03.05.2018
Останнім часом електронні гроші все більше й більше входять у вжиток і поступово замінюють паперові банкноти. Вже складно уявити собі сучасну людину, яка не має у своєму гаманці кілька пластикових платіжних карток.
Пластиковими платіжними картками дуже зручно користуватися, але, на жаль, не завжди безпечно. І чим більше люди будуть використовувати такий зручний засіб платежу, тим гостріше ставатиме питання безпеки грошей, що знаходяться на їхніх карткових рахунках. Ніхто не хоче втратити свої гроші.
Щоб мати гарантію безпеки збереження коштів своїх клієнтів, такі компанії, як, наприклад, VISA і MasterCard вимагають від торгових підприємств та різних постачальників послуг, які приймають платежі від покупців через ці платіжні системи, відповідати стандарту PCI DSS. Це стосується не лише великих, масштабних корпорацій. Невеликі компанії також мають відповідати цьому стандарту.
То що це за стандарт PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) – стандарт безпеки даних індустрії платіжних карток. Він розроблений Радою зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як Visa, MasterCard, American Express, JCB і Discover.
Стандарт PCI DSS – це сукупність вимог щодо забезпечення безпеки даних про власників платіжних карток, які зберігаються, передаються та обробляються в інформаційних інфраструктурах організацій. Стандарт містить у собі лише 12 точних, деталізованих вимог.
Давайте перерахуємо всі ці вимоги.
Вимоги стандарту PCI DSS:1. Захист обчислювальної мережі.2. Зміна компонентів інформаційної структури.3. Захист даних, що зберігаються, про власників карток.4. Захист даних, що передаються, про власників карток.5. Антивірусний захист інформаційної інфраструктури.6. Розробка та підтримка інформаційних систем.7. Керування доступом до даних про власників карток.8. Механізми автентифікації.9. Фізичний захист інформаційної інфраструктури.10. Управління інформаційною безпекою.11. Протоколювання подій та дій.12. Контроль захищеності інформаційної інфраструктури.
Існує хибна думка, що сертифікація за стандартом PCI DSS – це формальність, і цей сертифікат можна придбати як звичайну довідку. Це неправильне судження. Щоб підприємство відповідало стандарту, повинен виконуватися комплексний підхід до забезпечення інформаційної безпеки даних платіжних карток.
Основне завдання стандарту PCI DSS – це забезпечення безпеки мережної інфраструктури та захист збережених даних про власників платіжних карток, оскільки це найуразливіші місця, що безпосередньо загрожують втраті конфіденційності та грошових коштів.
Стандарт PCI DSS регламентує правила експлуатації платіжних систем, а також процедури їх розробки та моніторингу.
Стандарт PCI DSS орієнтований на наступні аспекти:- Захист даних про власників карток.- Побудова та обслуговування захищеної мережі.- Використання суворих заходів контролю доступу.- Управління вразливостями.- Регулярний моніторинг та тестування мережі.- Розробка політики інформаційної безпеки.
На які підприємства розповсюджуються вимоги цього стандарту?
Вимоги стандарту PCI DSS поширюються на торгові підприємства, банки, постачальників різноманітних послуг та сервісів, роздрібні магазини, саll-центри, платіжні шлюзи та інші підприємства та організації, діяльність яких пов'язана з обробкою, передачею та зберіганням даних про власників платіжних карток.
Варто окремо наголосити на тому, що вимоги стандарту PCI DSS є обов'язковими для всіх банків України.
Як визначити, чи потрібно вашій компанії відповідати вимогам PCI DSS?
Якщо у вашій організації зберігаються, обробляються або передаються дані платіжних карток, і при цьому бізнес-процеси можуть вплинути на безпеку цих карток, можна сміливо стверджувати, що вам просто необхідно сертифікуватися, щоб відповідати стандарту PCI DSS.
Більшості керуючих компаніями, директорів і топ-менеджерів властиве помилкове судження, що стандарт PCI DSS необхідний лише банкам чи величезним торговим мережам.
Дуже важливо усвідомлювати наступне: якщо ваша організація зберігає, обробляє або передає протягом року інформацію про хоча б одну карткову транзакцію або власника платіжної картки, тоді ви як компанія повинні відповідати вимогам стандарту PCI DSS.
Також важливо пам'ятати про те, що міжнародні платіжні системи передбачають накладення штрафних санкцій на всі організації, які зобов'язані проходити щорічну сертифікацію на відповідність стандарту PCI DSS, але з якихось причин цього не роблять.
Що ж компанія отримає в результаті проходження аудиту на відповідність стандарту PCI DSS?
Переваги такі:
- Відповідність вимогам міжнародних платіжних систем.- Зниження ризиків від можливого розголошення конфіденційної інформації.- Формування громадської думки про чесне ім'я та стабільне становище компанії.- Зростання рівня довіри і, відповідно, рівня продажів.
З усього вище сказаного можна дійти висновку, що відповідність компанії стандарту PCI DSS вкрай важлива у світі бізнесу.