Čo je audit PCI DSS?

Čo je audit súladu PCA?

Na rozdiel od hodnotenia PCI, ktoré si obchodníci môžu vykonávať sami, audit PCI DSS môže vykonávať iba kvalifikovaný bezpečnostný posudzovateľ (QSA). Ak čelíte auditu, potom ste pravdepodobne veľký obchod, ktorý tak robí dobrovoľne, alebo menší obchodník, ktorý si ho objednal z dôvodu nedávneho porušenia údajov vo vašom obchode. Tieto audity nariaďujú veľké spoločnosti vydávajúce kreditné karty a ich nedodržanie môže mať pre vaše podnikanie strašné následky.

Čítajte ďalej a dozviete sa, čo od takéhoto auditu očakávať a ako sa naň pripraviť.

Hlavné dôvody, prečo sa stať kompatibilným s PCI DSS

PCI DSS odkazuje na štandardy zabezpečenia údajov v odvetví platobných kariet a vyžaduje sa v každom obchode, ktorý akceptuje kreditné karty ako platbu. Týka sa to obchodov, ktoré spracúvajú kreditné karty, ako aj obchodov, ktoré sa obmedzujú na prenos údajov z kariet do platobných brán tretích strán, ako je PayPal a iné.

Dôvod „prečo súlad s PCI“ je dvojaký:

  1. Päť hlavných spoločností vydávajúcich kreditné karty v rade PCI (Visa, MasterCard, American Express, Discover, JCB) tvrdí, že áno.
  2. Obchodníci kompatibilný s PCI sú pri ochrane údajov svojich zákazníkov efektívnejší ako obchodníci, ktorí nie sú v súlade.

Alebo ako tretí argument pre obchodníkov, ktorých prvé dva nepohnuli: PCI DSS pomáha predchádzať narušeniam a porušenia spôsobujú prestoje a stratené príjmy.

Podrobnejší rozpis dodržiavania PCI nájdete v časti Ako Hostinger pomáha vášmu obchodu zostať v súlade s PCI.

Riziká PCI DSS

Len 29 percent spoločností zostáva v súlade s požiadavkami rok po ich počiatočnom overení pretože raz prejdú a potom upadnú do sebauspokojenia.

Čítať:  Ako vykonať filter staroby na TikTok

Ročné hodnotenia sú povinnou súčasťou súladu s PCI pre každého obchodníka bez ohľadu na úroveň. Pre menších obchodníkov sú audity zvyčajne dôsledkom porušenia údajov a poverenia od veľkej spoločnosti vydávajúcej kreditné karty alebo banky.

Môže byť lákavé uvažovať o dôsledkoch nedodržiavania pravidiel alebo len tak naoko. Niektorým sa môže pohoršovať nad tým, čo vnímajú ako škrtenie kreditnej karty v elektronickom obchode. Iní môžu len „mať lepšie veci do činenia s mojím časom, ako je vedenie mojej firmy“.

Čo najhoršie sa môže stať?

Krátka odpoveď je, že nedodržiavaní obchodníci môžu byť porušovaní, môžu byť kontrolovaní, pokutovaní a môžu poškodiť reputáciu svojej značky. Dlhšia odpoveď je, že hoci sa vyžaduje súlad s PCI, je to začiatok bezpečnosti, nie koniec. Považujte to za „minimálny prijateľný štandard“ na zabezpečenie údajov vašich zákazníkov.

Koľko stojí audit PCI?

V priemere, typický PCI audit pre menšieho obchodníka stojí asi 15 000 USD. To pridáva k ďalším faktorom ovplyvňujúcim náklady na certifikáciu PCI DSS, ktoré sa zvyčajne týkajú infraštruktúry a platenia kvalifikovaného personálu za uplatňovanie a udržiavanie najlepších postupov v oblasti bezpečnosti údajov. Aj keď to nie je zanedbateľné, náklady na ignorovanie súladu sú oveľa vyššie.

Okrem etických otázok môže nedodržanie viesť k:

  • Pokuty od spoločností vydávajúcich kreditné karty sa pohybujú medzi 5 000 – 100 000 USD
  • Porušenia bezpečnosti, ktoré často zahŕňajú prestoje na vyriešenie
  • Právne kroky zo strany ohrozených zákazníkov a tretích strán
  • Poškodená povesť a strata dôvery spotrebiteľov
  • Strata príjmov
  • Federálne audity

Pokuty pre obchody, ktoré nie sú v súlade s PCI, môžu byť medzi 5 000 a 100 000 USD. Preto je dôležité, aby ste dodržiavali súlad na 100 % času.

Ako funguje PCI DSS audit?

Ak čelíte blížiacemu sa auditu PCI DSS, potom ste pravdepodobne buď obchodník úrovne 1 s viac ako 6 miliónmi transakcií kreditnými kartami ročne, alebo obchodník s nižšími úrovňami súladu s PCI (2 – 4), ktorý utrpel nedávne údaje. porušenie.

Spoločnosti vydávajúce kreditné karty a banky môžu v dôsledku týchto porušení prísť o peniaze. Ak bol váš obchod narušený, môžu považovať váš obchod za potenciálnu zodpovednosť a zakázať používanie svojej kreditnej karty vo vašom obchode, pokiaľ nepreukážete súlad s PCI absolvovaním auditu. Hlavným cieľom auditu je nájsť nesúlad, poskytnúť návod, ako ho opraviť, a overiť, či ste vyriešili všetky problémy.

Čítať:  Čo sú štruktúrované údaje Schema.org? Ako to môže pomôcť vášmu SEO?

Prvým krokom je nájdenie kvalifikovaného hodnotiteľa bezpečnosti (QSA), ktorý vykoná audit. Iba QSA majú licenciu na vykonávanie auditov, keďže tieto organizácie sú certifikované radou PCI, aby rozumeli svojim štandardom bezpečnosti údajov.

Najjednoduchší spôsob, ako nájsť QSA, je pomocou výberom jedného zo zoznamu na webovej stránke PCI. Ako pri každej inej službe je zvyčajne múdre hovoriť s niekoľkými, pretože nie všetci sú si rovní. Nikdy si nenajímajte spoločnosť, ktorá tvrdí, že je QSA, ak nie je uvedená na zozname PCI; tieto spoločnosti buď outsourcujú vašu požiadavku, alebo vám plánujú predať iné služby.

Akonáhle je audítor na mieste, posúdi viacero oblastí vášho podnikania. Ako by ste mohli očakávať, zahŕňa to dátové prostredie vášho držiteľa karty (CDE), definované ako akékoľvek zariadenie, komponent, sieť alebo aplikácia, ktorá ukladá, spracováva alebo prenáša údaje držiteľa karty. Zahŕňa aj vaše zásady a postupy týkajúce sa používania týchto systémov.

Požiadavky na PCI audit

  • Transparentnosť a spolupráca
  • Dokončený kontrolný zoznam PCI auditu
  • Pochopenie súčasného PCI DSS
  • Vaša vytlačená kópia vašej správy o zhode (ROC) z predchádzajúceho roka
  • Evidencia štvrťročného skenovania a penetračného testovania
  • Dôkaz o pravidelných kontrolách denníka udalostí
  • Dokumentácia o tom, ako riešite zraniteľnosti tretích strán

Pamätajte: úlohou PCI audítora je zabrániť kompromitácii údajov držiteľa karty, nie trestať vašu spoločnosť. Pokiaľ budete spolupracovať a máte právo, audítor vám vysvetlí, kde sa musíte zlepšiť, a pomôže vám to urobiť. Ak chcete tieto zmeny vykonať efektívne, zvážte vymenovanie a súlad vodca v rámci vašej organizácie. Tento jednotlivec preberá zodpovednosť za úsilie o dodržiavanie predpisov, no zároveň by mal mať právomoc vynútiť si zmeny vo vašom tíme.

9 bežných chýb PCI odhalených auditmi PCI

Ak vám na zhode PCI záleží natoľko, aby ste si prečítali tento článok, potom ste na správnej ceste. Nasleduje deväť bežných chýb pre obchodníkov, ktorí prechádzajú auditom, hoci vaše skúsenosti sa môžu líšiť v závislosti od vašich obchodných potrieb a úrovne súladu s PCI.

Čítať:  Čo je súbor Robots.txt a ako ho môžem najlepšie použiť na SEO?

Prenájom poskytovateľa hostingu kompatibilného s PCI, ako je Hostinger, povedie dlhú cestu k predchádzaniu týmto chybám, ale nie je to magická strela. Obchodníci musia tiež urobiť svoju časť, ale väčšina poskytovateľov hostingu vám môže s touto úlohou pomôcť.

Jednoduchý spôsob, ako zvýšiť súlad s PCI, je použitie hostiteľa kompatibilného s PCI, ako je Hostinger.

Pripomenutie: CDE alebo dátové prostredie držiteľa karty sa vzťahuje na akékoľvek zariadenie, komponent, sieť alebo aplikáciu, ktorá ukladá, spracováva alebo prenáša údaje držiteľa karty.

Zbytočné ukladanie údajov o kreditnej karte

Vo všeobecnosti platí, že by ste mali podniknúť všetky rozumné kroky, aby ste sa vyhli ukladaniu údajov o kreditných kartách, a nikdy z akéhokoľvek dôvodu neuchovávajte čísla CVV. Mnohí obchodníci sa rozhodli ukladať údaje, aby urýchlili proces platby svojich zákazníkov bez toho, aby plne rozumeli dôsledkom pre dodržiavanie predpisov. Nebuď jedným z nich.

Neschopnosť oddeliť sieť CDE od ostatnej IT infraštruktúry organizácie

Kľúčová fráza, ktorú si treba zapamätať pri dodržiavaní PCI a prístupe k údajom držiteľov kariet, je „podľa potreby“. Urobte si z toho mantru. To platí viac pre podsiete v rámci vašej organizácie. Keď sa aplikuje na vašu sieť, je známa ako „segmentácia siete“, hoci sa zvyčajne vzťahuje na podsiete v rámci vašej organizácie. Podsiete používané na internú komunikáciu v kancelárii by nemali mať žiadny prístup – priamy ani nepriamy – k podsieťam s prístupom k CDE.

Neobmedzenie prístupu k CDE iba tým zamestnancom, ktorí ho potrebujú

Opäť by ho mali mať iba zamestnanci, ktorí potrebujú prístup. Týka sa to fyzického prístupu k oblastiam, v ktorých sa nachádzajú zariadenia v rámci CDE, ale aj oprávnení a hesiel.

Nedostatočné školenie a povedomie o bezpečnosti

Týka sa to vášho tímu aj vás. Ak zamestnávate tím, zvážte vymenovanie niekoho za Compliance Officera, ktorý prevezme zodpovednosť za školiace úsilie a poskytne mu dostatok právomocí na vykonanie úlohy.

Slabá politika zabezpečenia hesiel

Heslá do akéhokoľvek systému v rámci CDE by mali byť jedinečné, zložité a nikdy by ich nemali zdieľať zamestnanci. Správcovia hesiel ako LastPass, Zoho, 1Password a mnoho ďalších sú neoceniteľní pre bezpečné generovanie a ukladanie zložitých hesiel. Ak váš tím žiadny nepoužíva, je to varovanie pre vaše bezpečnostné postupy. Dvojfaktorová autentifikácia pre akýkoľvek systém CDE je tiež nevyhnutná, či už ide o Google Authenticator, Duo alebo niečo podobné.

Nečakajte, kým vyprší zhoda s PCI, skočte do toho a vykonajte najprv vlastný audit.

Chýba brána firewall webovej aplikácie (WAF)

Firewall webovej aplikácie (WAF) identifikuje a preruší škodlivú aktivitu a zneužitie. Väčšina obchodníkov ho vo svojej infraštruktúre nepoužíva. Hodnotenie PCI môžete absolvovať aj bez neho, ale vyžaduje si to audit kódu vždy, keď vykonáte zmeny vo svojej aplikácii (Magento, WordPress atď.). Väčšina poskytovateľov hostingu môže poskytnúť riešenie WAF alebo môžete použiť cloudové riešenie, ktoré zvýši bezpečnosť a zjednoduší súlad s PCI.

Čítať:  Ako zablokovať zvuk na TikTok, aby ste ho prestali znovu počuť

Neadekvátne protokoly sieťovej aktivity

Sieťový protokol je záznamom udalostí a je kľúčový na identifikáciu a sledovanie úsilia zlých aktérov, ktorí sa pokúšajú získať prístup. Opäť platí, že ak ste obchodníkom 1. úrovne, ktorý spracováva milióny transakcií kreditnými kartami ročne, ste pozvaným cieľom a pravdepodobne máte na svojom mieste správcu siete. Ak nie ste obchodník 1. úrovne a čelíte auditu, znamená to, že ste boli nedávno porušený

Chýbajúce alebo zle nakonfigurované brány firewall a smerovače

Bezpečnosť sieťového firewallu (nezamieňať s firewallom webovej aplikácie) alebo smerovača je len taká dobrá, ako dobrá je osoba, ktorá ho konfiguruje. Poznajte svoje veci alebo zamestnajte niekoho, kto to vie.

Nejasné alebo zastarané postupy reakcie na bezpečnostné incidenty

Či už používate Magento, WooCommerce alebo akúkoľvek inú platformu, vy alebo váš správca systému by ste sa mali veľmi snažiť, aby ste mali prehľad o najnovších zraniteľnostiach. Majte plán, ako reagovať na zneužitia, keď – nie ak, ale kedy – sa vyskytnú.

Nečakajte, kým váš audit začne

Na záver nezabudnite, že dodržiavanie PCI je neustálym úsilím. Ročné audity sú len jednou zložkou súladu, ale proaktívny prístup s nadchádzajúcimi zmenami vo vašom CDE sa často vyplatí. Zapojte svoje QSA o týchto zmenách v dostatočnom predstihu skôr, ako k nim dôjde, pretože môžu poskytnúť múdre rady o zachovaní súladu.

Pokyny týkajúce sa súladu s PCI nájdete kontaktujte náš predajný tím medzi 9:00 a 17:00 východného času, pondelok až piatok.

Nové Publikácie:

ODPORÚČANIE