Mikor van szükség PCI auditra?

hacsak nem bujkált egy barlangban, vagy nem rekedt egy távoli szigeten valahol az óceán közepén az elmúlt évtizedben, valószínűleg tisztában van azzal, hogy a kiberbiztonsági támadások gyakorisága exponenciálisan nőtt.

a legutóbbi támadás célpontja a HSBC pénzügyi szervezet volt. A támadás eredményeként személyazonosításra alkalmas információkat tártak fel egy még nem nyilvánosságra hozott számlaszámról. Valószínű, hogy szilárd számokat jelentenek be, amint a támadás hatóköre teljes mértékben megértésre kerül.

a pénzügyi szektor elleni támadások sajnos normává válnak. Valójában az IBM által szponzorált Új jelentés rámutatott, hogy manapság a pénzügyi szolgáltatási szektor a leginkább megtámadott ipari vertikális. Ez azért van, mert a piaci vertikális jogsértések pénzügyileg jövedelmezőek—a vállalkozások átlagosan körülbelül 3.7 millió dollárba kerülnek 2017-ben.

ha Ön ügyfélkártya-adatokat feldolgozó vállalkozás, akkor valószínűleg tisztában van a kártyabirtokosok adatainak biztonságát és védelmét szolgáló megfelelőségi követelményekkel. Ha egy jogsértés célpontja volt, vagy egy ideje nem vizsgálta meg a PCI megfelelőségi testtartását, előfordulhat, hogy PCI megfelelőségi ellenőrzésen kell átesnie. Itt van, amit tudnod kell.

mi az A PCI DSS megfelelőségi ellenőrzés?

a PCI DSS megfelelőségi audit felméri, hogy mennyire megbízható az értékesítési pontrendszer biztonsága. Az audit elsősorban a rendszer sebezhetőségeinek azonosítására, valamint a rendszerekre vonatkozó biztonsági eljárások és bevált gyakorlatok felvázolására összpontosít. Az ellenőrzés ajánlásokat fog adni arra vonatkozóan is, hogyan lehet megakadályozni az adatok veszélyeztetését.

a PCI DSS-t a legnagyobb hitelkártya-társaságok hozták létre. Olyan szabványrendszert hoztak létre, amely nemcsak az ügyfelek adatait védi, hanem keretet biztosít a kártyaadatokat elfogadó vagy feldolgozó szervezetek számára.

melyek a megfelelőségi szintek, és hogyan lehet könnyen megtudni, hogy melyik szintbe illeszkedik, ha van ilyen?

szerencsére a PCI DSS Tanács meglehetősen megkönnyítette a kereskedők számára, hogy kitalálják, milyen megfelelőségi kategóriába tartoznak. Ez mind általában azon tranzakciók számán alapul, amelyeket a kereskedő feldolgoz.

a PCI-megfelelésnek jelenleg négy szintje van:

1.szint: a kereskedők évente több mint 6 millió kártyatranzakciót dolgoznak fel.

2. szint: a kereskedők évente 1-6 millió tranzakciót dolgoznak fel.

3. szint: a kereskedők évente 20 000-1 millió tranzakciót kezelnek.

4. szint: évente kevesebb mint 20 000 tranzakciót kezelő kereskedők.

mind a négy szint megköveteli a kereskedőktől, hogy részt vegyenek egy önértékelési kérdőíven (SAQ), egy jóváhagyott szkennelési szállító negyedéves hálózati vizsgálatán és egy megfelelőségi tanúsítványon. Az 1. szint megköveteli a fentiek mindegyikét, valamint egy minősített biztonsági értékelő (QSA) megfelelőségi jelentését.

ki végez megfelelőségi ellenőrzést az Ön számára?

az ellenőrzés elvégzéséhez szerződést kell kötnie egy minősített és jóváhagyott PCI Security Standards Council biztonsági szakértővel (QSA). A QSAs először értékeli a biztonsági infrastruktúrát-eljárásokat, irányelveket, hálózatokat és rendszereket—, majd kockázatértékelést ad, és javaslatokat tesz az adatbiztonság javítására.

a QSA felülvizsgálja Önnel a kockázatértékelést, és rangsorolja azokat a területeket, amelyekkel foglalkozni kell. Erre a vázlatra azért van szükség, hogy javítsa az adatbiztonsági irányelveit, és biztonságtudatossági képzéssel irányítsa munkatársait.

hogyan lehet felkészülni egy auditra?

az auditra való felkészülés legegyszerűbb módja a meglévő adatbiztonsági irányelvek és gyakorlatok értékelése az audit elvégzése előtt. Kezdje azzal, hogy megvizsgálja az olyan dolgok biztonságát, mint például a hálózati tűzfal vagy a fájlfigyelő integritási rendszerek, bármilyen szokatlan vagy kritikus változás esetén.

ha nem biztos abban, hogyan vagy hol kezdje el a PCI-megfelelés felé vezető utat, kattintson ide néhány hasznos útmutatásért.

ne feledje, hogy a meg nem felelés 5000-500 000 dolláros bírságot eredményezhet az átvevő bank számára, aki nagy valószínűséggel átadja a bírságokat a nem megfelelő kereskedőnek. Továbbá, ha Ön már PCI-kompatibilis és adatszegést szenved, akkor a bankja, nem pedig a PCI Tanács felfüggesztheti a hitelkártya-elfogadást.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.