PCI сәйкестігі


PCI сәйкестігі дегеніміз не?

Төлем карточкаларының (PCI) сәйкестігін PCI қауіпсіздік стандарттары кеңесі әзірлейді және басқарады.


Негізгі өнімдер

  • Төлем карточкалары саласындағы деректердің қауіпсіздігі стандарттарын (PCI DSS) сақтайтын және қол жеткізетін компаниялар PCI-ге сәйкес келеді деп саналады.
  • PCI Қауіпсіздік Стандарттары Кеңесі PCI DSS әзірлеуге жауап береді.
  • PCI DSS 12 негізгі талаптарға, 78 базалық талаптарға және ұйымдардың PCI стандартына сәйкестігін қамтамасыз ету үшін 400 тестілеу рәсімдеріне ие.
  • PCI-ге сәйкес келу деректердің бұзылуын азайтады, карта ұстаушыларының деректерін қорғайды, айыппұлдарды болдырмайды және брендтің беделін жақсартады.
  • PCI сәйкестігі заңмен талап етілмейді, бірақ сот прецеденті бойынша міндетті болып саналады.

PCI сәйкестігін түсіну

сот прецеденті бойынша міндетті болып саналады.

Жалпы, PCI сәйкестігі кез-келген несиелік карта компаниясының қауіпсіздік хаттамасының негізгі құрамдас бөлігі болып табылады. Бұл, әдетте, несие карталарын ұсынатын компаниялармен міндеттеледі және несиелік карталар желісі туралы келісімдерде талқыланады.

PCI стандарттары кеңесі PCI сәйкестігі стандарттарын әзірлеуге жауапты. Бұл стандарттар саудагерлерді өңдеуге қолданылады, сонымен қатар маңызды субъектілерге Card Card Network және Ұлттық автоматтандырылған клирингтік орталық (NACHA) жатады.

PCI Комплаенсіне қойылатын талаптар

PCI сәйкестік стандарттары саудагерлерден және басқа кәсіпкерлерден несие карталары туралы ақпаратты қауіпсіз түрде өңдеуді талап етеді, бұл карта иелерінің қаржылық шоттар туралы құпия ақпараттың ұрлану ықтималдығын азайтуға көмектеседі. Егер саудагерлер PCI стандарттарына сәйкес несие карталары туралы ақпаратпен айналыспаса, карта туралы ақпарат бұзылып, көптеген алаяқтық әрекеттер үшін қолданылуы мүмкін. Сонымен қатар, карта ұстаушысы туралы құпия ақпарат жеке куәлікті алдау кезінде пайдаланылуы мүмкін .

PCI стандартына сәйкес болу PCI Стандарттар Кеңесінде белгіленген нұсқаулар жиынтығын үнемі сақтауды білдіреді. PCI сәйкестігі 2006 жылы несиелік карталардың қауіпсіздігін басқару мақсатында құрылған ұйым PCI Стандарттар Кеңесі арқылы басқарылады.

Кеңес әзірлеген талаптар төлем карточкалары саласындағы деректердің қауіпсіздігі стандарттары (PCI DSS) ретінде белгілі. PCI DSS-де 12 негізгі талап, 78 базалық талап және 400-ден астам тестілеу процедуралары бар. Нұсқаулық қауіпсіздіктің ең жақсы тәжірибесі болып саналады. Оның 12 негізгі талаптарына мыналар кіреді:

  1. Деректерді қорғау үшін брандмауэрлерді қолданыңыз
  2. Тиісті парольден қорғау
  3. Карточкалар туралы деректерді қорғаңыз
  4. Жіберілген карта ұстаушыларының деректерін шифрлау
  5. Антивирустық бағдарламалық жасақтаманы қолданыңыз
  6. Бағдарламалық жасақтаманы жаңартыңыз және қауіпсіздік жүйесін сақтаңыз
  7. Карта ұстаушыларының мәліметтеріне қол жеткізуді шектеңіз
  8. Деректерге қол жетімді адамдарға тағайындалған бірегей идентификаторлар
  9. Деректерге физикалық қол жетімділікті шектеңіз
  10. Кіру журналдарын құрыңыз және бақылаңыз
  11. Қауіпсіздік жүйелерін жүйелі түрде тексеріп отырыңыз
  12. Құжатталған және оны ұстануға болатын саясат жасаңыз

PCI DSS- нің ең соңғы нұсқасы 2018 жылдың мамырында шығарылды және 3.2.1 нұсқасы деп аталады. Жалпы алғанда, алты мақсат пен 12 талап несиелік картаны өңдеушілер үнемі орындауы керек бірнеше қадамдарды сипаттайды. Алдымен компаниялардан ақпараттық технологиялар инфрақұрылымын, бизнес-процестерді және несиелік карталарды өңдеу процедураларын қамтитын желілері мен жүйелерін бағалауды сұрайды.

PCI Комплаенсінің артықшылықтары

Қауіпсіздік саласындағы кемшіліктерді үнемі қолдау және бағалау сонымен қатар мүмкіндігінше әлеуметтік қауіпсіздік  және жүргізуші куәліктерінің нөмірлері сияқты карталарды ұстаушылардың құпия ақпаратының ұрлануын болдырмау үшін өте маңызды .

Компаниялар өздерінің карталарын өңдеу келісімдері шеңберінде сәйкестік туралы есептерді тұрақты түрде ұсынуға міндетті. Төлем карточкалары саласындағы қауіпсіздік стандарттарын бақылау, бағалау және аудит – бұл компанияның қауіпсіздік бөлімінің маңызды бөлігі.

Несиелік карталар туралы ақпаратты өңдейтін барлық компаниялардан PCI карталарын өңдеу келісімдеріне сәйкес сәйкестікті сақтау талап етіледі. PCI сәйкестігі салалық стандарт болып табылады және онсыз бизнес келісімнің бұзылуы мен немқұрайлығы үшін үлкен айыппұлдарға әкелуі мүмкін. PCI сәйкестігінсіз компаниялар ұрлыққа, алаяқтыққа және деректердің бұзылуына өте осал.

95%

Киберқауіпсіздікті адамдардың қателігінен болатынпайыз.2018-04-21 Аттестатта сөйлеу керек

Сәйкестіктің артықшылықтары деректердің бұзылу қаупінің төмендеуін, карточка иелерінің деректерін қорғауды қамтиды, осылайша жеке куәлікті ұрлау мүмкіндігін болдырмайды. Деректерді бұзуға байланысты кез-келген айыппұлды азайтуға, компанияның брендінің беделіне көмектесуге, клиенттерді бақытты және олардың жауапты компаниямен бизнес жүргізіп жатқанына сенімді етіп, брендтің адалдығына әкелетіндіктен, компаниялардың талаптарына сай болуы керек.

2020 жылдың бірінші жартысында деректерді бұзу салдарынан 36 миллиард жазба болды.Бұзушылықтардың 86% -ы қаржылық уәждемеге ие болды және әлемдік ақпараттық қауіпсіздік нарығы 2020 жылы 170 млрд долларға жетеді деп күтілуде, қаржылық тәуекел одан да жоғары.Карточка иелерінің деректерін қорғау тек бизнеске пайдалы емес, сонымен қатар адамдарға теріс зиян тигізбеуін немесе қандай да бір қаржылық шығынға ұшырауын қамтамасыз ету үшін дұрыс әрекет болып табылады.

PCI сәйкестігі және деректердің бұзылуы

PCI сәйкестігі алаяқтық әрекеттерді болдырмауға көмектеседі және деректердің бұзылуын азайтады. Verizon төлем қауіпсіздігін жыл сайынғы бағалауды «Verizon төлем қауіпсіздігі туралы есепте» ұсынады. 2019 жылғы есеп PCI DSS-ке арналған «PCI DSS сәйкестік жағдайы, 2019: және 12 негізгі талап» деп аталатын бүкіл бөлімге арналған. «Verizon 2019 төлем қауіпсіздігі туралы есепте» кейбір PCI DSS маңызды сәттері мыналарды қамтиды:

  • Ұйымдардың 36,7% -ы 2018 жылы PCI DSS бағдарламаларын белсенді қолдайды.
  • Азия-Тынық мұхиты аймағы Америка, Еуропа, Таяу Шығыс және Африкадан озып кетті.
  • Салалық тұрғыдан алғанда, қонақжайлылық басқа секторлардан біршама артта қалады.

PCI сәйкестігі туралы сұрақтар

PCI үйлесімділігі нені білдіреді?

PCI үйлесімділігі дегеніміз – карта ұстаушылардың жеке деректерін қабылдайтын, тарататын немесе сақтайтын кез-келген компания немесе ұйым PCI қауіпсіздік стандартты кеңесінде көрсетілген деректердің қауіпсіздігі мен құпиялылығына кепілдік беретін әртүрлі қауіпсіздік шараларына сәйкес келеді.

PCI сәйкестігі заңмен талап етіле ме?

PCI сәйкестігін талап ететін нормативтік мандат жоқ, бірақ ол сот прецеденті бойынша міндетті болып саналады.

PCI үйлесімді қалай алуға болады?

PCI талаптарына сай болу үшін алдымен сәйкестендіру үшін қандай өзін-өзі бағалау сауалнамасын ұстану керектігін анықтауыңыз керек.Сауалнаманы аяқтағаннан кейін PCI SSC бекітілген сканерлеу жеткізушісімен осалдықты қарап шығу туралы дәлелдерді толтыруыңыз керек.Сканерлеу тек кейбір саудагерлерге қатысты.Осыдан кейін сізге сәйкестік аттестаттауы қажет.Соңғы қадам жоғарыда аталған барлық ақпаратты жіберу болады.

PCI стандартына сай кім болуы керек?

Карточка ұстаушыларының жеке деректерін қабылдайтын, тарататын немесе сақтайтын кез келген компания немесе ұйым.

Төменгі сызық

PCI сәйкестігі PCI қауіпсіздік стандарттары кеңесінде белгіленген техникалық және пайдалану стандарттарына жатады, оған ұйымдар енгізуі және сақтауы қажет. PCI-ге сәйкес болудың мақсаты – карта иелерінің деректерін қорғау және ол деректерді қабылдайтын, тарататын немесе сақтайтын кез-келген ұйымға қолданылады. PCI-ге сәйкес болу – бұл тұтынушылардың деректерінің қауіпсіздігін бірінші орынға қоятын және сонымен қатар ұйымға оң брендтің беделі арқылы пайда әкелетін жақсы іскери тәжірибе.