Kreditinės kortelės informacija yra vertingiausias duomenų tipas kibernetiniams nusikaltėliams, nes juodojoje rinkoje šie duomenų rinkiniai kainuoja milijonus dolerių.
Šiandien visų dydžių įmonės apdoroja klientų kredito ir debeto kortelių informaciją ir gauna mokėjimus kredito kortelėmis. Kiekviena įmonė, kuri apdoroja, saugo ir perduoda finansinius duomenis, patenka į piktybinių veikėjų radarą ir susiduria su didžiausia kibernetinių atakų rizika.
Dėl šių priežasčių didžiosios kredito kortelių bendrovės sukūrė PCI standartą, kad pateiktų saugumo gaires įmonėms, siekiant apsaugoti klientų finansinius duomenis. Šiame straipsnyje mes išnagrinėsime PCI atitikties pagrindus.
Pradėkime nuo toliau paaiškindami PCI DSS atitiktį.
Kas yra PCI DSS atitiktis?
Mokėjimo kortelių pramonės duomenų saugos standartas (PCI DSS) yra techninis ir eksploatacinis saugumo specifikacijų rinkinys, skirtas apsaugoti kredito kortelių turėtojų duomenis.
PCI atitiktį įkūrė pagrindinės kredito kortelių bendrovės, tokios kaip „Visa“, „Mastercard“, „American Express“, „Discover Financial Services“ ir „JCB Express“. PCI siekia sukurti tarptautinę klientų finansinių duomenų apsaugos sistemą.
Visoms įmonėms, kurios renka, saugo ir perduoda, taikoma PCI DSS atitiktis ir jos privalo laikytis saugumo gairių ir reikalavimų.
PCI DSS turi keturi atitikties lygiai (1,2,3,4). Įmonių PCI atitikties lygiai nustatomi pagal sandorių apimtis per metus. Įmonės, kurios patenka į 4 lygį, per metus atlieka mažiau nei 20,000 XNUMX operacijų.
3 lygis taikomas prekybininkams, kurie per metus apdoroja 20,000 1–2 mln. 1 lygis taikomas įmonėms, kurios per metus apdoroja 6-6 mln. Įmonės, kurios apdoroja daugiau nei 1 sandorius per metus, patenka į XNUMX lygį.
PCI reikalavimai griežtėja, kai lygis tampa nuo 4 iki 1. Tačiau, nepaisant atitikties lygio, visos įmonės privalo tam tikru mastu atitikti visus PCI reikalavimus.
Saugi kortelių turėtojo duomenų tvarkymo sistema nustatyta šešiose kategorijose pagal PCI atitiktį. PCI reikalavimų kategorijas sudaro kortelės turėtojo duomenų apsauga, pažeidžiamumo valdymo planas, tinklo stebėjimas, saugus tinklo ir sistemų valdymas, prieigos kontrolės apribojimai ir informacijos saugumo politika.
Šių kategorijų turinį sudaro dvylika reikalavimų žingsnių. PCI reikalavimai užtikrina kortelių turėtojų duomenų tvarkymo saugumą. Štai PCI atitikties kontrolinis sąrašas.
PCI reikalavimai
1. Įdiekite ir prižiūrėkite ugniasienę, skirtą kortelės turėtojo duomenų apsaugai
Kadangi ugniasienės yra pirmasis tinklo apsaugos mechanizmas, norint užtikrinti kortelės turėtojo duomenų saugumą, labai svarbu tinkamai sukonfigūruoti ir prižiūrėti užkardą. Ugniasienės yra labai veiksmingos jautrių duomenų apsaugos nuo kibernetinių grėsmių priemonės, nes jos riboja tinklo srautą ir blokuoja nepatvirtintą prieigą. Štai kodėl ugniasienės nustatymas yra pirmasis reikalavimas.
2. Turėkite tinkamą slaptažodžio apsaugą
Dauguma tinklo paslaugų, pardavimo vietos (POS) sistemų ir trečiųjų šalių produktų yra sukonfigūruotos pagal numatytuosius nustatymus.
Kibernetiniai nusikaltėliai gali lengvai pasiekti tinklus ir neskelbtinus duomenis, jei organizacijos nekonfigūruoja šių gamyklinių nustatymų, nes numatytieji slaptažodžiai ir naudotojų vardai yra plačiai žinomi.
Be slaptažodžio nustatymų keitimo, organizacijos turi reguliariai keisti visų įrenginių ir programinės įrangos, kurioms jų reikia, slaptažodžius.
3. Apsaugokite saugomus kortelės turėtojo duomenis
Visi saugomi kortelės turėtojo duomenys turi būti užšifruoti. Prekybininkai turi užtikrinti šių neskelbtinų duomenų apsaugą naudodami kriptografinius raktus ir algoritmus bei reguliariai nuskaityti.
4. Šifruoti kortelių turėtojų perduodamus duomenis
Kortelių turėtojų duomenų saugumo palaikymas yra svarbiausias reikalavimas, kad būtų laikomasi PCI. Taigi prekybininkai taip pat turi užšifruoti ir apsaugoti kortelių turėtojų duomenų perdavimą viešaisiais tinklais.
5. Naudokite antivirusinę programinę įrangą
Norint apsaugoti duomenis nuo kenkėjiškų programų, būtina turėti antivirusinę programinę įrangą. Taigi, organizacijos turi naudoti ir dažnai atnaujinti savo antivirusinę programinę įrangą visuose įrenginiuose, kad aptiktų ir pašalintų bet kokią kenkėjišką programą.
6. Programinės įrangos ir sistemų priežiūra
Visa programinė įranga ir sistemos turi būti reguliariai atnaujinamos, kad būtų pašalintos saugos spragos. Atminkite, kad kai kurią programinę įrangą, pvz., duomenų bazes, antivirusinę programinę įrangą ir užkardas, reikia atnaujinti dažniau.
7. Apriboti prieigą prie duomenų
Prireikus prieiga prie kortelių turėtojų duomenų turėtų būti suteikta tik įgaliotiems darbuotojams. Trečiosios šalys ir darbuotojai neturėtų turėti prieigos prie neskelbtinos informacijos.
8. Unikalus vartotojo prieigos identifikavimas
Kiekvienam įgaliotam vartotojui, turinčiam prieigą prie kortelės savininko duomenų, turi būti suteiktas unikalus vartotojo vardų ir slaptažodžių rinkinys. Vartotojo prieigos kredencialai užtikrina atskaitomybę ir sumažina atsakymo laiką.
9. Apriboti fizinę prieigą
Fizinė prieiga taip pat turi būti apribota tiek pat, kiek skaitmeninė prieiga, siekiant apsaugoti neskelbtinus duomenis. Organizacijos turi saugoti kortelių turėtojų duomenis fiziškai saugioje vietoje ir vykdyti griežtą kontrolę bei leidimus.
10- Stebėkite ir stebėkite prieigą prie tinklo
Visa prieiga prie tinklo ir srautas turi būti stebimas ir stebimas, kai kalbama apie kortelės savininko duomenis ir pirminių sąskaitų numerius. Prieigos žurnalai, kuriuose yra kortelės savininko duomenų, turi būti nuolat tvarkomi ir peržiūrimi.
11- Reguliarus apsaugos sistemų vertinimas
Reguliarūs saugos sistemos vertinimai ir įsiskverbimo testai turėtų būti atliekami siekiant nustatyti ir pataisyti saugumo spragas. Ši procedūra užtikrina esamos apsaugos sistemų būklės nustatymą ir jos tobulinimą.
12- Laikykitės kibernetinio saugumo politikos
Visi PCI reikalavimai turi būti patenkinti ir dokumentuoti pagal kibernetinio saugumo politiką. Laikydamosi kibernetinio saugumo politikos, organizacijos gali užtikrinti atitiktį ir savo tinklų saugumą.
PCI DSS nesilaikymo pasekmės
PCI DSS nesilaikymas gali užtraukti dideles baudas ir nuobaudas. Pagal pažeidimų sunkumą ir trukmę PCI institucijos gali taikyti baudas tarp 5000 ir 100,000 XNUMX USD per mėnesį.
Pailgėjus pažeidimo trukmei, baudos gali didėti kas mėnesį. Be to, po duomenų pažeidimo, įmonės gali būti įpareigotos padengti visas pakartotinio išdavimo ir ištaisymo išlaidas.
Išskyrus šiuos atvejus, nesilaikant PCI, gali būti taikomos papildomos nuobaudos, pvz., padidėti operacijų mokesčiai ir tam tikrą laiką arba visam laikui prarasti kredito kortelių mokėjimų prekybininkai. PCI reikalavimų laikymasis yra labai svarbus norint išvengti baudų ir apsaugoti klientų konfidencialius finansinius duomenis.
Paskutiniai žodžiai
Klientų finansiniai duomenys turi būti visada apsaugoti nuo kibernetinių atakų.
Mokėjimo kortelių pramonės duomenų saugos standarto (PCI DSS) laikymasis gali padėti įmonėms apsaugoti apdorojamus, saugomus ir perduodamus finansinius duomenų rinkinius.
Šiuo metu, kai kibernetinė rizika, baudos ir baudos yra tokios didelės, kiekviena įmonė, kuriai taikomas PCI, turėtų atitikti savo reikalavimus ir atitikti PCI reikalavimus.
Dhiraj yra įkūrėjas startdot, didžiulis WordPress entuziastas, tinklaraštininkas, mėgstantis rašyti apie WordPress, tinklaraščių rašymas ir susijusios temos.
