Wanneer is een PCI Audit vereist?

tenzij je je hebt verstopt in een grot of gestrand op een afgelegen eiland ergens in het midden van de oceaan voor de afgelopen tien jaar, bent u waarschijnlijk op de hoogte dat de prevalentie van cybersecurity aanvallen exponentieel is toegenomen.

de laatste inbreuk zag HSBC financial organization als het doelwit. De aanval resulteerde in de blootstelling van persoonlijk identificeerbare informatie van een nog niet bekend gemaakt aantal accounts. Het is waarschijnlijk dat solide cijfers zullen worden aangekondigd zodra de omvang van de aanval volledig is begrepen.

aanvallen op de financiële sector worden helaas de norm. In feite, een nieuw rapport gesponsord door IBM wees erop dat de financiële dienstensector is de meest aangevallen industriële verticale VANDAAG. Dat komt omdat inbreuken binnen deze markt verticaal financieel lucratief zijn-kost bedrijven een gemiddelde van ongeveer $ 3,7 miljoen in 2017.

als u een bedrijf bent dat klantkaartgegevens verwerkt, bent u waarschijnlijk op de hoogte van compliance-eisen die zijn ontworpen om de veiligheid en beveiliging van kaarthoudergegevens te waarborgen. Als u het doelwit bent geweest van een inbreuk of uw PCI compliance houding al een tijdje niet hebt onderzocht, moet u mogelijk een PCI compliance audit ondergaan. Dit is wat je moet weten.

Wat is een PCI DSS compliance audit?

een PCI DSS compliance audit beoordeelt hoe robuust de beveiliging van uw verkooppuntsysteem is. De audit richt zich voornamelijk op het identificeren van kwetsbaarheden in het systeem en het schetsen van beveiligingsprocedures en best practices voor uw systemen. De audit zal ook aanbevelingen bevatten over hoe te voorkomen dat gegevens worden gecompromitteerd.

PCI DSS werd opgericht door de grote creditcardmaatschappijen. Er werd een reeks normen vastgesteld om niet alleen Klantgegevens te beschermen, maar ook een raamwerk te bieden voor organisaties die kaartgegevens accepteren of verwerken.

wat zijn de nalevingsniveaus en wat zijn eenvoudige manieren om te weten welk niveau, indien van toepassing, u past?

gelukkig heeft de PCI DSS council het vrij gemakkelijk gemaakt voor handelaren om uit te zoeken in welke categorie van compliance zij passen. Het is allemaal over het algemeen gebaseerd op het aantal transacties een handelaar processen.

er zijn momenteel vier niveaus van PCI compliance:

niveau 1: handelaren die meer dan 6 miljoen kaarttransacties per jaar verwerken.

niveau 2: Handelaren die 1-6 miljoen transacties per jaar verwerken.

niveau 3: handelaren die 20.000-1 miljoen transacties per jaar verwerken.

niveau 4: handelaren die minder dan 20.000 transacties per jaar verwerken.

alle vier niveaus vereisen dat handelaren een self-assessment questionnaire (SAQ), een driemaandelijkse netwerkscan door een erkende scanverkoper en een conformiteitsverklaring ondergaan. Niveau 1 vereist al het bovenstaande plus een verslag over de naleving door een gekwalificeerde security assessor (QSA).

wie voert een compliance audit voor u uit?

u moet een contract afsluiten met een gekwalificeerde en goedgekeurde PCI Security Standards Council security assessor (QSA) om uw audit uit te voeren. QSA ‘ s beginnen met het evalueren van de beveiligingsinfrastructuur—procedures, beleid, netwerken en systemen—en geven u vervolgens een risicobeoordeling, met suggesties over hoe u uw gegevensbeveiliging kunt verbeteren.

de QSA zal uw risicobeoordeling samen met u beoordelen en prioriteit geven aan de gebieden die moeten worden aangepakt. Deze schets is nodig om uw gegevensbeveiligingsbeleid te verbeteren en uw medewerkers te begeleiden door beveiligingsbewustheidstraining te geven.

Hoe kunt u zich voorbereiden op een audit?

de eenvoudigste manier om je voor te bereiden op een audit is om je bestaande beleid en praktijken voor gegevensbeveiliging te beoordelen voordat de audit plaatsvindt. Begin met het onderzoeken van de beveiliging van zaken zoals uw netwerk firewall en bestand monitoring integriteitssystemen voor ongebruikelijke of kritieke veranderingen.

als u niet zeker weet hoe of waar u moet beginnen op de weg naar PCI Compliance, klik dan hier voor een aantal nuttige richtlijnen.

wees ervan bewust dat niet-naleving kan leiden tot een boete van $5.000-$500.000 voor de overnemende bank, die hoogstwaarschijnlijk de boetes zal doorberekenen aan de niet-conforme handelaar. Bovendien, als u al PCI compliant bent en lijdt aan een datalek, kunt u worden geconfronteerd met opschorting van de creditcardacceptatie door uw bank, niet de PCI Raad.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.