollinen vertikaalinen ala. Tämä johtuu siitä, että rikkomukset tämän markkinoiden vertikaalinen ovat taloudellisesti kannattavaa-maksaa yrityksille keskimäärin noin $3.7 miljoonaa vuonna 2017.

jos olet asiakaskorttitietoja käsittelevä yritys, olet todennäköisesti tietoinen vaatimusten noudattamisesta, jonka tarkoituksena on varmistaa kortinhaltijan tietojen turvallisuus. Jos olet joutunut rikkomuksen kohteeksi tai et ole tutkinut PCI compliance-asentoasi vähään aikaan, saatat joutua käymään PCI compliance audit-tarkastuksessa. Tämä sinun tulee tietää.

mikä on PCI DSS compliance audit?

PCI DSS compliance audit arvioi, kuinka vankka myyntipistejärjestelmän turvallisuus on. Auditoinnissa keskitytään ensisijaisesti järjestelmän haavoittuvuuksien tunnistamiseen ja järjestelmien turvallisuuskäytäntöjen ja parhaiden käytäntöjen hahmottamiseen. Auditoinnissa annetaan myös suosituksia siitä, miten tietojen vaarantuminen voidaan estää.

PCI DSS: n perustivat suuret luottokorttiyhtiöt. Standardien tarkoituksena ei ole ainoastaan suojata asiakastietoja, vaan tarjota puitteet korttitietoja hyväksyville tai käsitteleville organisaatioille.

mitkä ovat vaatimustenmukaisuuden tasot ja mitkä ovat helppoja tapoja tietää, mihin tasoon, jos mihinkään, sopii?

onneksi PCI DSS-neuvosto on tehnyt kauppiaille melko helpoksi selvittää, mihin vaatimustenmukaisuusluokkaan he sopivat. Kaikki perustuu yleensä kauppiaan käsittelemien liiketoimien määrään.

PCI-vaatimustenmukaisuutta on tällä hetkellä neljä tasoa:

Taso 1: kauppiaat käsittelevät yli 6 miljoonaa korttitapahtumaa vuodessa.

Taso 2: kauppiaat käsittelevät 1-6 miljoonaa tapahtumaa vuodessa.

Taso 3: kauppiaat, jotka käsittelevät 20 000-1 miljoonaa kauppaa vuodessa.

Taso 4: kauppiaat, jotka käsittelevät alle 20 000 kauppaa vuodessa.

kaikki neljä tasoa edellyttävät, että kauppiaat käyvät läpi itsearviointikyselyn (SAQ), hyväksytyn skannaustoimittajan suorittaman neljännesvuosittaisen verkkokartoituksen ja todistuslomakkeen vaatimusten noudattamisesta. Taso 1 edellyttää kaikkia edellä mainittuja sekä pätevän turvallisuusarvioijan (QSA) laatimaa raporttia vaatimusten noudattamisesta.

kuka suorittaa vaatimustenmukaisuustarkastuksen puolestasi?

auditointia varten on tehtävä sopimus pätevän ja hyväksytyn PCI Security Standards Council security assessorin (QSA) kanssa. QSAs aloittaa arvioimalla tietoturvainfrastruktuuria-menettelyjä, käytäntöjä, verkkoja ja järjestelmiä—ja antaa sitten riskinarvioinnin ja antaa sinulle ehdotuksia siitä, miten voit parantaa tietoturvaasi.

asiantuntijalautakunta käy kanssasi läpi riskinarviointisi ja priorisoi alueet, joihin on puututtava. Tämä hahmotelma on tarpeen tietoturvakäytäntöjesi parantamiseksi ja henkilöstön ohjaamiseksi tarjoamalla tietoturvavalistuskoulutusta.

miten voi valmistautua auditointiin?

helpoin tapa valmistautua auditointiin on arvioida olemassa olevat tietoturvakäytännöt ja-käytännöt ennen auditointia. Aloita tutkimalla turvallisuutta asioita, kuten verkon palomuuri ja tiedostojen seuranta eheys järjestelmiä epätavallisia tai kriittisiä muutoksia.

jos et ole varma, miten tai mistä aloittaa tiellä kohti PCI Compliance, klikkaa tästä joitakin hyödyllisiä ohjeita.

huomaa, että noudattamatta jättämisestä voi seurata 5 000-500 000 dollarin sakko ostavalle pankille, joka suurella todennäköisyydellä siirtää sakot noudattamatta jättäneelle kauppiaalle. Lisäksi, jos olet jo PCI yhteensopiva ja kärsivät tietomurron, voit kohdata keskeyttäminen luottokortin hyväksymistä pankkisi, ei PCI neuvosto.

Vastaa

Sähköpostiosoitettasi ei julkaista.