Stripe logo

din 2005, peste 11 miliarde de înregistrări ale consumatorilor au fost compromise din peste 8.500 de încălcări ale datelor. Acestea sunt cele mai recente numere de la Privacy Rights Clearinghouse, care raportează despre încălcările datelor și încălcările de securitate care afectează consumatorii, datând din 2005.

pentru a îmbunătăți siguranța datelor consumatorilor și încrederea în ecosistemul de plăți, a fost creat un standard minim pentru securitatea datelor. Visa, Mastercard, American Express, Discover și JCB au format Consiliul Standardelor de securitate pentru industria cardurilor de plată (PCI SSC) în 2006 pentru a administra și gestiona standardele de securitate pentru companiile care gestionează datele cardului de credit. Înainte de înființarea PCI SSC, aceste cinci companii de carduri de credit aveau toate propriile programe de standarde de securitate—fiecare cu cerințe și obiective aproximativ similare. Ei s-au unit prin PCI SSC pentru a alinia o politică standard, standardele de securitate a datelor PCI (cunoscute sub numele de PCI DSS) pentru a asigura un nivel de bază de protecție pentru consumatori și bănci în era internetului.

înțelegerea PCI DSS poate fi complexă și provocatoare

dacă modelul dvs. de afaceri vă cere să gestionați datele cardului, este posibil să vi se solicite să îndepliniți fiecare dintre cele peste 300 de controale de securitate din PCI DSS. Există peste 1.800 de pagini de documentație oficială, publicate de Consiliul PCI, despre PCI DSS și peste 300 de pagini doar pentru a înțelege ce formular(e) să utilizați la validarea conformității. Acest lucru ar dura peste 72 de ore doar pentru a citi.

pentru a ușura această povară, următorul este un ghid pas cu pas pentru validarea și menținerea conformității PCI.

Prezentare generală a PCI Data Security Standard (PCI DSS)

PCI DSS este standardul global de securitate pentru toate entitățile care stochează, procesează sau transmit date ale deținătorului cardului și/sau date sensibile de autentificare. PCI DSS stabilește un nivel de bază de protecție pentru consumatori și ajută la reducerea fraudei și a încălcărilor de date în întregul ecosistem de plăți. Se aplică oricărei organizații care acceptă sau procesează carduri de plată.

conformitatea PCI DSS implică 3 lucruri principale:

  1. gestionarea pătrunderii datelor cardului de credit de la clienți, și anume, că detaliile sensibile ale cardului sunt colectate și transmise în siguranță
  2. stocarea datelor în siguranță, care este prezentată în cele 12 domenii de securitate ale standardului PCI, cum ar fi criptarea, monitorizarea continuă și testarea de securitate a accesului la datele cardului
  3. validarea anuală a faptului că există controalele de securitate necesare, care pot include formulare, chestionare, servicii externe de scanare a vulnerabilităților și audituri 3rd party (consultați ghidul pas cu pas de mai jos pentru un tabel cu cele patru niveluri de cerințe)

manipularea datelor cardului

unele modele de afaceri necesită manipularea directă a datelor sensibile ale cardului de credit atunci când acceptă plăți, în timp ce altele nu. Companiile care au nevoie să gestioneze datele cardului (de exemplu, acceptarea tigăilor neconfirmate pe o pagină de plată) pot fi obligate să îndeplinească fiecare dintre cele peste 300 de controale de securitate din PCI DSS. Chiar dacă datele cardului își traversează serverele doar pentru un moment scurt, compania ar trebui să achiziționeze, să implementeze și să întrețină software și hardware de securitate.

dacă o companie nu are nevoie să gestioneze datele sensibile ale cardului de credit, nu ar trebui. soluțiile terților (de exemplu, elementele Stripe) acceptă și stochează în siguranță datele, eliminând complexitatea, costul și riscul considerabil. Deoarece datele cardului nu ating niciodată serverele sale, compania ar trebui să confirme doar 22 de controale de securitate, dintre care majoritatea sunt simple, cum ar fi utilizarea parolelor puternice.

stocarea datelor în siguranță

dacă o organizație gestionează sau stochează datele cardului de credit, trebuie să definească domeniul de aplicare al mediului de date al deținătorului cardului (CDE). PCI DSS definește CDE ca persoanele, procesele și tehnologiile care stochează, procesează sau transmit date despre cardul de credit—sau orice sistem conectat la acesta. Deoarece toate cerințele de securitate 300 + din PCI DSS se aplică CDE, este important să segmentați în mod corespunzător mediul de plată de restul afacerii, astfel încât să limitați domeniul de aplicare al validării PCI. Dacă o organizație nu poate conține domeniul CDE cu segmentare granulară, controalele de securitate PCI s-ar aplica apoi fiecărui sistem, laptop și dispozitiv din rețeaua sa corporativă. Yikes!

validare anuală

indiferent de modul în care sunt acceptate datele cardului, organizațiile trebuie să completeze anual un formular de validare PCI. Modul în care conformitatea PCI este validată depinde de o serie de factori, care sunt prezentate mai jos. Iată scenariile 3 în care o organizație ar putea fi rugată să arate că este compatibilă cu PCI:

  • procesatorii de plăți o pot solicita ca parte a raportării necesare către mărcile de carduri de plată
  • partenerii de afaceri o pot solicita ca o condiție prealabilă pentru încheierea de acorduri de afaceri
  • pentru întreprinderile de platformă (Cele a căror tehnologie facilitează tranzacțiile online între mai multe seturi distincte de utilizatori), clienții îi pot solicita să le arate clienților că gestionează datele în siguranță

cel mai recent set de standarde, PCI DSS versiunea 3.2.1, include 12 cerințe principale cu peste 300 de sub-cerințe care reflectă cele mai bune practici de securitate.

    Construiți și mențineți o rețea și sisteme securizate

  1. instalați și mențineți o configurație firewall pentru a proteja datele deținătorului cardului
  2. nu utilizați valorile implicite furnizate de furnizor pentru parolele de sistem și alți parametri de securitate
  3. protejați datele deținătorului cardului

  4. protejați datele stocate ale deținătorului cardului
  5. criptați transmisia a datelor deținătorului cardului în rețele deschise sau publice
  6. menținerea unui program de gestionare a vulnerabilităților

  7. protejarea tuturor sistemelor împotriva programelor malware și actualizarea regulată a software-ului antivirus
  8. dezvoltarea și menținerea securității sisteme și aplicații
  9. punerea în aplicare a unor măsuri puternice de control al accesului

  10. restricționarea accesului la datele deținătorului cardului de afaceri trebuie să știe
  11. identificarea și autentificarea accesului la componentele sistemului
  12. restricționarea accesului fizic la datele deținătorului cardului
  13. monitorizarea și testarea regulată a rețelelor

  14. urmărirea și monitorizarea tuturor accesului la
  15. testați în mod regulat sistemele și procesele de securitate
  16. mențineți o politică de securitate a informațiilor

  17. mențineți o politică care abordează securitatea informațiilor pentru toți personal

pentru a face „mai ușor” pentru noile întreprinderi să valideze conformitatea PCI, Consiliul PCI a creat nouă forme diferite sau chestionare de autoevaluare (SAQ) care sunt un subset al întregii cerințe PCI DSS. Trucul este de a afla care este aplicabil sau dacă este necesar să angajați un auditor aprobat de Consiliul PCI pentru a verifica dacă fiecare cerință de securitate PCI DSS a fost îndeplinită. În plus, Consiliul PCI revizuiește Regulile la fiecare trei ani și lansează actualizări incrementale pe tot parcursul anului, adăugând o complexitate și mai dinamică.

ghid pas cu pas pentru conformitatea PCI DSS v3.2.1

primul pas în realizarea conformității PCI este cunoașterea cerințelor care se aplică organizației dvs. Există patru niveluri diferite de conformitate PCI, de obicei bazate pe volumul tranzacțiilor cu cardul de credit pe care le procesează afacerea dvs. pe o perioadă de 12 luni.

se aplică cerințelor
nivel 1
  1. organizații care procesează anual mai mult de 6 milioane de tranzacții Visa sau MasterCard sau mai mult de 2.5 milioane pentru American Express; sau
  2. au experimentat o încălcare a datelor; sau
  3. sunt considerate „nivelul 1” de către orice asociație de carduri (Visa, Mastercard etc)
  1. raport anual privind conformitatea (ROC) de către un evaluator de securitate calificat—QSA) – cunoscut și sub numele de evaluare la fața locului de nivel 1—sau auditor intern, dacă este semnat de un ofițer al companiei
  2. Scanare trimestrială în rețea de către furnizorul de scanare aprobat (ASV)
  3. atestarea conformității (AOC) pentru evaluările la fața locului–există formulare specifice pentru comercianți
nivelul 2 organizații care procesează între 1-6 milioane de tranzacții anual
  1. chestionar anual de autoevaluare PCI DSS (SAQ)-există 9 tipuri SAQ prezentate pe scurt în tabelul de mai jos
  2. Scanare trimestrială în rețea de către furnizorul de scanare aprobat (ASV)
  3. atestarea conformității (AOC)—fiecare dintre cele 9 SAQ are un formular AOC respectiv
nivel 3
  1. organizații care procesează între 20.000-1 milion de tranzacții online anual
  2. organizații care procesează mai puțin de 1 milion de tranzacții totale anual
nivel 4
  1. organizații care procesează mai puțin de 20.000 de tranzacții online anual; sau
  2. organizații care procesează până la 1 milion de tranzacții totale anual

pentru nivelul 2-4, există diferite tipuri de SAQ în funcție de metoda de integrare a plății. Iată o scurtă masă:

SAQ descriere
a

comercianți care nu sunt prezenți cu cardul (comerț electronic sau Comandă prin poștă/telefon), care au externalizat integral toate funcțiile de date ale deținătorului cardului către furnizori de servicii terți care respectă PCI DSS, fără stocarea, prelucrarea sau transmiterea electronică a oricăror date ale deținătorului cardului în sistemele sau spațiile comerciantului.

nu se aplică canalelor față în față.

a-EP

comercianți de comerț electronic care externalizează toate procesarea plăților către terțe părți validate PCI DSS și care au un site web care nu primește direct datele deținătorului cardului, dar care poate afecta securitatea tranzacției de plată. Nu există stocare, prelucrare sau transmitere electronică a datelor deținătorului cardului în sistemele sau spațiile comerciantului.

se aplică numai canalelor de comerț electronic.

B

comercianți care utilizează numai:

  • mașini de imprimat fără stocare electronică a datelor deținătorului cardului și/sau terminale de tip dial-out independente, fără stocare electronică a datelor deținătorului cardului.

nu se aplică canalelor de comerț electronic.

B-IP

comercianți care utilizează numai terminale de plată independente, aprobate de PTS, cu o conexiune IP la procesatorul de plăți, fără stocare electronică a datelor deținătorului cardului.

nu se aplică canalelor de comerț electronic.

c-VT

comercianți care introduc manual o singură tranzacție la un moment dat prin intermediul unei tastaturi într-o soluție de terminal de plată virtuală bazată pe Internet, care este furnizată și găzduită de un furnizor de servicii terță parte validat PCI DSS. Nu există stocare electronică a datelor deținătorului cardului.

nu se aplică canalelor de comerț electronic.

c

comercianți cu sisteme de aplicații de plată conectate la Internet, fără stocare electronică a datelor titularului cardului.

nu se aplică canalelor de comerț electronic.

P2pe

comercianți care utilizează numai terminale de plată hardware incluse și gestionate printr-o soluție validată, PCI SSC-listată Point-to-Point Encryption (P2PE), fără stocarea electronică a datelor deținătorului cardului.

nu se aplică comercianților de comerț electronic.

D

SAQ D pentru comercianți: toți comercianții care nu sunt incluși în descrierile pentru tipurile SAQ de mai sus.

SAQ D pentru furnizorii de servicii: toți furnizorii de servicii definiți de o marcă de plată ca eligibili pentru a finaliza un SAQ.

pentru a selecta SAQ și documentele de atestare care se aplică cel mai bine organizației dvs., diagrama de flux de la pagina 18 a acestui document PCI vă poate ajuta.

cerințele PCI DSS se schimbă în timp, astfel încât una dintre cele mai bune modalități de a obține actualizări privind cerințele de certificare noi sau în schimbare și cum să le îndepliniți este să deveniți o organizație participantă la PCI (PO).

harta fluxurilor de date

înainte de a putea proteja datele sensibile ale cardului de credit, trebuie să știți unde locuiește și cum ajunge acolo. Veți dori să creați o hartă cuprinzătoare a sistemelor, conexiunilor de rețea și aplicațiilor care interacționează cu datele cardului de credit din întreaga organizație. În funcție de rolul dvs., probabil că va trebui să lucrați cu echipa(echipele) dvs. IT și securitate pentru a face acest lucru.

  • în primul rând, identificați fiecare zonă orientată spre consumator a afacerii care implică tranzacții de plată. De exemplu, puteți accepta plăți printr-un coș de cumpărături online, terminale de plată în magazin sau comenzi plasate prin telefon.
  • apoi, indicați diferitele moduri în care datele deținătorului cardului sunt gestionate în întreaga afacere. Este important să știți exact unde sunt stocate datele și cine are acces la acestea.
  • apoi, identificați sistemele interne sau tehnologiile subiacente care ating tranzacțiile de plată. Aceasta include sistemele de rețea, centrele de date și mediile cloud.

verificați controalele și protocoalele de securitate

după ce cartografiați toate punctele de contact potențiale pentru datele cardului de credit din întreaga organizație, lucrați cu echipele IT și de securitate pentru a vă asigura că configurațiile și protocoalele de securitate corecte sunt în vigoare (consultați lista cu 12 cerințe de securitate pentru PCI DSS de mai sus). Aceste protocoale sunt concepute pentru a asigura transmiterea datelor, cum ar fi Transport Layer Security (TLS).

cele 12 cerințe de securitate pentru PCI DSS v3.2.1 provin din cele mai bune practici pentru protejarea datelor sensibile pentru orice afacere. Mai multe se suprapun cu cele necesare pentru a îndeplini GDPR, HIPAA și alte mandate de confidențialitate, astfel încât câteva dintre ele pot fi deja în vigoare în organizația dvs.

monitorizați și mențineți

este important să rețineți că conformitatea PCI nu este un eveniment unic. Este un proces continuu pentru a vă asigura că afacerea dvs. rămâne conformă chiar și pe măsură ce fluxurile de date și punctele de contact ale clienților evoluează. Unele mărci de carduri de credit vă pot solicita să trimiteți rapoarte trimestriale sau anuale sau să completați o evaluare anuală la fața locului pentru a valida conformitatea continuă, în special dacă procesați peste 6 milioane de tranzacții în fiecare an.

gestionarea conformității PCI pe tot parcursul anului (și de la an la an) necesită adesea sprijin și colaborare între departamente. Dacă acest lucru nu există deja, poate fi util să creați o echipă dedicată intern pentru a menține în mod corespunzător conformitatea. În timp ce fiecare companie este unică, un bun punct de plecare pentru o „echipă PCI” ar include reprezentarea din următoarele:

  • securitate: Chief Security Officer (CSO), Chief Information Security Officer (CISO) și echipele lor se asigură că organizația investește întotdeauna în mod corespunzător în resursele și politicile necesare privind securitatea datelor și confidențialitatea.
  • tehnologie / plăți: Chief Technology Officer (CTO), VP de plăți și echipele lor se asigură că instrumentele de bază, integrările și infrastructura rămân conforme pe măsură ce sistemele organizației evoluează.
  • Finanțe: directorul financiar (CFO) și echipa sa se asigură că toate fluxurile de date de plată sunt contabilizate atunci când vine vorba de sisteme de plată și parteneri.
  • Legal: Această echipă vă poate ajuta să navigați în numeroasele nuanțe legale ale conformității PCI DSS.

pentru mai multe informații despre lumea complexă a conformității PCI, accesați site-ul web al Consiliului standardelor de securitate PCI. Dacă citiți doar acest ghid și alte câteva documente PCI, vă recomandăm să începeți cu acestea: abordare prioritizată pentru PCI DSS, instrucțiuni și linii directoare SAQ, Întrebări frecvente despre utilizarea criteriilor de eligibilitate SAQ pentru a determina cerințele de evaluare la fața locului și Întrebări frecvente despre obligațiile comercianților care dezvoltă aplicații pentru dispozitivele de consum care acceptă datele cardului de plată.

cum Stripe ajută organizațiile să realizeze și să mențină conformitatea PCI

Stripe simplifică semnificativ sarcina PCI pentru companiile care se integrează cu Checkout, elemente, SDK-uri mobile și SDK-uri terminale. Stripe Checkout și Stripe Elements utilizează un câmp de plată găzduit pentru gestionarea tuturor datelor cardului de plată, astfel încât titularul cardului introduce toate informațiile de plată sensibile într-un câmp de plată care provine direct de pe serverele noastre validate PCI DSS. SDK-urile mobile și terminale Stripe permit, de asemenea, titularului cardului să trimită informații sensibile de plată direct către serverele noastre validate PCI DSS.

cu metode mai sigure de acceptare a cardurilor ca acestea, vom popula formularul PCI (SAQ) în tabloul de bord Stripe, făcând validarea PCI la fel de ușoară ca și apăsarea unui buton. Pentru organizațiile mai mici, acest lucru poate salva sute de ore de muncă, pentru cele mai mari, acest lucru poate salva mii.

pentru toți utilizatorii noștri, indiferent de tipul de integrare, Stripe acționează ca un avocat PCI și poate ajuta în câteva moduri diferite.

  • vom analiza metoda dvs. de integrare și vă vom sfătui ce formular PCI să utilizați și cum să reduceți sarcina de conformitate.
  • vă vom notifica din timp dacă un volum de tranzacții în creștere va necesita o modificare a modului în care validați conformitatea.
  • pentru comercianții mari (nivelul 1), oferim un pachet PCI care poate reduce timpul de validare PCI de la luni la zile. Dacă trebuie să lucrați cu un PCI QSA (deoarece stocați datele cardului de credit sau aveți un flux de plată mai complex), există peste 350 de astfel de companii QSA din întreaga lume și vă putem conecta cu mai mulți auditori care înțeleg profund diferitele metode de integrare Stripe.
nivelul de comerciant Visa timpul mediu de audit (estimări anuale) timpul mediu de audit cu elemente Stripe, Checkout sau SDK mobil (estimări anuale)
nivelul 1 3-5 luni 2-5 zile
nivelul 2 1-3 luni 0 zile
nivelul 3 1-3 luni 0 zile
nivelul 4 1-3 luni 0 zile

pentru mai multe informații despre modul în care Stripe vă ajută să vă protejați datele clienților și obținerea conformității PCI, consultați documentele noastre despre securitatea integrării.

concluzie

evaluarea și validarea conformității PCI se întâmplă de obicei o dată pe an, dar conformitatea PCI nu este un eveniment unic-este un efort continuu și substanțial de evaluare și remediere. Pe măsură ce o companie crește, logica și procesele de afaceri de bază vor evolua, ceea ce înseamnă că și cerințele de conformitate vor evolua. O afacere online, de exemplu, poate decide să deschidă magazine fizice, să intre pe noi piețe sau să lanseze un centru de asistență pentru clienți. Dacă ceva nou implică date despre cardul de plată, este o idee bună să verificați proactiv dacă acest lucru are vreun impact asupra metodei dvs. de validare PCI și să validați din nou conformitatea PCI, după cum este necesar.

conformitatea PCI ajută. Nu e suficient.

aderarea la liniile directoare PCI DSS este un strat necesar de protecție pentru afacerea dvs. — dar nu este suficient. PCI DSS stabilește standarde importante pentru manipularea și stocarea datelor deținătorului cardului, dar în sine nu oferă o protecție suficientă pentru fiecare mediu de plată. În schimb, trecerea la o metodă mai sigură de acceptare a cardului (cum ar fi Stripe Checkout, Elements și SDK-uri mobile) este o modalitate mult mai eficientă de a vă proteja organizația. Beneficiul de lungă durată pe care îl oferă acest lucru este că nu trebuie să vă bazați pe standardele de bază ale industriei sau să vă faceți griji cu privire la eșecul potențial al controalelor de securitate. Această abordare oferă companiilor agile o modalitate de a atenua o potențială încălcare a datelor și de a evita abordarea istorică emoțională, consumatoare de timp și costisitoare a validării PCI. Ca să nu mai vorbim, o metodă de integrare mai sigură este fiabilă în fiecare zi a anului.

înapoi la ghiduri

Lasă un răspuns

Adresa ta de email nu va fi publicată.

More: