Kiedy wymagany jest audyt PCI?

jeśli nie ukrywasz się w jaskini lub utknąłeś na odległej wyspie gdzieś na środku oceanu przez ostatnią dekadę, prawdopodobnie zdajesz sobie sprawę, że częstość ataków cyberbezpieczeństwa wzrosła wykładniczo.

w ostatnim włamaniu jako cel postawiono organizację finansową HSBC. Atak doprowadził do ujawnienia danych osobowych nieujawnionej jeszcze liczby kont. Jest prawdopodobne, że solidne dane zostaną ogłoszone, gdy zakres ataku zostanie w pełni zrozumiany.

ataki na sektor finansowy niestety stają się normą. W rzeczywistości nowy raport sponsorowany przez IBM wskazał, że sektor usług finansowych jest obecnie najbardziej atakowanym pionierem przemysłowym. Wynika to z faktu, że naruszenia w ramach tej pionowej pozycji rynkowej są lukratywne finansowo—kosztują firmy średnio około 3,7 miliona dolarów w 2017 roku.

jeśli jesteś firmą, która przetwarza dane kart klienta, prawdopodobnie jesteś świadomy wymogów zgodności mających na celu zapewnienie bezpieczeństwa danych posiadacza karty. Jeśli użytkownik był celem naruszenia lub nie zbadał swojej postawy zgodności z PCI, może być zobowiązany do poddania się audytowi zgodności z PCI. Oto, co musisz wiedzieć.

co to jest audyt zgodności PCI DSS?

audyt zgodności PCI DSS ocenia, jak solidne jest bezpieczeństwo systemu punktów sprzedaży. Audyt koncentruje się przede wszystkim na identyfikowaniu luk w zabezpieczeniach systemu oraz przedstawianiu procedur bezpieczeństwa i najlepszych praktyk dla Systemów. Audyt dostarczy również zaleceń dotyczących sposobów zapobiegania zagrożeniom dla danych.

PCI DSS została założona przez największe firmy zajmujące się kartami kredytowymi. Ustanowiono zestaw standardów, aby nie tylko chronić dane klientów, ale także zapewnić ramy dla organizacji akceptujących lub Przetwarzających dane kart do naśladowania.

jakie są poziomy zgodności i jakie są proste sposoby, aby wiedzieć, który poziom, jeśli w ogóle, pasuje?

na szczęście Rada PCI DSS ułatwiła sprzedawcom ustalenie, do jakiej kategorii zgodności pasują. Wszystko opiera się na liczbie transakcji, które przetwarza sprzedawca.

obecnie istnieją cztery poziomy zgodności PCI:

Poziom 1: sprzedawcy przetwarzający ponad 6 milionów transakcji kartami rocznie.

Poziom 2: handlowcy przetwarzający 1-6 milionów transakcji rocznie.

Poziom 3: handlowcy obsługujący 20 000-1 mln transakcji rocznie.

Poziom 4: handlowcy obsługujący mniej niż 20 000 transakcji rocznie.

wszystkie cztery poziomy wymagają, aby sprzedawcy przeszli kwestionariusz samooceny (SAQ), kwartalne skanowanie sieci przez zatwierdzonego dostawcę skanowania oraz formularz zaświadczenia o zgodności. Poziom 1 wymaga wszystkich powyższych elementów oraz raportu na temat zgodności przez wykwalifikowanego asesora bezpieczeństwa (QSA).

kto przeprowadza dla ciebie audyt zgodności?

musisz zawrzeć umowę z wykwalifikowanym i zatwierdzonym asesorem bezpieczeństwa PCI Security Standards Council (QSA), aby przeprowadzić audyt. QSA rozpoczynają od oceny infrastruktury bezpieczeństwa-procedur, zasad, sieci i systemów—a następnie przeprowadzają ocenę ryzyka, przedstawiając sugestie dotyczące poprawy bezpieczeństwa danych.

QSA dokona przeglądu Twojej oceny ryzyka i ustali priorytety w obszarach, którymi należy się zająć. Ten zarys jest niezbędny, aby poprawić zasady bezpieczeństwa danych i poprowadzić personel poprzez szkolenie w zakresie świadomości bezpieczeństwa.

jak przygotować się do audytu?

najprostszym sposobem przygotowania się do audytu jest ocena istniejących zasad i praktyk bezpieczeństwa danych przed przeprowadzeniem audytu. Zacznij od zbadania bezpieczeństwa takich rzeczy, jak Zapora sieciowa i systemy monitorowania integralności plików pod kątem nietypowych lub krytycznych zmian.

jeśli nie masz pewności, jak lub od czego zacząć na drodze do zgodności z PCI, kliknij tutaj, aby uzyskać przydatne wskazówki.

należy pamiętać, że nieprzestrzeganie może skutkować grzywną w wysokości $5,000-$500,000 dla banku przejmującego, który jest wysoce prawdopodobne, że przekaże grzywny niezgodnemu handlowcowi. Ponadto, jeśli jesteś już zgodny z PCI i cierpisz na naruszenie danych, możesz spotkać się z zawieszeniem akceptacji kart kredytowych przez Twój bank, a nie radę PCI.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.