sedan 2005 har över 11 miljarder konsumentregister äventyrats från över 8 500 dataöverträdelser. Det här är de senaste siffrorna från Clearinghouse för integritetsrättigheter, som rapporterar om dataintrång och säkerhetsbrott som påverkar konsumenterna från 2005.
för att förbättra säkerheten för konsumentdata och förtroendet för betalningsekosystemet skapades en minimistandard för datasäkerhet. Visa, Mastercard, American Express, Discover och JCB bildade Payment Card Industry Security Standards Council (PCI SSC) 2006 för att administrera och hantera säkerhetsstandarder för företag som hanterar kreditkortsdata. Innan PCI SSC grundades hade dessa fem kreditkortsföretag alla sina egna säkerhetsstandardprogram-var och en med ungefär liknande krav och mål. De gick samman genom PCI SSC för att anpassa sig till en standardpolicy, PCI Data Security Standards (känd som PCI DSS) för att säkerställa en grundläggande skyddsnivå för konsumenter och banker i Internet-eran.
- att förstå PCI DSS kan vara komplicerat och utmanande
- översikt över PCI Data Security Standard (PCI DSS)
- hantering av kortdata
- lagra data säkert
- årlig validering
- bygga och underhålla ett säkert nätverk och system
- skydda kortinnehavarens data
- behåll ett sårbarhetshanteringsprogram
- implementera starka åtkomstkontrollåtgärder
- regelbundet övervaka och testa nätverk
- upprätthålla en informationssäkerhetspolicy
- steg för steg guide till PCI DSS v3.2.1 compliance
- Kartlägg dina dataflöden
- kontrollera säkerhetskontroller och protokoll
- övervaka och underhålla
- hur Stripe hjälper organisationer att uppnå och upprätthålla PCI-efterlevnad
- slutsats
- PCI-överensstämmelse hjälper. Det räcker inte.
att förstå PCI DSS kan vara komplicerat och utmanande
om din affärsmodell kräver att du hanterar kortdata kan du behöva uppfylla var och en av de 300+ säkerhetskontrollerna i PCI DSS. Det finns över 1800 sidor med officiell dokumentation, publicerad av PCI-rådet, om PCI DSS och över 300 sidor bara för att förstå vilka formulär som ska användas vid validering av överensstämmelse. Detta skulle ta över 72 timmar bara att läsa.
för att underlätta denna börda är följande en stegvis guide för att validera och upprätthålla PCI-överensstämmelse.
översikt över PCI Data Security Standard (PCI DSS)
PCI DSS är den globala säkerhetsstandarden för alla enheter som lagrar, bearbetar eller överför kortinnehavardata och/eller känsliga autentiseringsdata. PCI DSS sätter en grundläggande skyddsnivå för konsumenterna och hjälper till att minska bedrägerier och dataintrång i hela betalningsekosystemet. Det är tillämpligt på alla organisationer som accepterar eller behandlar betalkort.
PCI DSS-överensstämmelse innebär 3 huvud saker:
- hantering av inmatning av kreditkortsdata från kunder, nämligen att känsliga kortuppgifter samlas in och överförs säkert
- lagring av data säkert, vilket beskrivs i de 12 säkerhetsdomänerna i PCI-standarden, såsom kryptering, pågående övervakning och säkerhetstestning av åtkomst till kortdata
- validerar årligen att de nödvändiga säkerhetskontrollerna är på plats, vilket kan inkludera formulär, frågeformulär, externa sårbarhetsskanningstjänster och 3: e parts revisioner (se steg för steg guide nedan för en tabell med de fyra nivåerna av krav)
hantering av kortdata
vissa affärsmodeller kräver direkt hantering av känsliga kreditkortsuppgifter när de accepterar betalningar, medan andra inte gör det. Företag som behöver hantera kortdata (t.ex. Acceptera otokeniserade kokkärl på en betalningssida) kan krävas för att uppfylla var och en av de 300+ säkerhetskontrollerna i PCI DSS. Även om kortdata bara passerar sina servrar för ett kort ögonblick, skulle företaget behöva köpa, implementera och underhålla säkerhetsprogramvara och hårdvara.
om ett företag inte behöver hantera känsliga kreditkortsuppgifter, det bör inte. tredjepartslösningar (t.ex. Stripe element) säkert acceptera och lagra data, vispa bort avsevärd komplexitet, kostnad och risk. Eftersom kortdata aldrig berör sina servrar, skulle företaget bara behöva bekräfta 22 säkerhetskontroller, varav de flesta är enkla, till exempel att använda starka lösenord.
lagra data säkert
om en organisation hanterar eller lagrar kreditkortsdata måste den definiera omfattningen av sin kortinnehavardatamiljö (CDE). PCI DSS definierar CDE som de människor, processer och tekniker som lagrar, bearbetar eller överför kreditkortsdata—eller något system som är anslutet till det. Eftersom alla 300 + säkerhetskrav i PCI DSS gäller för CDE är det viktigt att segmentera betalningsmiljön ordentligt från resten av verksamheten för att begränsa omfattningen av PCI-validering. Om en organisation inte kan innehålla CDE-omfattningen med granulär segmentering, skulle PCI-säkerhetskontrollerna gälla för alla system, bärbara datorer och enheter i företagets nätverk. Usch!
årlig validering
oavsett hur kortdata accepteras måste organisationer fylla i ett PCI-valideringsformulär årligen. Hur PCI-överensstämmelse valideras beror på ett antal faktorer, som beskrivs nedan. Här är 3 scenarier där en organisation kan bli ombedd att visa att den är PCI-kompatibel:
- betalningsprocessorer kan begära det som en del av deras obligatoriska rapportering till betalkortsvarumärkena
- affärspartners kan begära det som en förutsättning för att ingå affärsavtal
- för plattformsföretag (de vars teknik underlättar onlinetransaktioner mellan flera olika uppsättningar användare) kan kunder begära det för att visa sina kunder att de hanterar data säkert
den senaste uppsättningen av säkerhetslösningar standarder, PCI DSS version 3.2.1, innehåller 12 huvudkrav med över 300 underkrav som speglar bästa praxis för säkerhet.
- installera och underhålla en brandvägskonfiguration för att skydda kortinnehavarens data
- använd inte leverantörslevererade standardvärden för systemlösenord och andra säkerhetsparametrar
- skydda lagrade kortinnehavarens data
- kryptera överföring av kortinnehavardata över öppna eller offentliga nätverk
- skydda alla system mot skadlig kod och uppdatera regelbundet antivirusprogram
- utveckla och underhålla säkert system och applikationer
- begränsa åtkomst till kortinnehavarens data av företag behöver veta
- identifiera och autentisera åtkomst till systemkomponenter
- begränsa fysisk åtkomst till kortinnehavarens data
- spåra och övervaka all åtkomst till nätverksresurser och kortinnehavarens data
- regelbundet testa säkerhetssystem och processer
- upprätthålla en policy som behandlar informationssäkerhet för alla personal
bygga och underhålla ett säkert nätverk och system
skydda kortinnehavarens data
behåll ett sårbarhetshanteringsprogram
implementera starka åtkomstkontrollåtgärder
regelbundet övervaka och testa nätverk
upprätthålla en informationssäkerhetspolicy
för att göra det” lättare ” för nya företag att validera PCI-efterlevnad skapade PCI-rådet nio olika former eller Självbedömningsfrågeformulär (Saqs) som är en delmängd av hela PCI DSS-kravet. Tricket är att ta reda på vilket som är tillämpligt eller om det är nödvändigt att anställa en PCI-godkänd revisor för att verifiera att varje PCI DSS-säkerhetskrav har uppfyllts. Dessutom reviderar PCI-rådet reglerna vart tredje år och släpper inkrementella uppdateringar under hela året, vilket ger ännu mer dynamisk komplexitet.
steg för steg guide till PCI DSS v3.2.1 compliance
det första steget för att uppnå PCI compliance är att veta vilka krav som gäller för din organisation. Det finns fyra olika PCI-efterlevnadsnivåer, vanligtvis baserat på volymen av kreditkortstransaktioner dina affärsprocesser under en 12-månadersperiod.
gäller | krav | |
Nivå 1 |
|
|
nivå 2 | organisationer som bearbetar mellan 1-6 miljoner transaktioner årligen |
|
nivå 3 |
|
|
Nivå 4 |
|
för nivå 2-4 finns det olika SAQ-typer beroende på din betalningsintegrationsmetod. Här är ett kort bord:
SAQ | beskrivning |
a |
kort-inte-närvarande handlare (e-handel eller post/telefon-order), som helt har outsourcat alla kortinnehavarens datafunktioner till PCI DSS-kompatibla tredjepartsleverantörer, utan elektronisk lagring, bearbetning eller överföring av kortinnehavarens data på handlarens system eller lokaler. Ej tillämpligt på kanaler ansikte mot ansikte. |
A-EP |
e-handelshandlare som lägger ut all betalningsbehandling till PCI DSS-validerade tredje parter och som har en webbplats(er) som inte direkt tar emot kortinnehavardata men som kan påverka betalningstransaktionens säkerhet. Ingen elektronisk lagring, bearbetning eller överföring av kortinnehavardata på handlarens system eller lokaler. gäller endast för e-handelskanaler. |
B |
köpmän som endast använder:
gäller inte för e-handelskanaler. |
B-IP |
Handlare som endast använder fristående, PTS-godkända betalningsterminaler med en IP-anslutning till betalningsprocessorn utan elektronisk lagring av kortinnehavarens data. gäller inte för e-handelskanaler. |
C-VT |
Handlare som manuellt skriver in en enda transaktion i taget via ett tangentbord i en internetbaserad, virtuell betalningsterminallösning som tillhandahålls och är värd av en PCI DSS-validerad tredjepartsleverantör. Ingen elektronisk kortinnehavare datalagring. gäller inte för e-handelskanaler. |
C |
Handlare med betalningsapplikationssystem anslutna till Internet, ingen elektronisk kortinnehavare datalagring. gäller inte för e-handelskanaler. |
P2pe |
Handlare som endast använder betalningsterminaler för hårdvara som ingår i och hanteras via en validerad, PCI SSC-listad punkt-till-punkt-krypteringslösning (P2PE), utan elektronisk kortinnehavardatalagring. gäller inte för e-handelshandlare. |
D |
SAQ D för handlare: alla handlare som inte ingår i beskrivningarna för ovanstående SAQ-typer. SAQ D för tjänsteleverantörer: alla tjänsteleverantörer som definieras av ett betalningsmärke som berättigade att slutföra en SAQ. |
för att välja de SAQ-och certifieringsdokument som bäst gäller för din organisation kan flödesschemat på sidan 18 i detta PCI-dokument hjälpa till.
PCI DSS-kraven förändras över tiden, så ett av de bästa sätten att få uppdateringar om nya eller förändrade certifieringskrav och hur man möter dem är att bli en PCI-deltagande organisation (PO).
Kartlägg dina dataflöden
innan du kan skydda känsliga kreditkortsdata måste du veta var den bor och hur den kommer dit. Du vill skapa en omfattande karta över system, nätverksanslutningar och applikationer som interagerar med kreditkortsdata i hela organisationen. Beroende på din roll måste du förmodligen arbeta med ditt IT-och säkerhetsteam(er) för att göra detta.
- identifiera först varje konsumentområde i verksamheten som involverar betalningstransaktioner. Du kan till exempel acceptera betalningar via en online-kundvagn, betalningsterminaler i butiken eller beställningar som görs via telefon.
- nästa, precisera de olika sätt kortinnehavare data hanteras i hela verksamheten. Det är viktigt att veta exakt var data lagras och vem som har tillgång till den.
- identifiera sedan de interna systemen eller underliggande tekniker som berör betalningstransaktioner. Detta inkluderar dina nätverkssystem, datacenter och molnmiljöer.
kontrollera säkerhetskontroller och protokoll
när du har kartlagt alla potentiella kontaktpunkter för kreditkortsdata i din organisation, arbeta med IT-och säkerhetsteam för att säkerställa att rätt säkerhetskonfigurationer och protokoll finns på plats (se listan över 12 säkerhetskrav för PCI DSS ovan). Dessa protokoll är utformade för att säkerställa överföring av data, som Transport Layer Security (TLS).
de 12 säkerhetskraven för PCI DSS v3.2. 1 härrör från bästa praxis för att skydda känsliga data för alla företag. Flera överlappningar med de som krävs för att uppfylla GDPR, HIPAA och andra integritetsmandat, så några av dem kan redan finnas på plats i din organisation.
övervaka och underhålla
det är viktigt att notera att PCI-överensstämmelse inte är en engångshändelse. Det är en pågående process för att säkerställa att ditt företag förblir kompatibelt även när dataflöden och kundkontaktpunkter utvecklas. Vissa kreditkortsvarumärken kan kräva att du lämnar kvartals-eller årsrapporter eller genomför en årlig bedömning på plats för att validera löpande efterlevnad, särskilt om du behandlar över 6 miljoner transaktioner varje år.
hantering av PCI-efterlevnad under hela året (och år Över år) kräver ofta stöd och samarbete mellan avdelningar. Om detta inte redan finns kan det vara värt att skapa ett dedikerat team internt för att korrekt upprätthålla efterlevnad. Medan varje företag är unikt, skulle en bra utgångspunkt för ett ”PCI-team” inkludera representation från följande:
- säkerhet: Chief Security Officer (CSO), Chief Information Security Officer (CISO) och deras team säkerställer att organisationen alltid investerar ordentligt i nödvändiga resurser och policyer för datasäkerhet och integritet.
- teknik / betalningar: Chief Technology Officer( CTO), VP of Payments och deras team ser till att kärnverktyg, integrationer och infrastruktur förblir kompatibla när organisationens system utvecklas.
- Finans: Chief Financial Officer (CFO) och deras team säkerställer att alla betalningsdataflöden redovisas när det gäller betalningssystem och partners.
- Legal: det här teamet kan hjälpa till att navigera i de många juridiska nyanserna i PCI DSS-efterlevnad.
för mer information om den komplexa världen av PCI-efterlevnad, gå till webbplatsen PCI Security Standards Council. Om du bara läser den här guiden och några andra PCI-dokument rekommenderar vi att du börjar med dessa: prioriterat tillvägagångssätt för PCI DSS, SAQ-instruktioner och riktlinjer, vanliga frågor om att använda SAQ-behörighetskriterier för att bestämma utvärderingskrav på plats och vanliga frågor om skyldigheter för handlare som utvecklar appar för konsumentenheter som accepterar betalkortsdata.
hur Stripe hjälper organisationer att uppnå och upprätthålla PCI-efterlevnad
Stripe förenklar PCI-bördan avsevärt för företag som integrerar med Checkout, Elements, mobile SDK och Terminal SDK. Stripe Checkout och Stripe-element använder ett värdbetalningsfält för hantering av alla betalkortsdata, så kortinnehavaren anger all känslig betalningsinformation i ett betalningsfält som kommer direkt från våra PCI DSS-validerade servrar. Stripe mobile och Terminal SDK gör det också möjligt för kortinnehavaren att skicka känslig betalningsinformation direkt till våra PCI DSS-validerade servrar.
med säkrare kortacceptansmetoder som dessa fyller vi PCI-formuläret (SAQ) i Stripe-instrumentpanelen, vilket gör PCI-validering lika enkelt som att klicka på en knapp. För mindre organisationer kan detta spara hundratals timmar av arbete, för större kan detta spara tusentals.
för alla våra användare, oavsett integrationstyp, fungerar Stripe som en PCI-förespråkare och kan hjälpa till på några olika sätt.
- vi analyserar din integrationsmetod och ger dig råd om vilket PCI-formulär du ska använda och hur du kan minska din efterlevnadsbörda.
- Vi meddelar dig i förväg om en växande transaktionsvolym kommer att kräva en förändring i hur du validerar efterlevnad.
- för stora handlare (Nivå 1) tillhandahåller vi ett PCI-paket som kan minska PCI-valideringstiden från månader till dagar. Om du behöver arbeta med en PCI QSA (eftersom du lagrar kreditkortsdata eller har ett mer komplext betalningsflöde) finns det över 350 sådana QSA-företag runt om i världen, och vi kan ansluta dig till flera revisorer som djupt förstår de olika Stripe-integrationsmetoderna.
Visa ’ S Merchant Level | Genomsnittlig revisionstid (årliga uppskattningar) | Genomsnittlig revisionstid med Stripe-element, kassa eller mobil SDK (årliga uppskattningar) |
Nivå 1 | 3-5 månader | 2-5 dagar |
nivå 2 | 1-3 månader | 0 dagar |
nivå 3 | 1-3 månader | 0 dagar |
Nivå 4 | 1-3 månader | 0 dagar |
för mer information om hur Stripe hjälper dig att skydda din kundernas data och uppnå PCI-efterlevnad, kolla in våra dokument om integrationssäkerhet.
slutsats
bedömning och validering av PCI-överensstämmelse sker vanligtvis en gång om året, men PCI — överensstämmelse är inte en engångshändelse-det är en kontinuerlig och betydande ansträngning för bedömning och sanering. När ett företag växer så kommer kärnverksamheten logik och processer, vilket innebär att kraven kommer att utvecklas samt. En online-verksamhet kan till exempel besluta att öppna fysiska butiker, gå in på nya marknader eller starta ett kundsupportcenter. Om något nytt involverar betalkortsdata är det bra att proaktivt kontrollera om detta har någon inverkan på din PCI-valideringsmetod och validera PCI-efterlevnaden efter behov.
PCI-överensstämmelse hjälper. Det räcker inte.
att följa PCI DSS-riktlinjerna är ett nödvändigt skyddslager för ditt företag — men det räcker inte. PCI DSS sätter viktiga standarder för hantering och lagring av kortinnehavardata, men i sig ger inte tillräckligt skydd för varje betalningsmiljö. Istället är det ett mycket effektivare sätt att skydda din organisation att flytta till en säkrare kortacceptansmetod (som Stripe Checkout, Elements och mobila SDK: er). Den långvariga fördelen som detta ger är att du inte behöver lita på branschstandarder eller oroa dig för det potentiella felet i säkerhetskontrollerna. Detta tillvägagångssätt ger smidiga företag ett sätt att mildra ett potentiellt dataintrång och undvika det emotionella, tidskrävande och kostsamma historiska tillvägagångssättet för PCI-validering. För att inte tala om, en säkrare integrationsmetod är pålitlig varje dag på året.
tillbaka till guider