Τι είναι η συμμόρφωση PCI
Η συμμόρφωση της βιομηχανίας καρτών πληρωμών (PCI) αναφέρεται στα τεχνικά και επιχειρησιακά πρότυπα που πρέπει να ακολουθούν οι επιχειρήσεις, ώστε να εξασφαλίζεται η προστασία των δεδομένων της πιστωτικής κάρτας που παρέχονται από τους κατόχους καρτών. Η συμμόρφωση με PCI εφαρμόζεται από το Συμβούλιο Προτύπων PCI και όλες οι επιχειρήσεις που αποθηκεύουν, επεξεργάζονται ή διαβιβάζουν ηλεκτρονικά δεδομένα πιστωτικών καρτών πρέπει να ακολουθούν τις οδηγίες συμμόρφωσης.
Κατανόηση της συμμόρφωσης PCI
Τα πρότυπα συμμόρφωσης της βιομηχανίας καρτών πληρωμών (PCI) απαιτούν από τους εμπόρους και άλλες επιχειρήσεις να χειρίζονται με ασφάλεια τα στοιχεία των πιστωτικών καρτών, γεγονός που συμβάλλει στη μείωση της πιθανότητας κλοπής ευαίσθητων οικονομικών δεδομένων από τους κατόχους καρτών. Εάν οι έμποροι δεν χειρίζονται σωστά τις πληροφορίες της πιστωτικής κάρτας, οι πληροφορίες της κάρτας θα μπορούσαν να διαμαρτυρηθούν και να χρησιμοποιηθούν για να κάνουν ψευδείς αγορές. Επιπλέον, ευαίσθητες πληροφορίες σχετικά με τον κάτοχο της κάρτας θα μπορούσαν να χρησιμοποιηθούν στην απάτη ταυτότητας.
Η συμμόρφωση με το PCI σημαίνει συνεπή τήρηση ενός συνόλου οδηγιών που εκδίδονται από εταιρείες που εκδίδουν πιστωτικές κάρτες. Οι οδηγίες περιγράφουν μια σειρά βημάτων που πρέπει να ακολουθούν συνεχώς οι επεξεργαστές πιστωτικών καρτών. Οι εταιρείες καλούνται πρώτα να αξιολογήσουν την υποδομή της τεχνολογίας των πληροφοριών, τις επιχειρηματικές διαδικασίες και τις διαδικασίες διαχείρισης πιστωτικών καρτών, προκειμένου να εντοπίσουν πιθανές απειλές που ενδέχεται να θέσουν σε κίνδυνο τα δεδομένα της πιστωτικής κάρτας. Στη συνέχεια, οι εταιρείες καλούνται να αντιμετωπίσουν τυχόν κενά στην ασφάλεια και να αποφύγουν την αποθήκευση ευαίσθητων πληροφοριών από τους κατόχους της κάρτας, όπως είναι οι αριθμοί κοινωνικής ασφάλισης και αδειών οδήγησης, όποτε είναι δυνατόν. Οι εταιρείες οφείλουν να παρέχουν εκθέσεις συμμόρφωσης στις μάρκες κάρτας με τις οποίες συνεργάζονται, όπως τα American Express και VISA.
Όλες οι εταιρείες που επεξεργάζονται τις πληροφορίες της πιστωτικής κάρτας οφείλουν να διατηρούν τη συμμόρφωση με την PCI, ανεξάρτητα από το μέγεθός τους ή τον αριθμό των συναλλαγών με πιστωτικές κάρτες που επεξεργάζονται. Όλες οι εταιρείες κατατάσσονται σε επίπεδα εμπόρων με βάση τον αριθμό των συναλλαγών που υποβάλλονται σε επεξεργασία κατά τη διάρκεια συγκεκριμένης περιόδου. Η συμμόρφωση με την PCI διέπεται από το Συμβούλιο Προτύπων για την Ασφάλεια της Κάρτας Πληρωμών, μια οργάνωση που ιδρύθηκε το 2006 για τη διαχείριση της ασφάλειας των πιστωτικών καρτών. Οι απαιτήσεις, γνωστές ως πρότυπα ασφαλείας δεδομένων βιομηχανικής κάρτας πληρωμών (PCI DSS), διαχειρίζονται οι μεγαλύτερες εταιρείες πιστωτικών καρτών, συμπεριλαμβανομένων των VISA, American Express, Discover και MasterCard, μεταξύ άλλων.
Συμμόρφωση PCI και παραβιάσεις δεδομένων
Πολλές από τις μεγαλύτερες παραβιάσεις δεδομένων της ιστορίας μπορεί να έχουν αποφευχθεί εάν οι εμπλεκόμενοι έμποροι ή χρηματοπιστωτικοί οργανισμοί ήταν συμβατοί με PCI. Ακολουθούν μερικές βασικές σημειώσεις από την Έκθεση Ασφαλείας Πληρωμών Verizon 2017, μια σε βάθος μελέτη της συμμόρφωσης PCI DSS:
- Οι εταιρείες λιανικής πώλησης επέδειξαν τη χαμηλότερη βιωσιμότητα της PCI σε όλους τους βασικούς κλάδους.Ο κλάδος των υπηρεσιών πληροφορικής πέτυχε την υψηλότερη πλήρη συμμόρφωση όλων των βασικών βιομηχανικών ομάδων που μελετήθηκαν.77 τοις εκατό των εταιρειών που αξιολογήθηκαν μετά από παραβίαση δεδομένων δεν ήταν σύμφωνη με την απαίτηση PCI νούμερο ένα: και η διατήρηση μιας διαμόρφωσης τείχους προστασίας.Η μελέτη δείχνει μια «αποδεδειγμένη» συσχέτιση μεταξύ επιχειρήσεων που είναι ενημερωμένες στα πρότυπα PCI και επιχειρήσεις που έχουν υπερασπιστεί επιτυχώς τους εαυτούς τους εναντίον απειλών στον κυβερνοχώρο.Ο αριθμός επιχειρήσεων που είναι 100 τοις εκατό συμβατές με PCI είναι αυξάνοντας σημαντικά σε ετήσια βάση.
