När krävs en PCI-revision?

om du inte har gömt dig i en grotta eller strandat på en avlägsen ö någonstans mitt i havet under det senaste decenniet, är du sannolikt medveten om att förekomsten av cybersäkerhetsattacker har ökat exponentiellt.

den senaste överträdelsen såg HSBC financial organization som mål. Attacken resulterade i exponering av personligt identifierbar information om ett ännu ej avslöjat antal konton. Det är troligt att solida siffror kommer att meddelas när omfattningen av attacken är helt förstådd.

attacker mot finanssektorn blir tyvärr normen. I själva verket påpekade en ny rapport sponsrad av IBM att sektorn för finansiella tjänster är den mest attackerade industriella vertikalen idag. Det beror på att överträdelser inom denna marknad vertikal är ekonomiskt lukrativa-kostar företag i genomsnitt runt $3.7 miljoner i 2017.

om du är ett företag som behandlar kundkortdata är du sannolikt medveten om efterlevnadskrav som är utformade för att säkerställa säkerheten för kortinnehavardata. Om du har varit föremål för ett brott eller inte har undersökt din PCI-efterlevnadsställning på ett tag kan du behöva genomgå en PCI-efterlevnadsrevision. Här är vad du behöver veta.

vad är en PCI DSS compliance audit?

en PCI DSS compliance audit bedömer hur robust säkerheten för ditt försäljningssystem är. Granskningen fokuserar främst på att identifiera systemets sårbarheter och beskriva säkerhetsförfaranden och bästa praxis för dina system. Granskningen kommer också att ge rekommendationer om hur man förhindrar att data äventyras.

PCI DSS grundades av de stora kreditkortsföretagen. En uppsättning standarder fastställdes för att inte bara skydda kunddata, men ger en ram för organisationer som accepterar eller behandlar kortdata att följa.

vilka är nivåerna av överensstämmelse och vilka är enkla sätt att veta vilken nivå, om någon, passar du in?

lyckligtvis har PCI DSS-rådet gjort det ganska enkelt för handlare att ta reda på vilken kategori av överensstämmelse de passar in i. Det är allt i allmänhet baserat på antalet transaktioner som en Handlare bearbetar.

det finns för närvarande fyra nivåer av PCI-överensstämmelse:

Nivå 1: Handlare som behandlar över 6 miljoner korttransaktioner per år.

nivå 2: handlare som behandlar 1-6 miljoner transaktioner per år.

nivå 3: Handlare som hanterar 20 000-1 miljoner transaktioner per år.

Nivå 4: Handlare som hanterar färre än 20 000 transaktioner per år.

alla fyra nivåer kräver att handlare genomgår ett självbedömningsformulär (SAQ), en kvartalsvis nätverkssökning av en godkänd skanningsleverantör och ett intyg om överensstämmelse. Nivå 1 kräver alla ovanstående plus en rapport om efterlevnad av en kvalificerad säkerhetsbedömare (QSA).

Vem utför en compliance audit för dig?

du måste ingå avtal med en kvalificerad och godkänd PCI Security Standards Council security assessor (QSA) för att genomföra din revision. QSAs börjar med att utvärdera säkerhetsinfrastruktur-procedurer, policyer, nätverk och system—och ger dig sedan en riskbedömning som ger dig förslag på hur du kan förbättra din datasäkerhet.

QSA kommer att granska din riskbedömning med dig och prioritera de områden som behöver åtgärdas. Denna översikt är nödvändig för att förbättra dina datasäkerhetspolicyer och vägleda din personal genom att tillhandahålla utbildning om säkerhetsmedvetenhet.

Hur kan du göra dig redo för en revision?

det enklaste sättet att förbereda sig för en revision är att bedöma dina befintliga datasäkerhetspolicyer och praxis innan granskningen äger rum. Börja med att undersöka säkerheten för saker som din nätverksbrandvägg och filövervakningsintegritetssystem för ovanliga eller kritiska förändringar.

om du är osäker på hur eller var du ska börja på vägen mot PCI-efterlevnad, klicka här för lite användbar vägledning.

var medveten om att bristande efterlevnad kan leda till böter på $5,000-$500,000 för den förvärvande banken, som med stor sannolikhet kommer att överföra böterna till den icke-kompatibla Handlaren. Dessutom, om du redan är PCI-kompatibel och drabbas av ett dataintrång, du kan möta upphävande av kreditkort acceptans av din bank, inte PCI rådet.

Lämna ett svar

Din e-postadress kommer inte publiceras.