Quando è richiesto un audit PCI?

A meno che tu non sia stato nascosto all’interno di una grotta o bloccato su un’isola remota da qualche parte nel mezzo dell’oceano negli ultimi dieci anni, probabilmente sei consapevole che la prevalenza degli attacchi di sicurezza informatica è aumentata esponenzialmente.

L’ultima violazione ha visto HSBC financial organization come obiettivo. L’attacco ha provocato l’esposizione di informazioni personali identificabili di un numero ancora non rivelato di account. È probabile che cifre solide saranno annunciate una volta che la portata dell’attacco sarà completamente compresa.

Gli attacchi al settore finanziario stanno purtroppo diventando la norma. In realtà, un nuovo rapporto sponsorizzato da IBM ha sottolineato che il settore dei servizi finanziari è il più attaccato verticale industriale di oggi. Questo perché le violazioni all’interno di questo mercato verticale sono finanziariamente redditizie—costando alle aziende una media di circa million 3.7 milioni in 2017.

Se sei un’azienda che elabora i dati della carta del cliente, probabilmente sei a conoscenza dei requisiti di conformità progettati per garantire la sicurezza e la sicurezza dei dati del titolare della carta. Se sei stato l’obiettivo di una violazione o non hai esaminato la tua posizione di conformità PCI da un po’, potrebbe essere necessario sottoporsi a un controllo di conformità PCI. Ecco cosa devi sapere.

Che cos’è un controllo di conformità PCI DSS?

Un audit di conformità PCI DSS valuta quanto sia solida la sicurezza del sistema di punti vendita. L’audit si concentra principalmente sull’identificazione delle vulnerabilità del sistema e sulla definizione delle procedure di sicurezza e delle best practice per i sistemi. L’audit fornirà anche raccomandazioni su come evitare che i dati vengano compromessi.

PCI DSS è stata fondata dalle principali società di carte di credito. È stata stabilita una serie di standard non solo per proteggere i dati dei clienti, ma per fornire un framework per le organizzazioni che accettano o elaborano i dati delle carte da seguire.

Quali sono i livelli di conformità e quali sono i modi semplici per sapere a quale livello, se ce ne sono, ti adatti?

Fortunatamente, il PCI DSS council ha reso abbastanza facile per i commercianti capire in quale categoria di conformità si inseriscono. È tutto generalmente basato sul numero di transazioni che un commerciante elabora.

Attualmente esistono quattro livelli di conformità PCI:

Livello 1: I commercianti elaborano oltre 6 milioni di transazioni con carta all’anno.

Livello 2: Commercianti che elaborano 1-6 milioni di transazioni all’anno.

Livello 3: Commercianti che gestiscono 20.000-1 milione di transazioni all’anno.

Livello 4: Commercianti che gestiscono meno di 20.000 transazioni all’anno.

Tutti e quattro i livelli richiedono ai commercianti di sottoporsi a un questionario di autovalutazione (SAQ), una scansione trimestrale della rete da parte di un fornitore di scansione approvato e un modulo di attestazione di conformità. Livello 1 richiede tutto quanto sopra più un rapporto sulla conformità da un valutatore di sicurezza qualificato (QSA).

Chi conduce un audit di conformità per voi?

È necessario stipulare un contratto con un esperto di sicurezza PCI Security Standards Council (QSA) qualificato e approvato per condurre l’audit. QSA inizia valutando l’infrastruttura di sicurezza-procedure, politiche, reti e sistemi—quindi fornisci una valutazione del rischio, fornendoti suggerimenti su come migliorare la sicurezza dei dati.

La QSA esaminerà con voi la valutazione del rischio e darà priorità alle aree che devono essere affrontate. Questo schema è necessario per migliorare le politiche di sicurezza dei dati e guidare il personale fornendo formazione sulla consapevolezza della sicurezza.

Come puoi prepararti per un audit?

Il modo più semplice per prepararsi a un audit è valutare le politiche e le pratiche di sicurezza dei dati esistenti prima che l’audit abbia luogo. Inizia esaminando la sicurezza di cose come il firewall di rete e i sistemi di integrità del monitoraggio dei file per eventuali modifiche insolite o critiche.

Se non sei sicuro di come o da dove iniziare la strada verso la conformità PCI, fai clic qui per alcune utili indicazioni.

Tieni presente che la non conformità può comportare una multa di $5,000-$500,000 per la banca acquirente, che è altamente probabile che passi le multe al commerciante non conforme. Inoltre, se sei già conforme PCI e subisci una violazione dei dati, potresti affrontare la sospensione dell’accettazione della carta di credito da parte della tua banca, non del consiglio PCI.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.