Siden 2005 har over 11 milliarder forbruker poster blitt kompromittert fra over 8500 data brudd. Dette er de siste tallene Fra Privacy Rights Clearinghouse, som rapporterer om databrudd og sikkerhetsbrudd som påvirker forbrukere tilbake til 2005.
for å forbedre sikkerheten til forbrukerdata og tillit til betalingsøkosystemet ble det opprettet en minimumsstandard for datasikkerhet. Visa, Mastercard, American Express, Discover og JCB dannet Payment Card Industry Security Standards Council (PCI SSC) i 2006 for å administrere og administrere sikkerhetsstandarder for selskaper som håndterer kredittkortdata. FØR PCI SSC ble etablert, hadde disse fem kredittkortselskapene alle sine egne sikkerhetsstandardprogrammer-hver med omtrent like krav og mål. DE banded sammen GJENNOM PCI SSC for å tilpasse SEG EN standardpolicy, PCI Data Security Standards (KJENT som PCI DSS) for å sikre et grunnlinjenivå for beskyttelse for forbrukere og banker i internett-tiden.
- FORSTÅELSE AV PCI DSS kan være komplisert og utfordrende
- OVERSIKT OVER PCI Data Security Standard (PCI DSS)
- Håndtering av kortdata
- Sikker Lagring av data
- Årlig validering
- Bygge og vedlikeholde et sikkert nettverk og systemer
- Beskytt kortholderdata
- oppretthold et program for sårbarhetsstyring
- Implementer sterke tilgangskontrolltiltak
- overvåk og test nettverk Regelmessig
- opprettholde En informasjonssikkerhetspolicy
- Trinnvis guide TIL PCI DSS v3. 2. 1 samsvar
- Kart datastrømmene
- Kontroller sikkerhetskontroller og protokoller
- Overvåk og vedlikehold
- Hvordan Stripe hjelper organisasjoner med å oppnå OG opprettholde PCI-samsvar
- Konklusjon
- PCI-overholdelse hjelper. Det er bare ikke nok.
FORSTÅELSE AV PCI DSS kan være komplisert og utfordrende
hvis forretningsmodellen din krever at du håndterer kortdata, kan det hende du må oppfylle hver av de 300+ sikkerhetskontrollene I PCI DSS. DET er over 1800 sider med offisiell dokumentasjon, publisert AV PCI Council, OM PCI DSS, og over 300 sider bare for å forstå hvilke skjema (er) som skal brukes når validere samsvar. Dette ville ta over 72 timer bare for å lese.
for å lette denne byrden, er følgende en trinnvis veiledning for å validere OG opprettholde PCI-samsvar.
OVERSIKT OVER PCI Data Security Standard (PCI DSS)
PCI DSS ER den globale sikkerhetsstandarden for alle enheter som lagrer, behandler eller overfører kortholderdata og/eller sensitive autentiseringsdata. PCI DSS setter et grunnleggende beskyttelsesnivå for forbrukere og bidrar til å redusere svindel og databrudd på tvers av hele betalingsøkosystemet. Det gjelder for enhver organisasjon som aksepterer eller behandler betalingskort.
PCI DSS samsvar innebærer 3 viktigste ting:
- Håndtering av inntrenging av kredittkortdata fra kunder, nemlig at sensitive kortdetaljer samles inn og overføres sikkert
- Lagring av data sikkert, som er skissert i DE 12 sikkerhetsdomenene I PCI-standarden, for eksempel kryptering, kontinuerlig overvåking og sikkerhetstesting av tilgang til kortdata
- Validerer årlig at de nødvendige sikkerhetskontrollene er på plass, som kan inkludere skjemaer, spørreskjemaer, eksterne sårbarhetsskanningstjenester og 3. parts revisjoner (se trinnvis veiledning nedenfor for et bord med de fire nivåene av krav)
Håndtering av kortdata
noen forretningsmodeller krever direkte håndtering av sensitive kredittkortdata når de godtar betalinger, mens andre ikke gjør det. Bedrifter som trenger å håndtere kortdata (f.eks. akseptere ukeniserte Panner på en betalingsside), kan bli pålagt å møte hver av DE 300+ sikkerhetskontrollene I PCI DSS. Selv om kortdata bare krysser sine servere i et kort øyeblikk, vil selskapet måtte kjøpe, implementere og vedlikeholde sikkerhetsprogramvare og maskinvare.
Hvis et selskap ikke trenger å håndtere sensitive kredittkortdata, bør Det ikke. tredjepartsløsninger (F. eks. Stripeelementer) aksepterer og lagrer dataene sikkert, og fjerner betydelig kompleksitet, kostnad og risiko. Siden kortdata aldri berører serverne, trenger selskapet bare å bekrefte 22 sikkerhetskontroller, hvorav de fleste er enkle, for eksempel å bruke sterke passord.
Sikker Lagring av data
hvis en organisasjon håndterer eller lagrer kredittkortdata, må den definere omfanget av kortholderdatamiljøet (cde). PCI dss definerer CDE som menneskene, prosessene og teknologiene som lagrer, behandler eller overfører kredittkortdata—eller ethvert system som er koblet til det. Siden alle 300 + sikkerhetskrav i PCI DSS gjelder FOR CDE, er det viktig å segmentere betalingsmiljøet riktig fra resten av virksomheten for å begrense OMFANGET AV PCI-validering. HVIS en organisasjon ikke kan inneholde CDE-omfanget med granulær segmentering, VIL PCI-sikkerhetskontrollene da gjelde for alle systemer, bærbare datamaskiner og enheter på bedriftsnettverket. Yikes!
Årlig validering
uansett hvordan kortdata aksepteres, må organisasjoner fylle ut ET PCI-valideringsskjema årlig. MÅTEN PCI-overholdelse valideres på, avhenger av en rekke faktorer, som er beskrevet nedenfor. Her er 3 scenarier der en organisasjon kan bli bedt om å vise at DEN ER PCI-kompatibel:
- Betalingsprosessorer kan be om det som en del av deres påkrevde rapportering til betalingskortmerkene
- Forretningspartnere kan be om det som en forutsetning for å inngå forretningsavtaler
- for plattformvirksomheter (de som har teknologi som letter online-transaksjoner mellom flere forskjellige sett med brukere), kan kundene be om å vise sine kunder at de håndterer data sikkert
det siste settet med sikkerhet standarder, pci dss versjon 3.2.1, inkluderer 12 hovedkrav med over 300 underkrav som speiler sikkerhets beste praksis.
- Installere og vedlikeholde en brannmurkonfigurasjon for å beskytte kortholderdata
- ikke bruk leverandørleverte standardinnstillinger for systempassord og andre sikkerhetsparametere
- Beskytt lagrede kortholderdata
- Krypter overføring av kortholderdata på tvers av åpne eller offentlige nettverk
- beskytt alle systemer mot skadelig programvare og oppdater antivirusprogramvare regelmessig
- utvikle og vedlikeholde sikker systemer og applikasjoner
- Begrens tilgangen til kortholderdata etter forretningsbehov å vite
- Identifisere og godkjenne tilgang til systemkomponenter
- Begrens fysisk tilgang til kortholderdata
- Spor og overvåk all tilgang til nettverksressurser og kortholderdata
- regelmessig teste sikkerhetssystemer og prosesser
- opprettholde en policy som adresserer informasjonssikkerhet for alle personell
Bygge og vedlikeholde et sikkert nettverk og systemer
Beskytt kortholderdata
oppretthold et program for sårbarhetsstyring
Implementer sterke tilgangskontrolltiltak
overvåk og test nettverk Regelmessig
opprettholde En informasjonssikkerhetspolicy
FOR å gjøre det «enklere» for nye bedrifter å validere PCI-samsvar, OPPRETTET PCI-Rådet ni forskjellige skjemaer eller Selvvurderingsskjemaer (Saqs) som er en delmengde av HELE PCI DSS-kravet. Trikset er å finne ut hva som er aktuelt, eller om det er nødvendig å ansette EN PCI Council-godkjent revisor for å verifisere at HVERT PCI DSS-sikkerhetskrav er oppfylt. I TILLEGG REVIDERER PCI-Rådet reglene hvert tredje år og utgir inkrementelle oppdateringer gjennom året, og legger til enda mer dynamisk kompleksitet.
Trinnvis guide TIL PCI DSS v3. 2. 1 samsvar
det første trinnet i å oppnå PCI-samsvar er å vite hvilke krav som gjelder for organisasjonen. DET er fire FORSKJELLIGE PCI-samsvarsnivåer, vanligvis basert på volumet av kredittkorttransaksjoner forretningsprosessene dine i løpet av en 12-måneders periode.
Gjelder for | Krav | |
Nivå 1 |
|
|
Nivå 2 | Organisasjoner som behandler 1-6 millioner transaksjoner årlig |
|
Nivå 3 |
|
|
Nivå 4 |
|
For Nivå 2-4 er det forskjellige SAQ-typer avhengig av betalingsintegrasjonsmetoden din. Her er et kort bord:
SAQ | Beskrivelse |
A |
Kort-ikke-eksisterende forhandlere (e-handel eller post/telefon-ordre), som har fullt outsourcet alle kortholderdatafunksjoner TIL PCI DSS-kompatible tredjeparts tjenesteleverandører, uten elektronisk lagring, behandling eller overføring av kortholderdata på forhandlerens systemer eller lokaler. gjelder ikke for ansikt-til-ansikt-kanaler. |
A-EP |
E-handelsforhandlere som outsourcer all betalingsbehandling til PCI DSS-validerte tredjeparter, og som har et nettsted (er) som ikke direkte mottar kortholderdata, men som kan påvirke sikkerheten til betalingstransaksjonen. Ingen elektronisk lagring, behandling eller overføring av kortinnehaverdata på forhandlerens systemer eller lokaler. Gjelder bare for e-handelskanaler. |
B |
Selgere som bare bruker:
gjelder Ikke for e-handelskanaler. |
B-IP |
Forhandlere som bare bruker frittstående, PTS-godkjente betalingsterminaler med IP-tilkobling til betalingsprosessoren uten lagring av elektronisk kortinnehaverdata. gjelder Ikke for e-handelskanaler. |
C-VT |
Selgere som manuelt angir en enkelt transaksjon om gangen via et tastatur til En internett-basert, virtuell betalingsterminal løsning som leveres og driftes AV EN PCI DSS validert tredjeparts tjenesteleverandør. Ingen elektronisk kortholder datalagring. gjelder Ikke for e-handelskanaler. |
C |
Forhandlere med betalingsapplikasjonssystemer koblet Til Internett, ingen datalagring for elektronisk kortholder. gjelder Ikke for e-handelskanaler. |
P2PE |
Selgere som bare bruker maskinvarebetalingsterminaler som er inkludert i OG administrert via en validert, PCI SSC-oppført Punkt-Til-Punkt-Kryptering (P2PE) – løsning, uten elektronisk datalagring for kortinnehaveren. gjelder Ikke for e-handel selgere. |
D |
SAQ D For Selgere: Alle selgere er ikke inkludert i beskrivelser for DE OVENNEVNTE saq-typene. SAQ d For Tjenesteleverandører: alle tjenesteleverandører definert av et betalingsmiddel som kvalifisert til å fullføre EN SAQ. |
hvis du vil velge SAQ-og Attestasjonsdokumentene som passer best for organisasjonen, kan flytskjemaet på side 18 i DETTE PCI-dokumentet hjelpe.
PCI dss-kravene endres over tid, så en av de beste måtene å få oppdateringer om nye eller endrede sertifiseringskrav og hvordan du møter dem, er å bli EN PCI-Deltakende Organisasjon (PO).
Kart datastrømmene
Før du kan beskytte sensitive kredittkortdata, må du vite hvor den bor og hvordan den kommer dit. Du vil opprette et omfattende kart over systemer, nettverkstilkoblinger og programmer som samhandler med kredittkortdata på tvers av organisasjonen. Avhengig av rollen din, må du sannsynligvis jobbe MED IT-og sikkerhetsteamet ditt for å gjøre dette.
- identifiser først hvert forbrukerområde i virksomheten som involverer betalingstransaksjoner. Du kan for eksempel godta betalinger via en online handlekurv, betalingsterminaler i butikken eller bestillinger som er plassert over telefonen.
- neste, finne de ulike måtene kortinnehaver data håndteres i hele virksomheten. Det er viktig å vite nøyaktig hvor dataene er lagret og hvem som har tilgang til det.
- identifiser deretter de interne systemene eller underliggende teknologiene som berører betalingstransaksjoner. Dette inkluderer nettverkssystemer, datasentre og skymiljøer.
Kontroller sikkerhetskontroller og protokoller
når du har kartlagt alle potensielle kontaktpunkter for kredittkortdata på tvers av organisasjonen, kan DU samarbeide MED IT – og sikkerhetsteam for å sikre at de riktige sikkerhetskonfigurasjonene og protokollene er på plass (se listen over 12 sikkerhetskrav for PCI dss ovenfor). Disse protokollene er utformet for å sikre overføring av data, som Transport Layer Security (Tls).
DE 12 sikkerhetskravene FOR PCI DSS v3.2. 1 stammer fra beste praksis for å beskytte sensitive data for enhver bedrift. Flere overlapper med DE som kreves for Å oppfylle GDPR, HIPAA og andre personvernmandater, så noen av dem kan allerede være på plass i organisasjonen din.
Overvåk og vedlikehold
DET er viktig å merke SEG AT PCI-overholdelse ikke er en engangshendelse. Det er en kontinuerlig prosess for å sikre at virksomheten din forblir kompatibel selv etter hvert som datastrømmer og kontaktpunkter for kunder utvikler seg. Noen kredittkortmerker kan kreve at du sender kvartals-eller årsrapporter, eller fullfører en årlig vurdering på stedet for å validere løpende overholdelse, spesielt hvis du behandler over 6 millioner transaksjoner hvert år.
Håndtering AV PCI-samsvar gjennom hele året (og år etter år) krever ofte støtte og samarbeid på tvers av avdelinger. Hvis dette ikke allerede eksisterer, kan det være verdt å opprette et dedikert team internt for å opprettholde overholdelse. Mens hvert selskap er unikt, vil et godt utgangspunkt for ET» PCI-team » inkludere representasjon fra følgende:
- Sikkerhet: Chief Security Officer (CSO), Chief Information Security Officer (CISO) og deres team sikrer at organisasjonen alltid investerer riktig i de nødvendige datasikkerhets-og personvernressursene og retningslinjene.
- Teknologi / Betalinger: Chief Technology Officer (CTO), VP Of Payments, og deres team sørger for at kjerneverktøy, integrasjoner og infrastruktur forblir kompatible etter hvert som organisasjonens systemer utvikler seg.
- Finans: Finansdirektør (CFO) og deres team sørger for at alle betalingsdatastrømmer regnskapsføres når det gjelder betalingssystemer og partnere.
- Juridisk: Dette teamet kan hjelpe deg med å navigere i DE mange juridiske nyansene AV PCI DSS-overholdelse.
for mer informasjon om den komplekse VERDEN AV PCI-samsvar, gå til PCI Security Standards Council nettsted. Hvis du bare leser denne veiledningen og noen ANDRE PCI-dokumenter, anbefaler vi at du starter med disse: prioritert tilnærming til PCI DSS, saq-instruksjoner og-retningslinjer, VANLIGE SPØRSMÅL om BRUK AV SAQ-kvalifikasjonskriterier for å bestemme krav til vurdering på stedet, OG VANLIGE spørsmål om forpliktelser for selgere som utvikler apper for forbrukerenheter som godtar betalingskortdata.
Hvordan Stripe hjelper organisasjoner med å oppnå OG opprettholde PCI-samsvar
Stripe forenkler PCI-byrden betydelig for selskaper som integrerer Med Checkout, Elements, mobile Sdk – Er og Terminal Sdk-er. Stripe Checkout og Stripe Elements bruker et vertsbasert betalingsfelt for å håndtere alle betalingskortdata, slik at kortinnehaveren legger inn all sensitiv betalingsinformasjon i et betalingsfelt som stammer direkte fra VÅRE PCI DSS-validerte servere. Stripe mobile Og Terminal Sdk-er gjør det også mulig for kortinnehaveren å sende sensitiv betalingsinformasjon direkte til VÅRE PCI DSS-validerte servere.
med sikrere kortakseptmetoder som disse, fyller VI PCI-skjemaet (SAQ) i Stripe-Dashbordet, noe som gjør PCI-validering like enkelt som å klikke på en knapp. For mindre organisasjoner kan dette spare hundrevis av arbeidstimer, for større kan dette spare tusenvis.
For alle våre brukere, uavhengig av integrasjonstype, Fungerer Stripe SOM PCI-advokat og kan hjelpe på noen forskjellige måter.
- vi analyserer integrasjonsmetoden din og gir deg råd om HVILKET PCI-SKJEMA du skal bruke og hvordan du reduserer samsvarsbyrden.
- vi varsler deg på forhånd hvis et økende transaksjonsvolum krever en endring i hvordan du validerer samsvar.
- for store forhandlere (Nivå 1) tilbyr VI EN PCI-pakke som kan redusere PCI-valideringstiden fra måneder til dager. Hvis DU trenger Å jobbe MED EN PCI QSA (fordi du lagrer kredittkortdata eller har en mer kompleks betalingsflyt), er det over 350 SLIKE QSA-selskaper rundt om i verden, og vi kan koble deg til flere revisorer som dypt forstår De forskjellige Stripe-integrasjonsmetodene.
Visas Forhandlernivå | Gjennomsnittlig revisjonstid (årlige estimater) | Gjennomsnittlig revisjonstid med Stripeelementer, Kasse eller Mobil SDK (årlige estimater) |
Nivå 1 | 3-5 måneder | 2-5 dager |
Nivå 2 | 1-3 måneder | 0 dager |
Nivå 3 | 1-3 måneder | 0 dager |
Nivå 4 | 1-3 måneder | 0 dager |
For mer informasjon om Hvordan Stripe hjelper deg med å beskytte kundenes data og OPPNÅ PCI-samsvar, sjekk ut våre dokumenter om integrasjonssikkerhet.
Konklusjon
Vurdering og validering AV PCI-overholdelse skjer vanligvis en gang i året, MEN PCI — overholdelse er ikke en engangshendelse-det er en kontinuerlig og betydelig innsats for vurdering og utbedring. Som et selskap vokser så vil kjernevirksomheten logikk og prosesser, som betyr etterlevelse krav vil utvikle seg også. En internett-bedrift kan for eksempel bestemme seg for å åpne fysiske butikker, gå inn i nye markeder eller starte et kundesupportsenter. Hvis noe nytt innebærer betalingskortdata, er det en god ide å proaktivt sjekke om dette har noen innvirkning på PCI-valideringsmetoden din, og validere PCI-overholdelse etter behov.
PCI-overholdelse hjelper. Det er bare ikke nok.
Overholdelse AV PCI dss-retningslinjene er et nødvendig beskyttelseslag for bedriften din — men det er ikke nok. PCI DSS setter viktige standarder for håndtering og lagring av kortholderdata, men gir i seg selv ikke tilstrekkelig beskyttelse for alle betalingsmiljøer. I stedet, flytte til en tryggere kort aksept metode (Som Stripe Kassa, Elementer Og mobile Sdk-er) er en mye mer effektiv måte å beskytte organisasjonen. Den langvarige fordelen dette gir, er at du ikke trenger å stole på bransjens grunnlinjestandarder eller bekymre deg for den potensielle feilen i sikkerhetskontrollene. Denne tilnærmingen gir smidige bedrifter en måte å redusere et potensielt datainnbrudd på og unngå den emosjonelle, tidkrevende og kostbare historiske tilnærmingen til PCI-validering. For ikke å nevne, en sikrere integrasjonsmetode er pålitelig hver eneste dag hele året.
Tilbake til guider