Kako vaši napori za usaglašenost sa PCI na kraju mogu uštedeti vaš poslovni novac?
Bez obzira ne veličinu preduzeća nijedan sistem nije u potpunosti imun na sajber kriminal. Prevare koje su rezultat ukradenih podataka platnih kartica iscrpljuje kompanije milijarde evra svake godine. Ukoliko i Vi poslujete odnosno, prihvatate, čuvate ili prenosite podatke o vlasnicima platnih kartica morate se pridržavati PCI zahteva. Iako Vam usaglašenost sa zahtevima PCI može izgledati kao dodatni, nepotreban posao, koji odvlači fokus sa vođenja Vašeg poslovanja, to je neophodna mera koju je potrebno sprovoditi kako biste zaštitili sebe i svoje korisnike od neprocenjive štete koju može imati ugrožavanje podataka.
Jednostavan način primene kartica, rasprostranjenost bankomata i POS terminala, doveo je do masovne ekspanzije ovakvog načina plaćanja. Ovu ekspanziju pratio je i period definisanja i usaglašavanja raznih bezbednosnih standarda koji propisuju način čuvanja i zaštite podataka koji se koriste tokom realizacije plaćanja putem kartica. Ovime se podrazumevaju svi učesnici u kartičnom procesu od e-komerca trgovaca do banke kao i dobavljača koji pružaju tehničku podršku ovakvim instituacijama.
- godine pokrenut je Savet za bezbednosne standarde industrije platnih kartica (PCI SSC). Savet https://www.pcisecuritystandards.org/ je nezavisno telo koje su osnovali glavni brendovi platnih kartica (Visa, MasterCard, American Ekpress, Discover i JCB) i on upravlja i administrira sa PCI DSS. Međutim, za sprovođenje usklađenosti odgovorni su brendovi, a ne PCI savet kako se obično smatra.
Nivoi usklađenosti sa PCI DSS
Usklađenost sa PCI DSS podeljena je u 4 nivoa u zavisnoti od godišnjeg broja transakcija platnim karticama koje poslovni procesi obavljaju. Nivoi zapravo određuju šta ogranizacija treba da uradi kako bi postigla usaglašenost.
Nivo 1 odnosi se na trgovce koji godišnje obrađuju više od šest miliona transakcija sa kreditnim ili debitnim karticama. Sprovode ih ovlašćeni auditori PCI-DSS-a i oni moraju proći interni audit jednom godišnje. Takođe, jednom kvartalno moraju se podvrgnuti PCI skeniranju od strane odobrenog dobavljača za skeniranje ranjivosti (ASV-Approved Scanning Vendor);
Nivo 2 se primenjuje na trgovce koji obrađuju između jedne i šest miliona transakcija platnim karticama godišnje. Neophodno je da sprovode jednom godišnje procenu, korišćenjem Upitnika za samoprocenu (SAQ). Može biti potrebno i kvartalno PCI-DSS skeniranje od strane odobrenog dobavljača za skeniranje ranjivosti.
Nivo 3 odnosi se na trgovce koji obrađuju između 20.000 i milion transakcija godišnje. U ovom slučaju je neophodno uraditi godišnju procenu koristeći relevantni SAQ i po potrebi tromesečno skeniranje ranjivosti PCI-DSS-a;
Nivo 4 primenjuje se na trgovce koji obrađuju manje od 20.000 transakcija e-trgovine godišnje ili na one koji obrađuju do milion transakcija. Mora se izvršiti godišnja procena pomoću odgovarajućeg SAQ-a, a u nekim slučajevima može biti neophodno i tromesečno skeniranje PCI-DSS-a od strane odobrenog dobavljača za skeniranje ranjivosti.
PCI DSS zahtevi
Na osnovu pozitivnih iskustava zaštite podataka na inforamcionim sistemima Savet za bezbednosne standarde je definisao 6 grupa zahteva:
- Izgraditi i održavati bezbednu mrežu
- Zaštita podataka o korisnicima kartica
- Održavati program upravljanja ranjivostima
- Uvesti jake mere kontrole pristupa
- Regularno nadgledati i testirati mrežu
- Održavati mere informatičke bezbednosti
Benefiti koje ostvarujete usklađenošću sa zahtevima PCI DSS:
- Poboljšana bezbednost informacija
- Bolji odnosi sa klijentima i drugim zainteresovanim stranama odnosno uživanje njihovog većeg poverenja
- Sprečavanje novčanih kazni i penala
- Dokaz da su Vaše bezbednosne prakse u skladu sa globalnim standardima
PCI DSS postoji radi određivanja pravila u finansijskim institucijama i kao minimalni standard za industriju obrade plaćanja i obezbeđuje da platni sistem bude jači i bolje zaštićen od ugrožavanja podataka, koje mogu rezultirati prevarama u plaćanju karticama. Preduzimanjem preventivnih mera za bolju zaštitu vašeg poslovanja, uštedećete sebi vreme i novac.
Ukoliko želite da ostvarite usklađenost sa PCI DSS možete nam poslati zahtev za ponudu sa Vašim osnovnim podacima kako bismo što brže mogli odgovoriti na Vaš upit i spojiti Vas sa odgovarajućom osobom.