- سازگاری PCI چیست؟
- نحوه مطابقت با PCI: 12 الزامات
- چگونه از PCI DSS پیروی می کنید؟
- آیا باید مطابق PCI بمانید؟
- مزایای انطباق با PCI
- چه کسی بر انطباق PCI نظارت دارد؟
- چرا نادیده گرفتن انطباق PCI ممکن است برای شما هزینه داشته باشد؟
- اگر انطباق PCI را نادیده بگیرید چه اتفاقی می افتد؟
- با زیر پا گذاشتن قوانین بانک را نشکنید
نادیده گرفتن انطباق با PCI ممکن است بیش از آنچه فکر می کنید برای شما هزینه داشته باشد.
پول مو، مشکلات بیشتر؟ اگر در صنعتی کار می کنید که داده های کارت اعتباری را مدیریت می کند، باید از ابزارهای انطباق امنیتی استفاده کنید. در غیر این صورت، زمانی که انطباق PCI را نادیده می گیرید، ممکن است با مشکلات زیادی مواجه شوید. اما انطباق با PCI دقیقا چیست و چه کسی باید نگران آن باشد؟ ما راهنمای شما را برای پاسخ به تمام سوالات داغ شما گردآوری کرده ایم.
سازگاری PCI چیست؟
انطباق با صنعت کارت پرداخت (PCI) مجموعه ای از مقررات است که برای اطمینان از اینکه صنعت کارت اعتباری به درستی داده های مشتریان را مدیریت و ایمن می کند، تدوین شده است.
قبل از تشکیل PCI در سال 2006، هیچ استاندارد صنعتی مشخصی وجود نداشت که همه شرکتهای کارت اعتباری باید از آن پیروی میکردند، که برای هر شرکتی که با دادههای بزرگ سروکار دارد یک مشکل است.
در سال 2006، Visa، MasterCard، Discover و AMEX شورای استانداردهای امنیتی PCI (PCI SSS) را برای کمک به تنظیم صنعت کارت اعتباری و ایجاد دستورالعملهای عملیاتی واضح برای نحوه استفاده از اطلاعات کارت اعتباری مصرفکننده تأسیس کردند.
قبل از اینکه جلوتر برویم، بیایید به تعاریف سریعی بپردازیم تا به درست نگه داشتن همه چیز کمک کند:
- PCI: صنعت کارت پرداخت، که به عنوان شرکت های اصلی کارت اعتباری شما نیز شناخته می شود
- PCI SSS: شورای استانداردهای امنیتی صنعت کارت پرداخت که مسئول ایجاد مقررات انطباق با PCI است
- DSS: استانداردهای امنیت داده یا مقرراتی که برای هر کسی که باید از PCI پیروی کند وضع شده است
- PCI DSS: استانداردهای امنیت دادههای صنعت کارت پرداخت، روش رایجتری برای ارجاع به استانداردهای تعیینشده برای هر کسی که باید از انطباق PCI پیروی کند.
مانند بسیاری از برنامههای انطباق، PCI در طول سالها شاهد تغییرات متعددی بوده است. آخرین نسخه با نام PCI DSS 3.2 شناخته می شود. اولین بار در سال 2016 معرفی شد و در تاریخ 1 فوریه 2018 به طور رسمی جایگزین نسخه قدیمی PCI شد.
نحوه مطابقت با PCI: 12 الزامات
الزاماتی که PCI SSC برای فروشندگان تعیین می کند به عنوان PCI DSS شناخته می شود. آنها از 12 نقطه انطباق تشکیل شده اند و هر کسی که می خواهد با استانداردهای PCI مطابقت داشته باشد باید از آنها پیروی کند.
چگونه از PCI DSS پیروی می کنید؟
- برای محافظت از داده های دارنده کارت، پیکربندی فایروال را نصب و نگهداری کنید
- از پیش فرض های ارائه شده توسط فروشنده برای رمزهای عبور سیستم استفاده نکنید
- از داده های ذخیره شده دارنده کارت محافظت کنید
- رمزگذاری انتقال داده های دارنده کارت در شبکه های باز و عمومی
- از نرم افزار آنتی ویروس استفاده کنید و به طور مرتب آن را به روز کنید
- توسعه و نگهداری سیستم ها و برنامه های کاربردی ایمن
- محدود ، دسترسی به داده های دارنده کارت توسط نیازهای کسب و کار
- به هر فردی که به رایانه دسترسی دارد یک شناسه منحصر به فرد اختصاص دهید
- دسترسی فیزیکی به داده های دارنده کارت را محدود کنید
- همه دسترسی ها به منابع شبکه و داده های دارنده کارت را ردیابی و نظارت کنید
- سیستم ها و فرآیندهای امنیتی را به طور منظم آزمایش کنید
- سیاستی را حفظ کنید که به امنیت اطلاعات می پردازد
فقط گفتن اینکه از انطباق PCI پیروی می کنید کافی نیست. هر شرکتی موظف است یک بررسی تایید صلاحیت PCI سالانه را تکمیل کند. این نشان می دهد که شما از الزامات نوشته شده پیروی می کنید و هیچ داده مشتری را به خطر نمی اندازید.
تکمیل اعتبار انطباق PCI شامل چندین مرحله است. برای شما خوش شانس است، ما یک چک لیست مفید برای تأیید اعتبار PCI برای آسان تر ، آن گردآوری کرده ایم.
آیا باید مطابق PCI بمانید؟
بله! هر بازرگانی که دادههای کارت اعتباری را پردازش، ذخیره یا ارسال میکند باید با PCI سازگار باشد.
همه شرکتهای اصلی کارت اعتباری توافق کردند که بازرگانان و ارائهدهندگان خدماتی که اطلاعات کارت اعتباری مصرفکننده را مدیریت میکنند باید ثابت کنند که به درستی از آن اطلاعات محافظت میکنند.
این استاندارد برای همه مشاغل صرف نظر از اندازه اعمال می شود. اگر کسبوکاری را اداره میکنید و اطلاعات کارت اعتباری مشتریان را مدیریت میکنید، باید مقررات مطابقت با PCI را رعایت کنید. ممکن است وقت آن رسیده باشد که یک افسر ارشد انطباق را استخدام کنید. هر کسب و کاری در سطح انطباق PCI قرار می گیرد و هر سطح به استاندارد متفاوتی از دشواری انطباق نیاز دارد.
چهار سطح انطباق PCI وجود دارد: سطح 1 برای شرکت های بزرگ سازمانی محفوظ است و سخت ترین الزامات انطباق PCI را دارد. تقریباً تمام مشاغل کوچک تا متوسط در دو سطح پایین طبقه بندی می شوند. این بدان معنا نیست که آنها می توانند آسان تر از شرکت های بزرگتر شرکت کنند. همه به یک اندازه مسئول حفظ انطباق PCI از نظر شورای استانداردهای امنیتی PCI هستند.
اما صبر کنید، آیا این بدان معناست که فروشندگان مستقل باید برنامه انطباق PCI خود را ایجاد کنند؟
احتمالا نه. اکثر فروشندگان مستقل از فروشنده ای مانند Square Payments، Etsy یا PayPal برای انجام تجارت خود استفاده می کنند. اینها به عنوان راه حل های نرم افزاری درگاه پرداخت شناخته می شوند. این پلتفرمها قبلاً مطابق با استانداردهای PCI هستند، به این معنی که هنگام استفاده از پلتفرم آنها، فروش شما تحت پوشش قرار میگیرد.
مزایای انطباق با PCI
- افزایش امنیت: انطباق با PCI از اطلاعات حساس دارنده کارت محافظت می کند و خطر نقض داده ها و کلاهبرداری را کاهش می دهد.
- اعتماد مشتری: مشتریان به احتمال زیاد به شرکت هایی که به انطباق با PCI پایبند هستند اعتماد می کنند زیرا نشان دهنده تعهد به محافظت از اطلاعات پرداخت آنها است. این اعتماد باعث افزایش وفاداری مشتری و افزایش فروش می شود.
- اجتناب از جریمه و جریمه: پیروی از PCI به کسبوکارها کمک میکند از جریمههای سنگین و جریمههای مرتبط با عدم انطباق و نقض دادهها اجتناب کنند.
- حمایت قانونی: انطباق با PCI همچنین به کسب و کارها دفاعی در برابر شکایت های احتمالی در صورت نقض داده ها ارائه می دهد.
- پذیرش جهانی: اتخاذ انطباق با PCI همچنین به شرکتها کمک میکند تا در بازارهای جدیدی که استانداردهای PCI مورد نیاز است، گسترش یابند.
چه کسی بر انطباق PCI نظارت دارد؟
دو نهاد نظارتی بر انطباق PCI نظارت دارند:
- را شورای استانداردهای امنیتی PCI (PCI SSC) که استانداردهای امنیت داده خاص (DSS) را طراحی می کند که برای همه بازرگانان بدون توجه به درآمد و حجم تراکنش کارت اعتباری مورد نیاز است.
- را شرکت های کارت اعتباری Visa، MasterCard، Discover و AMEX، که عواقب نقض انطباق PCI را اعمال می کنند.
اساسا PCI SCC وظیفه طراحی و اجرای استانداردهای انطباق را بر عهده دارد. هر شرکتی که به آنها پایبند نباشد باید با پیامدهایی که توسط خود شرکت های کارت اعتباری تعیین شده است مقابله کند.
چرا نادیده گرفتن انطباق PCI ممکن است برای شما هزینه داشته باشد؟
یک تصور غلط رایج در مورد انطباق PCI این است که طبق قانون الزامی است. این نیست.
ممکن است فکر کنید این بدان معناست که انطباق با PCI اختیاری است، اما اینطور نیست. از آنجایی که همه شرکتهای اصلی کارت اعتباری تصمیم گرفتهاند که رعایت PCI الزامی است، راه اندازی یک تجارت و نادیده گرفتن آن تقریباً غیرممکن است.
اگر انطباق PCI را نادیده بگیرید چه اتفاقی می افتد؟
- جریمه ها: شرکت های کارت اعتباری می توانند جریمه هایی را علیه بانک شما وضع کنند که در ازای آن به تاجر منتقل می شود.
- جریمه های اضافی: بانک شما میتواند علاوه بر جریمههای شرکتهای کارت اعتباری، جریمههای بیشتری را اعمال کند
- نوار قرمز بیشتر: ممکن است شرکت شما از سطح انطباق PCI بالا برود که منجر به قوانین سختگیرانهتر، نظارت نزدیکتر و تشریفات اداری بیشتر میشود.
با زیر پا گذاشتن قوانین بانک را نشکنید
جریمه های نقض انطباق PCI بسته به شدت نقض می تواند از 5000 تا 100000 دلار در ماه متغیر باشد. شما نمی توانید مطابق با PCI را نادیده بگیرید. یا به الزامات پایبند هستید یا همچنان با جریمه های سنگین و قوانین سخت گیرانه تر مورد سیلی قرار می گیرید. در عوض، راه درست را برای سازگاری پیدا کنید.
تلاش برای اطمینان از انطباق بین تیم ها؟ برای تشخیص عدم انطباق و اجرای تغییرات نظارتی، بهترین نرم افزار مدیریت تغییرات نظارتی را بررسی کنید.
این مقاله در ابتدا در سال 2019 منتشر شده است. با اطلاعات جدید به روز شده است.
منبع: https://learn.g2.com/pci-compliance