Mokėjimų apdorojimas ir PCI atitiktis: pasaulinis vadovas

Šiandieniniame susietame pasaulyje saugus mokėjimų apdorojimas yra svarbiausias dalykas bet kokio dydžio įmonėms. Kadangi internetinių operacijų skaičius visame pasaulyje nuolat auga, kortelių turėtojų duomenų apsauga nuo vagysčių ir sukčiavimo yra svarbesnė nei bet kada anksčiau. Šiame išsamiame vadove pateikiama Mokėjimo kortelių industrijos (PCI) atitikties apžvalga – saugumo standartų rinkinys, skirtas apsaugoti jautrią mokėjimo informaciją.

Kas yra PCI atitiktis?

PCI atitiktis – tai Mokėjimo kortelių industrijos duomenų saugumo standarto (PCI DSS) laikymasis. Tai reikalavimų rinkinys, kurį nustatė pagrindinės kredito kortelių bendrovės – „Visa“, „Mastercard“, „American Express“, „Discover“ ir „JCB“ – siekdamos užtikrinti saugų kortelių turėtojų duomenų tvarkymą. PCI DSS taikomas bet kuriai organizacijai, kuri priima, apdoroja, saugo ar perduoda kredito kortelių informaciją, nepriklausomai nuo jos dydžio ar vietos.

Pagrindinis PCI DSS tikslas yra sumažinti sukčiavimo kredito kortelėmis ir duomenų pažeidimų skaičių, nustatant konkrečias saugumo kontrolės priemones ir praktikas. Atitiktis nėra teisinis reikalavimas visose jurisdikcijose, tačiau tai yra sutartinis įsipareigojimas prekybininkams, kurie apdoroja mokėjimus kredito kortelėmis. Nesilaikant reikalavimų, gali būti taikomos didelės baudos, įskaitant pinigines baudas, padidintus operacijų mokesčius ir netgi galimybės priimti mokėjimus kredito kortelėmis praradimą.

Kodėl PCI atitiktis yra svarbi?

PCI atitiktis suteikia daug naudos verslui:

• Padidintas saugumas: PCI DSS reikalavimų įgyvendinimas stiprina jūsų saugumo padėtį ir sumažina duomenų pažeidimų bei kibernetinių atakų riziką.
• Klientų pasitikėjimas: PCI atitikties demonstravimas didina klientų pasitikėjimą, užtikrinant jiems, kad jų mokėjimo informacija yra saugi.
• Reputacijos valdymas: Duomenų pažeidimas gali smarkiai pakenkti jūsų reputacijai ir sumažinti klientų pasitikėjimą. PCI atitiktis padeda apsaugoti jūsų prekės ženklą ir palaikyti teigiamą įvaizdį.
• Sumažintos išlaidos: Duomenų pažeidimų prevencija gali padėti sutaupyti daug lėšų, susijusių su baudomis, teisinėmis išlaidomis ir padarinių šalinimo pastangomis.
• Teisiniai ir sutartiniai įsipareigojimai: Atitiktis PCI DSS dažnai yra sutartinis reikalavimas su mokėjimų apdorojimo įmonėmis ir priimančiaisiais bankais.

Įsivaizduokite nedidelį internetinį mažmenininką, įsikūrusį Pietryčių Azijoje, kuris daugiausia dėmesio skiria vietoje pagamintų rankdarbių pardavimui visame pasaulyje. Laikydamiesi PCI DSS, jie suteikia savo tarptautiniams klientams garantiją, kad jų kredito kortelių duomenys yra apsaugoti, taip skatindami pasitikėjimą ir pakartotinius pirkimus. Be to klientai galėtų dvejoti pirkti, o tai lemtų prarastas pajamas ir pakenktų prekės ženklo reputacijai. Panašiai didelis Europos viešbučių tinklas turi laikytis reikalavimų, kad užtikrintų savo svečių iš viso pasaulio kredito kortelių informacijos saugumą.

Kam reikia atitikti PCI reikalavimus?

Kaip minėta anksčiau, bet kuri organizacija, tvarkanti kredito kortelių duomenis, turi atitikti PCI reikalavimus. Tai apima:

• Prekybininkai: Mažmenininkai, restoranai, viešbučiai, elektroninės prekybos įmonės ir bet koks kitas verslas, priimantis mokėjimus kredito kortelėmis.
• Mokėjimų apdorojimo įmonės: Įmonės, kurios apdoroja kredito kortelių operacijas prekybininkų vardu.
• Paslaugų teikėjai: Trečiųjų šalių tiekėjai, teikiantys paslaugas, susijusias su mokėjimų apdorojimu, pavyzdžiui, duomenų saugojimu, saugumo konsultavimu ir programinės įrangos kūrimu.

Net jei savo mokėjimų apdorojimą patikite trečiosios šalies paslaugų teikėjui, jūs vis tiek esate galiausiai atsakingi už tai, kad jūsų klientų duomenys būtų apsaugoti. Labai svarbu patikrinti, ar jūsų paslaugų teikėjai atitinka PCI reikalavimus ir ar turi įdiegtas tinkamas saugumo priemones.

12 PCI DSS reikalavimų

PCI DSS susideda iš 12 pagrindinių reikalavimų, sugrupuotų į šešis kontrolės tikslus:

1. Sukurkite ir prižiūrėkite saugų tinklą ir sistemas

• 1 reikalavimas: Įdiekite ir palaikykite ugniasienės konfigūraciją, kad apsaugotumėte kortelių turėtojų duomenis. Ugniasienės veikia kaip barjeras tarp jūsų vidinio tinklo ir interneto, užkertant kelią neteisėtai prieigai prie jautrių duomenų.
• 2 reikalavimas: Nenaudokite tiekėjų pateiktų numatytųjų sistemos slaptažodžių ir kitų saugumo parametrų. Numatytuosius slaptažodžius programišiams lengva atspėti. Pakeiskite juos iškart po įdiegimo ir reguliariai vėliau.

2. Apsaugokite kortelių turėtojų duomenis

• 3 reikalavimas: Apsaugokite saugomus kortelių turėtojų duomenis. Sumažinkite saugomų kortelių turėtojų duomenų kiekį ir naudokite šifravimą, tokenizaciją ar maskavimą jautriai informacijai apsaugoti.
• 4 reikalavimas: Šifruokite kortelių turėtojų duomenų perdavimą atvirais, viešaisiais tinklais. Naudokite stiprius šifravimo protokolus, tokius kaip TLS/SSL, kad apsaugotumėte internetu perduodamus duomenis.

3. Palaikykite pažeidžiamumo valdymo programą

• 5 reikalavimas: Apsaugokite visas sistemas nuo kenkėjiškų programų ir reguliariai atnaujinkite antivirusinę programinę įrangą ar programas. Laikykite savo antivirusinę programinę įrangą atnaujintą ir reguliariai tikrinkite savo sistemas dėl kenkėjiškų programų.
• 6 reikalavimas: Kurkite ir palaikykite saugias sistemas ir programas. Reguliariai taikykite saugumo pataisas ir atnaujinimus savo programinei ir techninei įrangai, kad pašalintumėte žinomus pažeidžiamumus. Tai apima tiek pagal užsakymą sukurtas programas, tiek trečiųjų šalių programinę įrangą.

4. Įgyvendinkite griežtas prieigos kontrolės priemones

• 7 reikalavimas: Apribokite prieigą prie kortelių turėtojų duomenų pagal verslo poreikį („need-to-know“). Suteikite prieigą prie kortelių turėtojų duomenų tik tiems darbuotojams, kuriems to reikia norint atlikti savo pareigas.
• 8 reikalavimas: Identifikuokite ir autentifikuokite prieigą prie sistemos komponentų. Įdiekite stiprias autentifikavimo priemones, tokias kaip daugiapakopis autentifikavimas, kad patikrintumėte vartotojų, prisijungiančių prie jūsų sistemų, tapatybę.
• 9 reikalavimas: Apribokite fizinę prieigą prie kortelių turėtojų duomenų. Apsaugokite savo fizines patalpas ir apribokite prieigą prie vietų, kuriose saugomi ar apdorojami kortelių turėtojų duomenys.

5. Reguliariai stebėkite ir testuokite tinklus

• 10 reikalavimas: Sekite ir stebėkite visą prieigą prie tinklo išteklių ir kortelių turėtojų duomenų. Įdiekite registravimo ir stebėjimo sistemas, kad sektumėte vartotojų veiklą ir aptiktumėte įtartiną elgesį.
• 11 reikalavimas: Reguliariai testuokite saugumo sistemas ir procesus. Reguliariai atlikite pažeidžiamumo skenavimą ir įsiskverbimo testus, kad nustatytumėte ir pašalintumėte saugumo spragas.

6. Palaikykite informacijos saugumo politiką

• 12 reikalavimas: Palaikykite politiką, kuri apibrėžia informacijos saugumą visam personalui. Sukurkite ir įgyvendinkite išsamią informacijos saugumo politiką, kurioje būtų aprašytos jūsų organizacijos saugumo praktikos ir procedūros. Ši politika turėtų būti reguliariai peržiūrima ir atnaujinama.

Kiekvienas reikalavimas turi išsamius papildomus reikalavimus, kurie pateikia konkrečias gaires, kaip įgyvendinti kontrolę. Pastangų, reikalingų atitikčiai pasiekti, lygis priklausys nuo jūsų organizacijos dydžio ir sudėtingumo bei apdorojamų kortelių operacijų apimties.

PCI DSS atitikties lygiai

PCI saugumo standartų taryba (PCI SSC) apibrėžia keturis atitikties lygius, pagrįstus metine prekybininko operacijų apimtimi:

• 1 lygis: Prekybininkai, apdorojantys daugiau nei 6 milijonus kortelių operacijų per metus.
• 2 lygis: Prekybininkai, apdorojantys nuo 1 iki 6 milijonų kortelių operacijų per metus.
• 3 lygis: Prekybininkai, apdorojantys nuo 20 000 iki 1 milijono el. prekybos operacijų per metus.
• 4 lygis: Prekybininkai, apdorojantys mažiau nei 20 000 el. prekybos operacijų per metus arba iki 1 milijono visų operacijų per metus.

Atitikties reikalavimai skiriasi priklausomai nuo lygio. 1 lygio prekybininkams paprastai reikia metinio vertinimo vietoje, kurį atlieka kvalifikuotas saugumo vertintojas (QSA) arba vidaus saugumo vertintojas (ISA), o žemesnio lygio prekybininkai gali atlikti savęs vertinimą naudodami savęs vertinimo klausimyną (SAQ).

Kaip pasiekti PCI atitiktį

Štai žingsnis po žingsnio vadovas, kaip pasiekti PCI atitiktį:

1. Nustatykite savo atitikties lygį: Nustatykite savo PCI DSS atitikties lygį pagal savo operacijų apimtį.
2. Įvertinkite savo dabartinę aplinką: Atlikite išsamų savo dabartinės saugumo padėties vertinimą, kad nustatytumėte spragas ir pažeidžiamumus.
3. Pašalinkite pažeidžiamumus: Pašalinkite visus nustatytus pažeidžiamumus, įgyvendindami būtinas saugumo kontrolės priemones.
4. Užpildykite savęs vertinimo klausimyną (SAQ) arba pasamdykite QSA: Priklausomai nuo jūsų atitikties lygio, arba užpildykite SAQ, arba pasamdykite QSA, kad atliktų vertinimą vietoje.
5. Pateikite atitikties patvirtinimą (AOC): Pateikite savo SAQ arba QSA atitikties ataskaitą (ROC) savo priimančiajam bankui ar mokėjimų apdorojimo įmonei.
6. Palaikykite atitiktį: Nuolat stebėkite savo aplinką, reguliariai atlikite saugumo vertinimus ir atnaujinkite saugumo kontrolės priemones, kad palaikytumėte nuolatinę atitiktį.

Tinkamo SAQ pasirinkimas

Prekybininkams, kurie gali naudoti SAQ, labai svarbu pasirinkti teisingą klausimyną. Yra keletas skirtingų SAQ tipų, kiekvienas pritaikytas konkretiems mokėjimų apdorojimo metodams. Dažniausi SAQ tipai apima:

• SAQ A: Prekybininkams, kurie visas kortelių turėtojų duomenų funkcijas patiki trečiųjų šalių paslaugų teikėjams, atitinkantiems PCI DSS.
• SAQ A-EP: El. prekybos prekybininkams, turintiems visiškai patikėtą mokėjimo puslapį.
• SAQ B: Prekybininkams, naudojantiems tik atspaudų mašinas arba atskirus, telefono linija veikiančius terminalus.
• SAQ B-IP: Prekybininkams, naudojantiems atskirus, PTS patvirtintus mokėjimo terminalus su IP ryšiu.
• SAQ C: Prekybininkams, turintiems mokėjimo programų sistemas, prijungtas prie interneto.
• SAQ C-VT: Prekybininkams, naudojantiems virtualų terminalą (pvz., prisijungiantiems prie žiniatinklio terminalo mokėjimams apdoroti).
• SAQ P2PE: Prekybininkams, naudojantiems patvirtintus „Point-to-Point Encryption“ (P2PE) įrenginius.
• SAQ D: Prekybininkams, kurie neatitinka jokių kitų SAQ tipo kriterijų.

Pasirinkus neteisingą SAQ, gali būti netiksliai įvertinta jūsų saugumo padėtis ir kilti galimų atitikties problemų. Pasikonsultuokite su savo priimančiuoju banku ar mokėjimų apdorojimo įmone, kad nustatytumėte tinkamą SAQ savo verslui.

Dažniausi PCI atitikties iššūkiai

Daugelis įmonių susiduria su iššūkiais, bandydamos pasiekti ir palaikyti PCI atitiktį. Kai kurie dažniausi iššūkiai apima:

• Sąmoningumo trūkumas: Daugelis smulkių įmonių tiesiog nežino apie PCI DSS reikalavimus ir savo įsipareigojimus.
• Sudėtingumas: PCI DSS gali būti sudėtingas ir sunkiai suprantamas, ypač ne techniniam personalui.
• Kaina: Būtinų saugumo kontrolės priemonių įgyvendinimas gali būti brangus, ypač smulkioms įmonėms su ribotu biudžetu.
• Išteklių trūkumas: Daugeliui įmonių trūksta vidinių išteklių ir patirties, kad galėtų efektyviai valdyti savo PCI atitikties pastangas.
• Atitikties palaikymas: PCI atitiktis nėra vienkartinis įvykis. Ji reikalauja nuolatinio stebėjimo, testavimo ir atnaujinimų, kad būtų palaikoma atitiktis laikui bėgant.

Patarimai, kaip supaprastinti PCI atitiktį

Štai keletas patarimų, padėsiančių supaprastinti PCI atitiktį:

• Minimizuokite kortelių turėtojų duomenis: Sumažinkite saugomų kortelių turėtojų duomenų kiekį, naudodami tokenizaciją ar kitas duomenų maskavimo technikas.
• Patikėkite mokėjimų apdorojimą išorės tiekėjams: Apsvarstykite galimybę patikėti savo mokėjimų apdorojimą trečiosios šalies teikėjui, atitinkančiam PCI DSS.
• Naudokite PCI DSS atitinkančią techninę ir programinę įrangą: Užtikrinkite, kad visa mokėjimų apdorojimui naudojama techninė ir programinė įranga atitiktų PCI DSS.
• Įgyvendinkite griežtas prieigos kontrolės priemones: Apribokite prieigą prie kortelių turėtojų duomenų tik tiems darbuotojams, kuriems to reikia norint atlikti savo pareigas.
• Automatizuokite saugumo procesus: Automatizuokite saugumo procesus, tokius kaip pažeidžiamumo skenavimas ir pataisų valdymas, kad sumažintumėte rankinio darbo pastangas ir padidintumėte efektyvumą.
• Ieškokite ekspertų pagalbos: Pasamdykite PCI atitikties konsultantą, kuris padės jums suprasti PCI DSS reikalavimus ir įgyvendinti būtinas saugumo kontrolės priemones.

PCI atitikties ateitis

PCI DSS nuolat tobulėja, siekiant atremti kylančias grėsmes ir pokyčius mokėjimų srityje. PCI SSC reguliariai atnaujina standartą, įtraukdama naujas saugumo geriausias praktikas ir technologijas. Kadangi mokėjimo metodai toliau vystosi, pavyzdžiui, didėjant mobiliųjų mokėjimų ir kriptovaliutų populiarumui, PCI DSS greičiausiai prisitaikys prie saugumo iššūkių, susijusių su šiomis naujomis technologijomis.

Pasauliniai aspektai, susiję su PCI atitiktimi

Nors PCI DSS yra pasaulinis standartas, reikia atsižvelgti į tam tikrus regioninius ir nacionalinius aspektus:

• Duomenų privatumo įstatymai: Daugelyje šalių yra duomenų privatumo įstatymų, tokių kaip Bendrasis duomenų apsaugos reglamentas (BDAR) Europoje, kurie gali persidengti su PCI DSS reikalavimais. Užtikrinkite, kad be PCI DSS laikytumėtės ir visų taikomų duomenų privatumo įstatymų.
• Mokėjimo sistemų (gateway) reikalavimai: Skirtingos mokėjimo sistemos gali turėti skirtingus PCI atitikties reikalavimus. Patikrinkite konkrečius savo mokėjimo sistemos teikėjo reikalavimus.
• Kalbos ir kultūriniai skirtumai: Bendraudami su klientais ir darbuotojais apie PCI atitiktį, atsižvelkite į kalbos ir kultūrinius skirtumus. Jei reikia, pateikite mokymus ir dokumentaciją keliomis kalbomis.
• Valiutos ir mokėjimo metodų preferencijos: Skirtingose šalyse yra skirtingos valiutos ir mokėjimo metodų preferencijos. Apsvarstykite galimybę pasiūlyti įvairias mokėjimo parinktis, kad patenkintumėte savo pasaulinės klientų bazės poreikius.

Pavyzdžiui, įmonė, plečianti veiklą Brazilijoje, turėtų žinoti apie „LGPD“ (Lei Geral de Proteção de Dados), kuris yra Brazilijos BDAR atitikmuo, kartu su PCI DSS. Taip pat įmonė, plečianti veiklą Japonijoje, norės suprasti vietines mokėjimo metodų, tokių kaip „Konbini“ (mokėjimai savitarnos parduotuvėse), preferencijas be kredito kortelių, užtikrindama, kad bet koks sprendimas, kurį jie įdiegs, išliktų atitinkantis PCI reikalavimus.

Realūs PCI atitikties pavyzdžiai praktikoje

• El. prekybos platforma: Pasaulinė el. prekybos platforma įgyvendina tokenizaciją, kad apsaugotų klientų kredito kortelių duomenis. Tikrieji kredito kortelių numeriai pakeičiami unikaliais žetonais (tokens), kurie saugomi saugioje saugykloje. Platforma naudoja šiuos žetonus operacijoms apdoroti, niekada neatskleisdama jautrių kredito kortelių duomenų.
• Restoranų tinklas: Didelis restoranų tinklas įdiegia visapusišką šifravimą (E2EE) savo pardavimo vietos (POS) sistemose. E2EE užšifruoja kortelių turėtojų duomenis įvedimo vietoje ir iššifruoja juos tik mokėjimų apdorojimo įmonės saugioje aplinkoje. Tai apsaugo duomenis nuo perėmimo perdavimo metu.
• Viešbučių tinklas: Pasaulinis viešbučių tinklas įdiegia daugiapakopį autentifikavimą (MFA) visiems darbuotojams, turintiems prieigą prie kortelių turėtojų duomenų. MFA reikalauja, kad vartotojai pateiktų du ar daugiau autentifikavimo faktorių, tokių kaip slaptažodis ir vienkartinis kodas, išsiųstas į jų mobilųjį telefoną, kad patvirtintų savo tapatybę.
• Programinės įrangos tiekėjas: Programinės įrangos tiekėjas, kuriantis mokėjimų apdorojimo programinę įrangą, reguliariai atlieka įsiskverbimo testavimą, kad nustatytų ir pašalintų saugumo pažeidžiamumus. Įsiskverbimo testavimas apima realių atakų imitavimą, siekiant įvertinti programinės įrangos saugumą ir nustatyti silpnąsias vietas, kurias galėtų išnaudoti programišiai.

Išvada

PCI atitiktis yra esminis reikalavimas bet kokiam verslui, kuris tvarko kredito kortelių duomenis. Įgyvendindami PCI DSS reikalavimus, galite apsaugoti savo klientų jautrią informaciją, didinti pasitikėjimą ir išvengti brangiai kainuojančių duomenų pažeidimų. Nors pasiekti ir palaikyti PCI atitiktį gali būti sudėtinga, tai yra verta investicija, kuri apsaugos jūsų verslą ir jūsų klientus. Atminkite, kad PCI atitiktis yra nuolatinis procesas, o ne vienkartinis įvykis. Nuolat stebėkite savo aplinką, atnaujinkite saugumo kontrolės priemones ir sekite naujausias grėsmes bei geriausias praktikas, kad palaikytumėte tvirtą saugumo padėtį. Konsultacijos su kibernetinio saugumo profesionalais, gerai išmanančiais atitikties standartus, gali gerokai supaprastinti šį procesą.