03.05.2018
W ostatnim czasie pieniądz elektroniczny stosowany jest coraz częściej i stopniowo zastępuje pieniądz papierowy. Trudno już wyobrazić sobie współczesnego człowieka nieposiadającego kilku plastikowych kart płatniczych w swoim portfelu.
Plastikowe karty płatnicze są bardzo wygodne w użyciu, lecz — niestety — nie zawsze są bezpieczne. Im więcej osób będzie korzystać z tak wygodnego środka płatniczego, tym istotniejsza będzie kwestia bezpieczeństwa pieniędzy znajdujących się na powiązanych z kartami rachunkach. Nikt nie chce stracić swoich pieniędzy.
Firmy takie jak VISA i MasterCard pragną gwarancji bezpieczeństwa środków swoich klientów. Dlatego wymagają zgodności ze standardem PCI DSS od przedsiębiorstw handlowych i usługodawców przyjmujących od klientów płatności za pośrednictwem tych systemów płatniczych. Dotyczy to nie tylko dużych korporacji. Niewielkie firmy również powinny spełniać wymagania tego standardu.
Czym zatem jest standard PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) to standard bezpieczeństwa danych w branży kart płatniczych. Został opracowany przez Radę ds. Standardów Bezpieczeństwa Branży Kart Płatniczych (Payment Card Industry Security Standards Council, PCI SSC) utworzoną przez operatorów międzynarodowych systemów płatniczych: Visa, MasterCard, American Express, JCB i Discover.
Standard PCI DSS to zbiór wymagań dotyczących zapewnienia bezpieczeństwa danych posiadaczy kart płatniczych, gdy dane te są przechowywane, przesyłane i przetwarzane w infrastrukturach informatycznych organizacji. Standard obejmuje 12 precyzyjnych wymagań z wyszczególnionymi pozycjami. Poniżej wymieniamy te wymagania.
Wymagania standardu PCI DSS:1. Ochrona sieci obliczeniowej.2. Zmiana elementów infrastruktury informatycznej.3. Ochrona przechowywanych danych posiadaczy kart.4. Ochrona przesyłanych danych posiadaczy kart.5. Ochrona antywirusowa infrastruktury informatycznej.6. Opracowanie i wsparcie systemów informatycznych.7. Zarządzanie dostępem do danych posiadaczy kart.8. Mechanizmy uwierzytelniania.9. Fizyczna ochrona infrastruktury informatycznej.10. Zarządzanie bezpieczeństwem informacji.11. Logowanie zdarzeń i działań.12. Kontrola bezpieczeństwa infrastruktury informatycznej.
Istnieje błędne przekonanie, że certyfikacja na zgodność ze standardem PCI DSS jest tylko formalnością, a certyfikat można bardzo łatwo uzyskać. To błędna opinia. Aby spełnić wymagania standardu, firma musi wdrożyć kompleksowe podejście do zapewniania bezpieczeństwa danych dotyczących kart płatniczych.
Głównym celem standardu PCI DSS jest zapewnienie bezpieczeństwa infrastruktury sieciowej i ochrona przechowywanych danych posiadaczy kart płatniczych, ponieważ elementy te są najbardziej narażone na bezpośrednie ryzyko utraty poufności, a w konsekwencji utraty środków.
Standard PCI DSS reguluje zasady użytkowania systemów płatniczych, a także procesy ich tworzenia i kontroli.
Standard PCI DSS skupia się na następujących aspektach:- Ochrona danych posiadaczy kart.- Tworzenie i obsługa zabezpieczonej sieci informatycznej.- Stosowanie rygorystycznych środków kontroli dostępu.- Zarządzanie lukami w zabezpieczeniach.- Regularne monitorowanie i testowanie sieci.- Opracowanie polityki bezpieczeństwa informacji.
Jakich firm dotyczą wymagania tego standardu?
Wymagania standardu PCI DSS dotyczą przedsiębiorstw handlowych, banków, dostawców różnego rodzaju usług, sklepów detalicznych, centrów obsługi telefonicznej, bramek płatniczych oraz innych firm i organizacji, których działalność wiąże się z przetwarzaniem, przesyłaniem i przechowywaniem danych posiadaczy kart płatniczych.
Jak ustalić, czy Twoja firma powinna spełniać wymagania standardu PCI DSS?
Jeśli Twoja organizacja przechowuje, przetwarza lub przesyła dane kart płatniczych, a przy tym procesy biznesowe mogą wpływać na bezpieczeństwo tych danych, to można śmiało powiedzieć, że uzyskanie certyfikatu zgodności ze standardem PCI DSS jest niezbędne.
Większość właścicieli firm, dyrektorów i menedżerów wysokiego szczebla błędnie sądzi, że standard PCI DSS potrzebny jest tylko bankom i dużym sieciom handlowym.
Bardzo ważne jest, by zdawać sobie sprawę z następujących kwestii: jeśli Twoja organizacja przechowuje, przetwarza lub przesyła w ciągu roku dane co najmniej jednej transakcji kartą lub jednego posiadacza karty płatniczej, to organizacja ta musi spełniać wymagania standardu PCI DSS.
Należy również pamiętać, że międzynarodowe systemy płatnicze przewidują nakładanie kar pieniężnych na wszystkie organizacje, które są zobowiązane do poddawania się corocznej certyfikacji na zgodność ze standardem PCI DSS, ale z jakiegoś powodu tego nie robią.
Co zyska firma dzięki przejściu audytu zgodności ze standardem PCI DSS?
Korzyści z przejścia audytu zgodności ze standardem PCI DSS:
1. Zapewnienie zgodności z wymaganiami międzynarodowych systemów płatniczych.2. Zmniejszenie ryzyka związanego z ewentualnym ujawnieniem poufnych danych.3. Kształtowanie publicznej opinii o dobrej reputacji i stabilnej pozycji firmy.4. Wzrost poziomu zaufania, a co za tym idzie — poziomu sprzedaży.
Z powyższego można wywnioskować, że zgodność firmy ze standardem PCI DSS jest niezwykle ważna w świecie biznesu.