Как стать совместимым с PCI: 10 шагов (с изображениями)

Как стать совместимым с PCI: 10 шагов (с изображениями)
Как стать совместимым с PCI: 10 шагов (с изображениями)
  • 👤 Автор Булыгина Наталья 📧 [email protected].
  • Дата публикации 2025-03-31 07:43.
  • 🖍 Последние изменения 2025-06-01 03:26.
  • 👁 Количество просмотров 11.

PCI, часто называемый PCI DSS, означает стандарт безопасности данных индустрии платежных карт. Короче говоря, PCI - это набор отраслевых стандартов, используемых для измерения безопасности предприятий, которые принимают, обрабатывают, хранят и передают информацию о кредитных картах. Компании, соответствующие требованиям PCI, реже страдают от утечки данных, которая может раскрыть клиентам возможность идентифицировать кражу. Если у вас есть идентификатор продавца и вы принимаете кредитные карты в своем физическом или виртуальном бизнесе, то вы подпадаете под действие отраслевых стандартов PCI DSS. Совет по стандартам безопасности PCI - это независимая группа отраслевых профессионалов, которые исследуют возникающие проблемы безопасности PCI и создают программы и стандарты для поддержания целостности системы платежных карт.

Шаги

Часть 1 из 3: Обзор основ PCI DSS

Получите работу кассира в банке Шаг 1
Получите работу кассира в банке Шаг 1

Шаг 1. Подтвердите свой уровень продавца

Первый шаг - обсудить и подтвердить свой уровень продавца в банке или расчетной палате, которая обрабатывает транзакции по вашей кредитной карте. Продавцы делятся на четыре категории на основе транзакций по карте VISA в течение 12 месяцев. Уровень вашего продавца определит, насколько строгими должны быть ваши программы соответствия PCI.

  • Торговец Уровня 1 обрабатывает более 6 миллионов транзакций VISA в год или присвоен Уровнем 1 компанией VISA.
  • Торговец уровня 2 принимает от 1 до 6 миллионов транзакций VISA ежегодно. Сюда входит личное общение и онлайн.
  • Торговец уровня 3 будет обрабатывать от 20 000 до 1 миллиона транзакций VISA в год.
  • Торговец уровня 4, считающийся мелким торговцем, принимает менее 20 000 платежей VISA в год.
  • Требования PCI DSS также распространяются на компании, которые принимают другие кредитные карты, такие как American Express, MasterCard и Discover. VISA используется в качестве ориентира для определения уровня продавца.
Экономьте деньги на батареях Шаг 3
Экономьте деньги на батареях Шаг 3

Шаг 2. Узнайте о наказаниях за нарушение PCI DSS

Компании, не соответствующие требованиям PCI DSS, могут подвергаться штрафам, санкциям и утрате привилегий со стороны клиринговой палаты, которая обрабатывает платежи по кредитным картам. Если сбой PCI приведет к фактической потере данных, бизнес может столкнуться с штрафами, более высокими сборами и другими санкциями со стороны банков и обработчиков кредитных карт.

Компании, которые не соответствуют требованиям PCI, могут быть привлечены к судебным искам и судебному преследованию со стороны правительства за неспособность защитить данные клиентов

Мощно представить себя и бизнес Шаг 4
Мощно представить себя и бизнес Шаг 4

Шаг 3. Ознакомьтесь с лучшими методами обеспечения безопасности

Первый стандарт PCI DSS, внедренный в сентябре 2009 года (DSS v 1.2), представил 12 требований, которые продавец должен проверить, чтобы соответствовать требованиям PCI. В зависимости от уровня вашего продавца количество технологий, обучения и опыта для внедрения стандартов будет различаться. Например, сеть, обрабатывающая 2 миллиона транзакций, будет более сложной, чем сеть, обрабатывающая 2000.

  • PCI 3.1 вступил в силу в июне 2015 года и касается новых технологических стандартов и устраняет уязвимости в распространенных программах шифрования.
  • Передовые практики соблюдения требований PCI делятся на пять основных категорий: безопасная сеть, защита данных, управление уязвимостями, контроль доступа, мониторинг и политика безопасности. Совет PCI предлагает анкету для самооценки, чтобы помочь малым предприятиям определить соответствие стандартам безопасности.

Часть 2 из 3: Реализация программ соответствия PCI

Создайте доверие в малом бизнесе Шаг 3
Создайте доверие в малом бизнесе Шаг 3

Шаг 1. Создайте и поддерживайте безопасную сеть

Для бизнеса это будет означать развитие отношений с надежным подрядчиком. Если вы не ИТ-специалист, вам не следует устанавливать собственную сеть, если в ней будут храниться данные клиентов. Даже в стандартной системе могут быть уязвимости, если она не установлена и не обновлена должным образом.

  • Своевременно обновляйте и работайте брандмауэры. Не позволяйте сотрудникам отключать брандмауэры ни для каких целей.
  • Немедленно измените пароли, предоставленные поставщиком. Также внедрите программу паролей для ваших сотрудников. Пароли следует регулярно менять в соответствии с инструкциями поставщика. Например, пароли должны представлять собой комбинации буквенно-цифровых символов, которые не являются словарными словами. Если ваш поставщик работает с вашей системой, вам следует изменить все пароли, когда она вернется в сеть.
Откройте банковский счет Шаг 7
Откройте банковский счет Шаг 7

Шаг 2. Защитите информацию о держателях карты

Если вы обрабатываете кредитные карты вручную, квитанции и квитанции следует хранить в заблокированных файлах с ограниченным доступом. Если информация о держателях карты хранится в вашей сети, она должна быть зашифрована и защищена межсетевыми экранами компании.

Обновление бизнес-плана по уходу за детьми, шаг 2
Обновление бизнес-плана по уходу за детьми, шаг 2

Шаг 3. Создайте программу управления уязвимостями

Ваша система должна быть защищена соответствующим антивирусным программным обеспечением. У вас также должна быть корпоративная программа, запрещающая добавление программного обеспечения, например игр, которое может поставить под угрозу систему.

Быть бизнес-аналитиком в топ-менеджменте Шаг 3
Быть бизнес-аналитиком в топ-менеджменте Шаг 3

Шаг 4. Реализуйте контроль доступа

Доступ к вашей системе по паролю должен быть ограничен. У каждого сотрудника должен быть только тот доступ, который ему нужен для выполнения своей работы. Объясните, что это защищает как ваших сотрудников, так и ваших клиентов. В случае утечки данных ограниченный доступ сузит возможности и поможет расследованию.

  • Для вашей сети дайте каждому пользователю и каждому терминалу уникальный идентификационный номер. В случае подтвержденного или предполагаемого взлома ваши ИТ-специалисты смогут быстро определить точку входа.
  • Защищайте физические записи, содержащие данные о клиентах и держателях карт. Используйте систему с карточным ключом или физический замок и ключ.

Часть 3 из 3: Тестирование и поддержание соответствия PCI

Создайте доверие в малом бизнесе Шаг 1
Создайте доверие в малом бизнесе Шаг 1

Шаг 1. Отслеживайте и тестируйте свои сети

Ваша программа безопасности должна включать регулярное сканирование и тесты для отслеживания и мониторинга потока данных клиентов через вашу сеть. Ваш ИТ-специалист или поставщик могут проводить тесты как при малой нагрузке на систему (например, поздно ночью по выходным), так и в режиме реального времени, когда система используется.

Ведите журнал результатов тестирования. Обсудите, как долго нужно хранить записи об испытаниях в вашем банке и страховой компании

Создайте доверие в малом бизнесе Шаг 6
Создайте доверие в малом бизнесе Шаг 6

Шаг 2. Разработайте политику информационной безопасности

Все этапы вашей программы соответствия PCI должны быть задокументированы в вашей политике безопасности. В этом документе должны быть подробно описаны все шаги, предпринимаемые вашей компанией для защиты данных клиентов. Для продавцов уровней 1-3 эта программа может работать в нескольких томах и включать руководство для сотрудников.

  • Торговцы уровня 1-3, скорее всего, заключат договор со специалистом по безопасности или будут иметь специальный персонал, обученный тонкостям написания и поддержки Политики информационной безопасности.
  • Торговец 4-го уровня должен обратиться в клиринговую палату по кредитным картам за советом и помощью по созданию Политики безопасности. Если процессор не предоставляет шаблон программы, вам следует подумать о заключении контракта со специалистом по безопасности для создания документа. Если вы не являетесь ИТ-специалистом, маловероятно, что вы будете достаточно разбираться в технических деталях своей системы, чтобы создать политику безопасности, совместимую с PCI. После того, как он будет создан, его нужно будет обновлять только при расширении или обновлении вашей сети. Ваш ИТ-подрядчик может предоставить вам документы, необходимые для поддержания вашей политики безопасности в актуальном состоянии.
  • Большая часть вашей программы безопасности будет носить технический характер, например, выбор брандмауэра и программного обеспечения безопасности, а также протоколы тестирования. Однако вы также должны включить разделы о процессе, когда сотрудник увольняется из компании и пароли отозваны.
  • Разработайте процесс отслеживания ключей и карточек-ключей. Мастер-ключи должны быть так же строго регламентированы, как и пароли высокого уровня.
Завоюйте доверие в малом бизнесе Шаг 4
Завоюйте доверие в малом бизнесе Шаг 4

Шаг 3. Оцените, устраните проблемы и сообщите о соответствии требованиям PCI

После того, как 12 частей передового опыта PCI будут внедрены, вам следует периодически проходить трехэтапный процесс проверки PCI Council, чтобы обеспечить соблюдение требований.

  • Проведите инвентаризацию своих ИТ-систем и бизнес-процессов. Если что-то изменилось, обновите свои программы безопасности и планы управления уязвимостями.
  • Если вы обнаружите слабое место в своей системе, устраните проблему. Для этого может потребоваться новое оборудование или программное обеспечение, обучение пользователей или обновление вашей сети. Эти изменения должны внедрить ИТ-специалисты.
  • Храните записи о своих действиях и отправляйте отчеты о ваших усилиях по соблюдению нормативных требований в свой банк и компании-эмитенты кредитных карт. Ваши отчеты, усилия и идеи могут помочь другой компании защитить данные клиентов.