Stripe logo

siden 2005 er over 11 milliarder forbrugerregistre blevet kompromitteret fra over 8,500 databrud. Dette er de seneste numre fra Privacy Rights Clearinghouse, der rapporterer om databrud og sikkerhedsbrud, der påvirker forbrugere, der går tilbage til 2005.

for at forbedre sikkerheden ved forbrugerdata og tillid til betalingsøkosystemet blev der oprettet en minimumsstandard for datasikkerhed. Visa, Mastercard, Discover og JCB dannede Payment Card Industry Security Standards Council (PCI SSC) i 2006 for at administrere og administrere sikkerhedsstandarder for virksomheder, der håndterer kreditkortdata. Før PCI SSC blev etableret, havde disse fem kreditkortselskaber alle deres egne sikkerhedsstandardprogrammer-hver med omtrent lignende krav og mål. De slog sig sammen gennem PCI SSC for at tilpasse sig en standardpolitik, PCI-Datasikkerhedsstandarderne (kendt som PCI DSS) for at sikre et basisniveau for beskyttelse for forbrugere og banker i internettiden.

forståelse af PCI DSS kan være kompleks og udfordrende

hvis din forretningsmodel kræver, at du håndterer kortdata, kan du blive bedt om at opfylde hver af de 300+ sikkerhedskontroller i PCI DSS. Der er over 1.800 sider med officiel dokumentation, udgivet af PCI-Rådet, om PCI DSS og over 300 sider bare for at forstå, hvilken form(er) der skal bruges, når man validerer overholdelse. Dette ville tage over 72 timer bare for at læse.

for at lette denne byrde er følgende En trinvis vejledning til validering og vedligeholdelse af PCI-overholdelse.

oversigt over PCI-Datasikkerhedsstandard (PCI DSS)

PCI DSS er den globale sikkerhedsstandard for alle enheder, der gemmer, behandler eller overfører kortholderdata og/eller følsomme godkendelsesdata. PCI DSS sætter et basisniveau for beskyttelse af forbrugerne og hjælper med at reducere svig og databrud på tværs af hele betalingsøkosystemet. Det gælder for enhver organisation, der accepterer eller behandler betalingskort.

PCI DSS compliance involverer 3 vigtigste ting:

  1. håndtering af indtrængen af kreditkortdata fra kunder, nemlig at følsomme kortoplysninger indsamles og transmitteres sikkert
  2. lagring af data sikkert, hvilket er skitseret i de 12 sikkerhedsdomæner i PCI-standarden, såsom kryptering, løbende overvågning og sikkerhedstest af adgang til kortdata
  3. Validering årligt, at de krævede sikkerhedskontroller er på plads, som kan omfatte formularer, spørgeskemaer, eksterne sårbarhedsscanningstjenester og 3. parts revisioner (se trin for trin guide nedenfor for en tabel med de fire niveauer af krav)

håndtering af kortdata

nogle forretningsmodeller kræver direkte håndtering af følsomme kreditkortdata, når de accepterer betalinger, mens andre ikke gør det. Virksomheder, der har brug for at håndtere kortdata (f.eks. acceptere untokeniserede pander på en betalingsside) kan være forpligtet til at opfylde hver af de 300+ sikkerhedskontroller i PCI DSS. Selvom kortdata kun krydser sine servere i et kort øjeblik, skal virksomheden købe, implementere og vedligeholde sikkerhedsprogrammer og-udstyr.

hvis en virksomhed ikke behøver at håndtere følsomme kreditkortdata, bør den ikke. tredjepartsløsninger (f.eks. Stripe-elementer) accepterer og gemmer dataene sikkert og pisker betydelig kompleksitet, omkostninger og risiko væk. Da kortdata aldrig berører sine servere, behøver virksomheden kun at bekræfte 22 sikkerhedskontroller, hvoraf de fleste er ligetil, såsom at bruge stærke adgangskoder.

lagring af data sikkert

hvis en organisation håndterer eller gemmer kreditkortdata, skal den definere omfanget af sit kortholderdatamiljø (CDE). PCI DSS definerer CDE som de mennesker, processer og teknologier, der gemmer, behandler eller overfører kreditkortdata—eller ethvert system, der er forbundet med det. Da alle 300 + sikkerhedskrav i PCI DSS gælder for CDE, er det vigtigt at segmentere betalingsmiljøet korrekt fra resten af virksomheden for at begrænse omfanget af PCI-Validering. Hvis en organisation ikke er i stand til at indeholde CDE-omfanget med granulær segmentering, vil PCI-sikkerhedskontrollerne derefter gælde for alle systemer, bærbare computere og enheder på virksomhedens netværk. Yikes!

årlig Validering

uanset hvordan kortdata accepteres, skal organisationer udfylde en PCI-valideringsformular årligt. Den måde, hvorpå PCI-overholdelse valideres, afhænger af en række faktorer, som er beskrevet nedenfor. Her er 3 scenarier, hvor en organisation kan blive bedt om at vise, at den er PCI-kompatibel:

  • betalingsprocessorer kan anmode om det som en del af deres krævede rapportering til betalingskortmærkerne
  • forretningspartnere kan anmode om det som en forudsætning for at indgå forretningsaftaler
  • for platformvirksomheder (dem, hvis teknologi letter onlinetransaktioner blandt flere forskellige sæt brugere), kan kunder anmode om det for at vise deres kunder, at de håndterer data sikkert

det seneste sæt af standarder, PCI DSS version 3.2.1, omfatter 12 vigtigste krav med over 300 sub-krav, der afspejler sikkerhed bedste praksis.

    Opbyg og vedligehold et sikkert netværk og systemer

  1. Installer og vedligehold en brandvægskonfiguration for at beskytte kortholderdata
  2. Brug ikke leverandørleverede standardindstillinger for systemadgangskoder og andre sikkerhedsparametre
  3. Beskyt kortholderdata

  4. Beskyt lagrede kortholderdata
  5. Krypter transmission af kortholderdata kortholderdata på tværs af åbne eller offentlige netværk
  6. vedligehold et sårbarhedsstyringsprogram

  7. Beskyt alle systemer mod skadelige programmer og opdater regelmæssigt antivirusprogrammer
  8. udvikle og vedligeholde sikre systemer og applikationer
  9. Implementer stærke adgangskontrolforanstaltninger

  10. Begræns adgang til kortholderdata efter virksomhed behov for at vide
  11. Identificer og godkend adgang til systemkomponenter
  12. Begræns fysisk adgang til kortholderdata
  13. regelmæssigt overvåge og teste netværk

  14. spor og overvåg al adgang til netværksressourcer og kortholderdata
  15. test regelmæssigt sikkerhedssystemer og processer
  16. oprethold en informationssikkerhedspolitik

  17. oprethold en politik, der adresserer informationssikkerhed for alle personale

for at gøre det “lettere” for nye virksomheder at validere PCI-overholdelse oprettede PCI-Rådet ni forskellige former eller Selvvurderingsspørgeskemaer (Sak ‘ er), der er en delmængde af hele PCI DSS-kravet. Tricket er at finde ud af, hvad der er relevant, eller om det er nødvendigt at ansætte en PCI-Rådsgodkendt revisor for at kontrollere, at hvert PCI DSS-sikkerhedskrav er opfyldt. Derudover reviderer PCI-Rådet reglerne hvert tredje år og frigiver trinvise opdateringer i løbet af året og tilføjer endnu mere dynamisk kompleksitet.

trin for trin guide til PCI DSS v3.2.1 compliance

det første skridt i at opnå PCI compliance er at vide, hvilke krav gælder for din organisation. Der er fire forskellige PCI-overholdelsesniveauer, typisk baseret på mængden af kreditkorttransaktioner, dine forretningsprocesser i løbet af en 12-måneders periode.

gælder for krav
Niveau 1
  1. organisationer, der årligt behandler mere end 6 millioner transaktioner med Visa eller MasterCard, eller mere end 2.5 millioner til Amerikansk ekspres; eller
  2. har oplevet et databrud; eller
  3. betragtes som “Niveau 1” af enhver kortforening (Visa, Mastercard osv)
  1. årsberetning om overholdelse (ROC) af en kvalificeret Sikkerhedsvurderer—også almindeligt kendt som en Niveau 1—vurdering på stedet–eller intern revisor, hvis den er underskrevet af en officer i virksomheden
  2. kvartalsvis netværksscanning af godkendt Scanningsleverandør (ASV)
  3. attestation of Compliance (AOC) til vurderinger på stedet-der er specifikke formularer til forhandlere og tjenesteudbydere
niveau 2 organisationer, der behandler mellem 1-6 millioner transaktioner årligt
  1. årlig PCI DSS Selvevalueringsspørgeskema—sak) – der er 9 SAK—typer vist kort i nedenstående tabel
  2. kvartalsvis netværksscanning efter godkendt Scanningsleverandør (ASV)
  3. attestation of Compliance (AOC) – hver af de 9 Sak ‘ er har en respektive AOC-formular
niveau 3
  1. organisationer, der behandler mellem 20.000-1 million online transaktioner årligt
  2. organisationer, der behandler mindre end 1 million samlede transaktioner årligt
niveau 4
  1. organisationer, der behandler færre end 20.000 onlinetransaktioner årligt; eller
  2. organisationer, der behandler op til 1 million samlede transaktioner årligt

for niveau 2-4 er der forskellige sav-typer afhængigt af din betalingsintegrationsmetode. Her er et kort bord:

SAK beskrivelse
a

kort-ikke-nuværende Forhandlere (e-handel eller mail/telefonordre), der fuldt ud har outsourcet alle kortholderdatafunktioner til PCI DSS-kompatible tredjepartstjenesteudbydere uden elektronisk lagring, behandling eller transmission af kortholderdata på købmandens systemer eller lokaler.

Ikke relevant for ansigt til ansigt kanaler.

a-EP

e-handelshandlere, der outsourcer al betalingsbehandling til PCI DSS validerede tredjeparter, og som har en hjemmeside(er), der ikke direkte modtager kortindehaverdata, men som kan påvirke sikkerheden ved betalingstransaktionen. Ingen elektronisk lagring, behandling eller overførsel af kortindehaverdata på forhandlerens systemer eller lokaler.

gælder kun for e-handel kanaler.

B

købmænd bruger kun:

  • Imprint maskiner uden elektronisk Kortholder datalagring, og/eller
  • Standalone, dial-out terminaler uden elektronisk Kortholder datalagring.

Ikke relevant for e-handel kanaler.

B-IP

forhandlere, der kun bruger enkeltstående, PTS-godkendte betalingsterminaler med en IP-forbindelse til betalingsprocessoren uden elektronisk kortholderdatalagring.

Ikke relevant for e-handel kanaler.

C-VT

forhandlere, der manuelt indtaster en enkelt transaktion ad gangen via et tastatur til en internetbaseret, virtuel betalingsterminalløsning, der leveres og hostes af en PCI DSS-valideret tredjepartstjenesteudbyder. Ingen elektronisk Kortholder datalagring.

Ikke relevant for e-handel kanaler.

C

forhandlere med betalingsapplikationssystemer forbundet til internettet, ingen elektronisk kortindehaverens datalagring.

Ikke relevant for e-handel kanaler.

P2pe

forhandlere, der kun bruger udstyrsbetalingsterminaler, der er inkluderet i og administreres via en valideret PCI SSC-listet punkt-til-punkt-krypteringsløsning (P2PE) uden elektronisk kortholderdatalagring.

Ikke relevant for e-handel Købmænd.

D

SAK D for forhandlere: alle forhandlere, der ikke er inkluderet i beskrivelserne for de ovennævnte SAK-typer.

SAK D for tjenesteudbydere: alle tjenesteudbydere defineret af et betalingsmærke som berettigede til at gennemføre en sak.

rutediagrammet på side 18 i dette PCI-dokument kan hjælpe dig med at vælge de dokumenter og Attesteringsdokumenter, der bedst gælder for din organisation.

PCI DSS-kravene ændres over tid, så en af de bedste måder at få opdateringer om nye eller skiftende certificeringskrav, og hvordan man opfylder dem, er at blive en PCI-deltagende organisation (PO).

Kortlæg dine datastrømme

før du kan beskytte følsomme kreditkortdata, skal du vide, hvor de bor, og hvordan de kommer derhen. Du vil oprette et omfattende kort over de systemer, netværksforbindelser og applikationer, der interagerer med kreditkortdata på tværs af din organisation. Afhængigt af din rolle skal du sandsynligvis arbejde med dit IT-og sikkerhedsteam(er) for at gøre dette.

  • Identificer først ethvert forbrugerorienteret område i virksomheden, der involverer betalingstransaktioner. For eksempel kan du acceptere betalinger via en online indkøbskurv, betalingsterminaler i butikken eller ordrer, der er placeret over telefonen.
  • find derefter de forskellige måder, kortholderdata håndteres i hele virksomheden. Det er vigtigt at vide nøjagtigt, hvor dataene gemmes, og hvem der har adgang til dem.
  • Identificer derefter de interne systemer eller underliggende teknologier, der berører betalingstransaktioner. Dette omfatter dine netværkssystemer, datacentre og cloud-miljøer.

kontroller sikkerhedskontroller og protokoller

når du kortlægger alle de potentielle berøringspunkter for kreditkortdata på tværs af din organisation, skal du arbejde med IT-og sikkerhedsteams for at sikre, at de rigtige sikkerhedskonfigurationer og protokoller er på plads (se listen over 12 sikkerhedskrav til PCI DSS ovenfor). Disse protokoller er designet til at sikre transmission af data, som f.eks Transport Layer Security (TLS).

de 12 sikkerhedskrav til PCI DSS v3.2.1 stammer fra bedste praksis til beskyttelse af følsomme data for enhver virksomhed. Flere overlapper hinanden med dem, der kræves for at opfylde GDPR, HIPAA og andre privatlivsmandater, så nogle få af dem er muligvis allerede på plads i din organisation.

Overvåg og vedligehold

det er vigtigt at bemærke, at PCI-overholdelse ikke er en engangshændelse. Det er en løbende proces for at sikre, at din virksomhed forbliver kompatibel, selv når datastrømme og kundekontaktpunkter udvikler sig. Nogle kreditkortmærker kan kræve, at du indsender kvartals-eller årsrapporter eller gennemfører en årlig vurdering på stedet for at validere løbende overholdelse, især hvis du behandler over 6 millioner transaktioner hvert år.

håndtering af PCI-overholdelse hele året (og år over år) kræver ofte support og samarbejde på tværs af afdelinger. Hvis dette ikke allerede findes, kan det være umagen værd at oprette et dedikeret team internt for korrekt at opretholde overholdelse. Mens hvert firma er unikt, vil et godt udgangspunkt for et “PCI-team” omfatte repræsentation fra følgende:

  • sikkerhed: Chief Security Officer (CSO), Chief Information Security Officer (CISO) og deres teams sikrer, at organisationen altid investerer korrekt i de nødvendige datasikkerheds-og privatlivsressourcer og-politikker.
  • teknologi / betalinger: Chief Technology Officer (CTO), VP of Payments og deres teams sørger for, at kerneværktøjer, integrationer og infrastruktur forbliver kompatible, når organisationens systemer udvikler sig.
  • Finans: Chief Financial Officer (CFO) og deres team sikrer, at alle betalingsdatastrømme redegøres for, når det kommer til betalingssystemer og partnere.
  • juridisk: dette team kan hjælpe med at navigere i de mange juridiske nuancer af PCI DSS-overholdelse.

For mere information om den komplekse verden af PCI-overholdelse, gå til PCI Security Standards Council hjemmeside. Hvis du kun læser denne vejledning og et par andre PCI-dokumenter, anbefaler vi at starte med disse: prioriteret tilgang til PCI-DSS, SAK-instruktioner og retningslinjer, ofte stillede spørgsmål om brug af SAK-kvalifikationskriterier til at bestemme krav til vurdering på stedet og ofte stillede spørgsmål om forpligtelser for forhandlere, der udvikler apps til forbrugerenheder, der accepterer betalingskortdata.

hvordan Stripe hjælper organisationer med at opnå og opretholde PCI-overholdelse

Stripe forenkler PCI-byrden betydeligt for virksomheder, der integrerer med Checkout, Elements, mobile SDK ‘er og Terminal SDK’ er. Stripe Checkout og Stripe Elements bruger et hostet betalingsfelt til håndtering af alle betalingskortdata, så kortindehaveren indtaster alle følsomme betalingsoplysninger i et betalingsfelt, der stammer direkte fra vores PCI DSS-validerede servere. Stripe mobile og Terminal SDK ‘ er gør det også muligt for kortindehaveren at sende følsomme betalingsoplysninger direkte til vores PCI DSS-validerede servere.

med sikrere kortacceptmetoder som disse udfylder vi PCI-formularen (sak) i Stripe-instrumentbrættet, hvilket gør PCI-Validering så let som at klikke på en knap. For mindre organisationer kan dette spare hundreder af timers arbejde, for større kan dette spare tusinder.

for alle vores brugere, uanset integrationstype, Stripe fungerer som en PCI advokat og kan hjælpe på et par forskellige måder.

  • vi analyserer din integrationsmetode og rådgiver dig om, hvilken PCI-formular du skal bruge, og hvordan du reducerer din overholdelsesbyrde.
  • vi giver dig besked på forhånd, hvis en voksende transaktionsvolumen kræver en ændring i, hvordan du validerer overholdelse.
  • for store købmænd (Niveau 1) leverer vi en PCI-pakke, der kan reducere PCI-valideringstiden fra måneder til dage. Hvis du har brug for at arbejde med en PCI-KSA (fordi du gemmer kreditkortdata eller har en mere kompleks betalingsstrøm), er der over 350 sådanne KSA-virksomheder over hele verden, og vi kan forbinde dig med flere revisorer, der dybt forstår de forskellige Stripe-integrationsmetoder.
visas handelsniveau gennemsnitlig revisionstid (årlige skøn) gennemsnitlig revisionstid med Stripe-elementer, Checkout eller Mobile SDK (årlige skøn)
Niveau 1 3-5 måneder 2-5 dage
niveau 2 1-3 måneder 0 dage
niveau 3 1-3 måneder 0 dage
niveau 4 1-3 måneder 0 dage

For mere information om, hvordan Stripe hjælper dig med at beskytte din kundernes data og opnå PCI-overholdelse, tjek vores dokumenter om integrationssikkerhed.

konklusion

vurdering og validering af PCI-overholdelse sker normalt en gang om året, men PCI — overholdelse er ikke en engangshændelse-det er en kontinuerlig og betydelig indsats for vurdering og afhjælpning. Efterhånden som en virksomhed vokser, vil kerneforretningslogikken og processerne, hvilket betyder, at overholdelseskrav også vil udvikle sig. En online forretning kan for eksempel beslutte at åbne fysiske butikker, gå ind på nye markeder eller starte et kundesupportcenter. Hvis noget nyt involverer betalingskortdata, er det en god ide at proaktivt kontrollere, om dette har nogen indflydelse på din PCI-valideringsmetode, og validere PCI-overholdelse efter behov.

PCI overholdelse hjælper. Det er bare ikke nok.

overholdelse af PCI DSS — retningslinjerne er et nødvendigt beskyttelseslag for din virksomhed-men det er ikke nok. PCI DSS sætter vigtige standarder for håndtering og lagring af kortholderdata, men giver i sig selv ikke tilstrækkelig beskyttelse til ethvert betalingsmiljø. I stedet for at flytte til en sikrere kortacceptmetode (som Stripe Checkout, Elements og mobile SDK ‘ er) er en meget mere effektiv måde at beskytte din organisation på. Den mangeårige fordel, dette giver, er, at du ikke behøver at stole på branchens basisstandarder eller bekymre dig om den potentielle fejl i sikkerhedskontrol. Denne tilgang giver agile virksomheder en måde at afbøde et potentielt databrud og undgå den følelsesmæssige, tidskrævende og dyre historiske tilgang til PCI-Validering. For ikke at nævne, en sikrere integrationsmetode er pålidelig hver eneste dag i året.

tilbage til vejledninger

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.

More: