20.11.2018
Wokół certyfikacji zgodnie ze standardem PCI DSS narosło wiele mitów. Patrząc na proces certyfikacji przez pryzmat tych błędnych przekonań, można się pogubić w działaniach, bać się trudności lub marnować pieniądze firmy. W tym artykule omówimy 10 fałszywych mitów dotyczących certyfikacji zgodnie ze standardem PCI DSS.
Zanim jednak rozpoczniemy analizę mitów, przypomnijmy, czym jest standard PCI DSS i jakie są jego główne cele.
Standard bezpieczeństwa danych PCI DSS ma na celu ochronę danych właścicieli kart płatniczych, które są przetwarzane, przesyłane lub przechowywane przez firmy handlowe i procesory. Powtarzamy to w każdym artykule, ponieważ ta informacja jest najważniejsza.
Standard obejmuje zaledwie 12 wymagań. Dotyczą one wielu procesów biznesowych i technologii zapewniania bezpieczeństwa. Wymagania PCI DSS oparte są na najlepszych ogólnie przyjętych praktykach dotyczących ochrony informacji o danych kart płatniczych.
Obszar objęty standardem PCI DSS jest bardzo obszerny, a spełnienie wszystkich wymagań może wydawać się trudne i zawiłe, zwłaszcza dla małych sklepów czy restauracji, które nie posiadają żadnych systemów ochrony ani specjalistów IT na etacie. Taki specjalista mógłby dostarczyć pełną informację na temat tego, co trzeba zrobić, aby uzyskać certyfikat zgodności ze standardem PCI DSS. Oczywiste jest, że budżet małych firm nie obejmuje dodatkowych pracowników. I, naszym zdaniem, nie warto zatrudniać takiego specjalisty. Można skorzystać z usług naszej firmy, a my dostarczymy Państwu najbardziej pełną i wysoko wykwalifikowaną informację.
Dodatkową trudność stanowi fakt, że niektórzy producenci systemów zabezpieczeń lub dostawcy usług wykorzystują informacje na temat PCI DSS do celów marketingowych i sprzedaży swoich produktów. Mówiąc prościej, ich produkty lub usługi są niezbędne do uzyskania certyfikacji zgodnie ze standardem PCI DSS.
W rezultacie przedstawiciele biznesu stykają się z błędnymi przekonaniami lub mitami na temat tego, jak spełnić wszystkie wymagania, aby być zgodnym ze standardem PCI DSS.
Ten artykuł omawia 10 najbardziej powszechnych mitów. Jego celem jest pomóc przedstawicielom zarówno małych, jak i dużych firm lepiej zrozumieć, czym jest standard PCI DSS.
Mamy nadzieję, że po przeczytaniu tego artykułu przekonacie się, że wymagania standardu PCI DSS i proces certyfikacji są naprawdę prostsze, niż się wydaje. Najważniejsze to nie patrzeć na tę ważną sprawę przez pryzmat fałszywych mitów!
Zanim przejdziemy do mitów, przypomnijmy, po co jest potrzebny standard PCI DSS i jakie są jego cele.
Standard PCI DSS jest niezbędny do:● Ochrony sieci komputerowej.● Zabezpieczenia danych właścicieli kart płatniczych.● Wdrożenia programu zarządzania podatnościami.● Regularnego testowania sieci komputerowej.● Wdrożenia rygorystycznego systemu kontroli dostępu.● Monitorowania bezpieczeństwa sieci komputerowej.● Opracowania i wdrożenia polityki bezpieczeństwa informacji.
Czas przejść do mitów.
Mit nr 1: Kupując produkt jednego producenta, nasza firma spełni wszystkie wymagania standardu PCI DSS.
Rzeczywistość: To nieprawda, ponieważ jeden produkt nie może sprostać wszystkim wymaganiom standardu PCI DSS. Aby uniknąć marnowania pieniędzy na niepotrzebne produkty i usługi, lepiej skonsultować się z audytorem, który będzie przeprowadzał certyfikację dla twojej firmy. Najczęściej spełnienie wymagań PCI DSS można osiągnąć bez dodatkowych wydatków finansowych na zakup niepotrzebnych produktów czy usług.
Mit nr 2: Jeśli przekażemy funkcje przetwarzania kart płatniczych firmie zewnętrznej, automatycznie spełnimy wszystkie wymagania standardu PCI DSS.
Rzeczywistość: Rzutujemy światło na ten mit! Przekazanie procesów biznesowych firmie zewnętrznej może uprościć procedurę certyfikacji zgodnie ze standardem PCI DSS. To prawda. Ale to absolutnie nie oznacza, że wszystkie wymagania standardu zostaną automatycznie spełnione.
Ważne jest pamiętanie, że konieczne jest opracowanie polityki procedur regulujących przetwarzanie i przesyłanie danych. Ponadto trzeba mieć pewność, że dostawca usług przestrzega wszystkich wymagań PCI DSS. Jeśli korzystasz z usług firm zewnętrznych, nie wahaj się corocznie żądać certyfikatu zgodności ze standardem PCI DSS.
Mit nr 3: Certyfikacja to odpowiedzialność działu IT firmy.
Rzeczywistość: Personel IT i dział IT mogą być odpowiedzialni za wdrożenie środków technicznych i operacyjnych. Jednak dla zgodności z wymaganiami standardu PCI DSS konieczne jest dostosowanie procesów biznesowych związanych z zarządzaniem i szkoleniem personelu, wewnętrzną kontrolą, współpracą z dostawcami, itp. Dlatego bardzo ważne jest, aby do projektu PCI DSS zaangażowani byli kierownicy najwyższego szczebla w firmie oraz kierownicy kluczowych działów biznesowych.
Mit nr 4: Certyfikat PCI DSS ochroni naszą firmę przed wszystkimi atakami hakerów.
To kolejny błędny mit, i aby uniknąć poważnych błędów w przyszłości, należy go jak najszybciej odrzucić.
Eksperci, którzy przeprowadzają certyfikację, sprawdzają spełnienie wszystkich wymagań, sieć komputerową, zabezpieczenia i wydają swoje wnioski. To przypomina natychmiastowe uwiecznienie stanu bezpieczeństwa. I to wcale nie oznacza, że najwyższy poziom bezpieczeństwa utrzyma się przez długi czas. Hakerzy i wirusy rozwijają się ciągle.
Dlatego, aby zabezpieczyć swoją firmę przed atakami hakerów, trzeba stale analizować systemy techniczne i terminowo eliminować najmniejsze odstępstwa od wymagań PCI DSS.
Certyfikacja odbywa się raz w roku, a hakerzy pracują przez całą dobę przez cały rok. O tym trzeba zawsze pamiętać.
Was nie ochroni certyfikat PCI DSS - was ochroni surowe spełnienie wszystkich wymagań standardu PCI DSS.
Mit nr 5: Wymagania PCI DSS są zbyt wygórowane.
W rzeczywistości większość wymagań standardu PCI DSS to powszechnie akceptowane i najlepsze praktyki w zakresie zapewniania bezpieczeństwa. Ponadto dopuszcza się stosowanie alternatywnych środków kontroli, ale tylko w przypadku, gdy wasza firma nie może spełnić któregokolwiek wymagania standardu PCI DSS z obiektywnych powodów.
To, co wydaje się nadmiernym rozbiciem i zawyżeniem wymagań, w rzeczywistości jest szczegółową instrukcją odpowiadającą nie tylko na pytanie, co należy zrobić dla bezpieczeństwa, ale także na to, jak to najlepiej osiągnąć. To sprawia, że PCI DSS jest najbardziej efektywnym standardem ochrony ważnych danych.
Wymagania standardu PCI DSS dla małego sklepu internetowego i międzynarodowego banku znacząco się różnią między sobą. Dlatego nie wierz w różne mity, lepiej skonsultuj się z naszym specjalistą.
Mit nr 6: Aby przejść certyfikację PCI DSS, musimy zatrudnić akredytowanego audytora do naszego zespołu.
Ten mit pojawił się dlatego, że wiele dużych firm o bardzo złożonej infrastrukturze IT często zatrudnia własnego audytora, aby przeprowadzić profesjonalne badania i wydać profesjonalne wnioski.
Małe firmy mogą przeprowadzić ocenę i przygotować wszelkie materiały do certyfikacji samodzielnie, zapraszając zewnętrznego audytora tylko do ostatecznej weryfikacji i wystawienia certyfikatu PCI DSS.
Duże firmy mogą zatrudniać wewnętrznego audytora, ale mogą także zapraszać zewnętrznego akredytowanego audytora.
Mit nr 7: Certyfikacja PCI DSS nas nie dotyczy, przetwarzamy bardzo mało danych kart płatniczych.
Każda firma, która akceptuje płatności kartą, musi spełniać standard PCI DSS. Nawet jeśli firma przetwarza tylko jedną transakcję rocznie, musi przejść certyfikację.
Mit nr 8: Będziemy zgodni ze standardem PCI DSS, jeśli po prostu wypełnimy ankietę.
To nie do końca prawda. Aby uzyskać certyfikat, oprócz ankiety, potrzebne jest zaświadczenie o zgodności, które jest podpisywane przez dyrektora firmy i zewnętrznego audytora. Do certyfikacji wymagane jest regularne przeprowadzanie procedur analizy podatności, zarządzania ryzykiem, testów penetracyjnych i monitorowania stanu systemów informatycznych.W związku z tym zgodność ze standardem PCI DSS to proces, który nigdy się nie kończy, a nie jednorazowa procedura.
Mit nr 9: PCI DSS wymaga przechowywania danych właściciela karty płatniczej.
To kolejny mit, który wprowadza w błąd, dostarczając fałszywe informacje. PCI DSS oraz systemy płatnicze Visa i MasterCard nie zalecają przechowywania żadnych danych kart płatniczych. Potrzeba przechowywania danych kart powinna być uzasadniona wymaganiami biznesowymi, a przechowywane dane muszą być solidnie zabezpieczone za pomocą szyfrowania.
Mit nr 10: Certyfikacja PCI DSS to zbyt skomplikowane.
PCI DSS to zaledwie 12 wymagań, które są od dawna znane wszystkim specjalistom w dziedzinie bezpieczeństwa informacji.Spełnienie tych wymagań to podstawowa higiena biznesu. Jeśli twoja firma nie może sobie pozwolić na zatrudnienie specjalisty ds. bezpieczeństwa IT, który zna się na wszystkich wymaganiach standardu, możesz skontaktować się z naszą firmą, a pomożemy ci wdrożyć najlepsze praktyki bezpieczeństwa na świecie. Dzięki naszej pomocy szybko i łatwo przejdziesz certyfikację zgodności ze standardem PCI DSS.Wielu ludzi zamiast słowa "kosztowne" używa słowa "skomplikowane". Tym samym coraz bardziej rozpowszechniają ten fałszywy mit. Ocen ryzyka i straty i przekonaj się, że są one bardzo duże, a dla małego biznesu po prostu katastrofalne. Lepiej uzyskać certyfikację zgodności ze standardem PCI DSS, bo to naprawdę bardzo proste.