PCI, mida sageli nimetatakse PCI DSS-iks, tähistab maksekaarditööstuse andmeturbe standardit. Lühidalt öeldes on PCI tööstusstandardite kogum, mida kasutatakse krediitkaarditeavet aktsepteerivate, töötlevate, salvestavate ja edastavate ettevõtete turvalisuse mõõtmiseks. PCI-ühilduvad ettevõtted kannatavad vähem tõenäolisemalt andmetega seotud rikkumiste all, mis võivad kliendid avastada vargusi. Kui teil on kaupmehe ID ja te aktsepteerite krediitkaarte oma füüsilises või virtuaalses ettevõttes, kehtivad teile PCI DSS-i valdkonna standardid. PCI turvastandardite nõukogu on sõltumatu tööstuse professionaalide rühm, kes uurib esilekerkivaid PCI turbeprobleeme ning loob programme ja standardeid maksekaardisüsteemi terviklikkuse säilitamiseks.
1
Kinnitage oma kaupmehe tase. Esimene samm on arutada ja kontrollida oma kaupmehe taset panga või arvelduskojaga, kes tegeleb teie krediitkaarditehingutega. Kaupmehed jagunevad 12 kuu jooksul VISA kaarditehingu alusel nelja kategooriasse. Teie kaupmehe tase määrab, kui ranged peavad teie PCI vastavusprogrammid olema. 1. taseme kaupmees töötleb üle 6 miljoni VISA tehingu aastas või on VISA ettevõtte poolt määratud 1. tasemele. 2. taseme kaupmees aktsepteerib aastas 1–6 miljonit VISA tehingut. See hõlmab nii isiklikult kui ka veebis. 3. taseme kaupmees töötleb aastas 20 000 kuni 1 miljon VISA tehingut.Väikekaupmeheks peetav 4. taseme kaupmees võtab aastas vastu vähem kui 20 000 VISA makset. PCI DSS-i nõuded kehtivad ka ettevõtted, mis aktsepteerivad muid krediitkaarte, nagu American Express, MasterCard ja Discover. VISA-t kasutatakse kaupmeeste tasemete määramisel etalonina.
2
Mõistke karistusi PCI DSS-i rikkumiste eest. Ettevõtetele, mis ei ole PCI DSS-iga ühilduvad, võib krediitkaardimakseid töötlev arvelduskoda määrata trahvid, sanktsioonid ja õiguste kaotamise. Kui PCI rike toob kaasa andmete tegeliku kaotsimineku, võivad pangad ja krediitkaarditöötlejad saada ettevõttele trahve, kõrgemaid tasusid ja muid sanktsioone. Ettevõtete suhtes, mis ei ole PCI-ga ühilduvad, võidakse esitada kohtuasju ja valitsusele vastutusele võtta, kuna nad ei suuda kaitsta. kliendi andmed.
3
Viige end kurssi parimate turvatavadega. Esimene PCI DSS-i standard, mis võeti kasutusele 2009. aasta septembris (DSS v 1.2), tutvustas 12 nõuet, mida kaupmees peaks PCI-ga ühildumiseks läbi vaatama. Olenevalt teie kaupmehe tasemest on standardite rakendamiseks vajaliku tehnoloogia, koolituse ja teadmiste hulk erinev. Näiteks võrk, mis käsitleb 2 miljonit tehingut, on keerukam kui võrk, mis töötleb 2000. aasta juunis. PCI 3.1 jõustus 2015. aasta juunis ja käsitleb uusi tehnoloogiastandardeid ja tegeleb tavaliste krüpteerimisprogrammide haavatavustega. PCI vastavuse parimad tavad langevad viide üldkategooriasse: turvaline võrk, andmekaitse, haavatavuse haldamine, juurdepääsu kontroll, jälgimine ja turvapoliitika. PCI nõukogul on enesehindamise küsimustik, mis aitab väikeettevõtetel kindlaks teha, kas nad järgivad turvastandardeid.
4
Ehitage ja hoidke turvalist võrku. Ettevõtete jaoks tähendab see suhete loomist usaldusväärse töövõtjaga. Kui te pole IT-spetsialist, ärge installige oma võrku, kui see salvestab kliendiandmeid. Isegi kasutusel olevas süsteemis võib olla turvaauke, kui seda ei installita ega värskendata õigesti. Hoidke oma tulemüürid ajakohasena ja töökorras. Ärge lubage töötajatel tulemüüre mingil eesmärgil keelata. Muutke kohe müüja antud paroolid. Samuti rakendage oma töötajate jaoks parooliprogramm. Paroole tuleks regulaarselt muuta vastavalt müüja juhistele. Näiteks peaksid paroolid olema täht-numbrite-märkide kombinatsioonid, mis ei ole sõnastiku sõnad. Kui teie müüja töötab teie süsteemis, peaksite muutma kõik paroolid, kui see uuesti võrku tuleb.
5
Kaitske kaardiomaniku teavet. Kui töötlete krediitkaarte käsitsi, tuleks tõendeid ja kviitungeid hoida lukustatud failides, millel on piiratud juurdepääs. Kui teie võrku on salvestatud kaardiomaniku teavet, peaks see olema krüptitud ja kaitstud ettevõtte tulemüüride taga
6
Looge haavatavuse haldusprogramm. Teie süsteem peab olema kaitstud sobiva viirusetõrjetarkvaraga. Teil peaks olema ka ettevõtte programm, mis keelab tarkvara, näiteks mängude, lisamise, mis võib süsteemi kahjustada.
7
Rakendage juurdepääsu kontroll. Parooliga juurdepääs teie süsteemile peaks olema piiratud. Igal töötajal peaks olema ainult oma töö tegemiseks vajalik juurdepääs. Selgitage, et see kaitseb nii teie töötajaid kui ka kliente. Andmerikkumise korral kitsendab piiratud juurdepääs võimalusi ja aitab uurimist läbi viia. Andke oma võrgu jaoks igale kasutajale ja igale terminalile kordumatu ID-number. Kinnitatud või kahtlustatava rikkumise korral suudavad teie IT-spetsialistid sisenemispunkti kiiresti tuvastada. Turvalised füüsilised dokumendid, mis sisaldavad klientide ja kaardiomanike andmeid. Kasutage kas kaardivõtmesüsteemi või füüsilist lukku ja võtit.
8
Jälgige ja testige oma võrke. Teie turvaprogramm peab sisaldama regulaarseid skaneeringuid ja teste, et jälgida ja jälgida kliendiandmete liikumist teie võrgu kaudu. Teie IT-spetsialist või müüja saab testida nii siis, kui süsteem on vähekasutatud (näiteks nädalavahetustel hilisõhtul) kui ka reaalajas, kui süsteem on kasutusel.Pidage testitulemuste logi. Arutage oma panga ja kindlustusseltsiga, kui kaua testidokumente säilitada.
9
Töötage välja infoturbepoliitika. Kõik teie PCI-vastavusprogrammi sammud peavad olema dokumenteeritud teie turvapoliitikas. See dokument peaks üksikasjalikult kirjeldama kõiki samme, mida teie ettevõte kliendiandmete kaitsmiseks võtab. 1.–3. taseme kaupmeeste puhul võib see programm töötada mitmes köites ja integreerida töötajate käsiraamatu. 1.–3. taseme kaupmehed sõlmivad tõenäoliselt lepingu turvaspetsialistiga või neil on spetsiaalsed töötajad, kes on koolitatud teabeturbepoliitika kirjutamise ja haldamise keerukuse alal. 4. taseme kaupmees peaks turvapoliitika koostamiseks nõu ja abi saamiseks võtma ühendust krediitkaardi arvelduskojaga. Kui protsessor programmimalli ei paku, peaksite kaaluma dokumendi koostamiseks lepingu sõlmimist turbespetsialistiga. Kui te pole IT-spetsialist, on ebatõenäoline, et olete oma süsteemi tehniliste üksikasjadega piisavalt kursis, et luua PCI-ühilduv turbepoliitika. Kui see on loodud, tuleb seda värskendada ainult siis, kui teie võrku laiendatakse või värskendatakse. Teie IT-töövõtja võib teile pakkuda dokumente, mida vajate oma turvapoliitika ajakohasena hoidmiseks. Suurem osa teie turbeprogrammidest on tehnilist laadi, näiteks tulemüüri ja turvatarkvara valik ning testimisprotokollid. Siiski peaksite lisama ka jaotised protsessi kohta, kui töötaja lahkub ettevõttest ja paroolid tühistatakse. Töötage välja protsess võtmete ja võtmekaartide jälgimiseks. Peavõtmed peaksid olema sama rangelt reguleeritud kui kõrgetasemelised paroolid.
10
Hinnake, parandage ja teavitage oma PCI vastavust. Kui PCI parimate tavade 12 osa on rakendatud, peaksite korrapäraselt läbima PCI nõukogu kolmeastmelise ülevaatusprotsessi, et tagada vastavuse säilitamine. Inventeerige oma IT-süsteeme ja äriprotsesse. Kui midagi on muutunud, värskendage oma turvaprogramme ja haavatavuse haldusplaane. Kui leiate oma süsteemis nõrkuse, kõrvaldage probleem. See võib nõuda uut seadet või tarkvara, kasutaja koolitust või võrgu värskendamist. IT-spetsialistid peaksid need muudatused ellu viima. Pidage oma tegevuste kohta arvestust ja esitage oma panga- ja krediitkaardifirmadele aruandeid oma vastavuse jõupingutuste kohta. Teie aruanded, jõupingutused ja ülevaated võivad aidata teisel ettevõttel klientide andmeid kaitsta.