Что такое PCI-совместимость
Соответствие индустрии платежных карт (PCI) относится к техническим и операционным стандартам, которым должны следовать предприятия, чтобы обеспечить защиту данных кредитных карт, предоставленных держателями карт. Соответствие требованиям PCI обеспечивается Советом по стандартам PCI, и все компании, которые хранят, обрабатывают или передают данные кредитных карт в электронном виде, обязаны соблюдать рекомендации по соблюдению.
Понимание соответствия PCI
Стандарты соответствия индустрии платежных карт (PCI) требуют, чтобы продавцы и другие компании обрабатывали информацию о кредитных картах безопасным способом, что помогает снизить вероятность того, что держатели карт будут похищены конфиденциальные финансовые данные. Если продавцы не обрабатывают информацию о кредитной карте должным образом, информация о карте может быть взломана и использована для совершения мошеннических покупок. Кроме того, конфиденциальная информация о держателе карты может быть использована при мошенничестве с идентификацией.
Быть совместимым с PCI означает последовательное соблюдение ряда рекомендаций, установленных компаниями, выпускающими кредитные карты. В руководящих принципах изложен ряд шагов, которые процессоры кредитных карт должны постоянно выполнять. Сначала компаниям предлагается оценить свою инфраструктуру информационных технологий, бизнес-процессы и процедуры обработки кредитных карт, чтобы помочь выявить потенциальные угрозы, которые могут поставить под угрозу данные кредитных карт. Затем компаниям предлагается устранить любые пробелы в безопасности и по возможности избегать хранения конфиденциальной информации о держателях карт, такой как номера социального страхования и водительские права. Компании должны предоставлять отчеты о соответствии стандартам для карт, с которыми они работают, таких как American Express и VISA.
Все компании, которые обрабатывают информацию о кредитных картах, обязаны поддерживать соответствие PCI, независимо от их размера или количества транзакций по кредитным картам, которые они обрабатывают. Все компании разбиты на уровни продавца на основе количества транзакций, которые обрабатываются в течение определенного периода. Соответствие требованиям PCI регламентируется Советом по стандартам безопасности индустрии платежных карт, организацией, созданной в 2006 году с целью обеспечения безопасности кредитных карт. Требования, известные как Стандарты безопасности данных индустрии платежных карт (PCI DSS), управляются основными компаниями-эмитентами кредитных карт, включая VISA, American Express, Discover и MasterCard, среди прочих.
Соответствие PCI и нарушения данных
Многие из крупнейших утечек данных в истории можно было бы избежать, если бы затронутые коммерческие или финансовые учреждения были совместимы с PCI. Вот некоторые ключевые выводы из Отчета о безопасности платежей Verizon 2017, подробного исследования соответствия PCI DSS:
- Розничные организации продемонстрировали наименьшую устойчивость соответствия PCI во всех ключевых отраслях. Индустрия ИТ-услуг достигла наивысшего полного соответствия всех изученных ключевых групп отрасли. 77% компаний, оцененных после взлома данных, не соответствовали требованию PCI номер один: установить и поддерживать конфигурацию брандмауэра. Исследование показывает «очевидную» корреляцию между предприятиями, которые соответствуют современным стандартам PCI, и предприятиями, которые успешно защитили себя от киберугроз. Число предприятий, которые на 100% совместимы с PCI, составляет растет значительно в годовом исчислении.
