Wszystko, co musisz wiedzieć o zgodności z PCI

Akceptowanie płatności online wiąże się z pewnym ryzykiem. Zawsze będą oszuści, którzy będą próbowali ukraść informacje o płatnościach z niezabezpieczonych sieci, dlatego zgodność z PCI jest ważniejsza niż kiedykolwiek.

Jeśli przyjmujesz płatności za pośrednictwem swojej strony internetowej, ważne jest, abyś rozumiał zgodność z PCI i co to oznacza dla Twojej firmy. Jeśli nie potraktujesz tego poważnie, możesz narazić swoich klientów i swoją firmę na niepotrzebne ryzyko.

Raport Verizon Data Breach Incident Report z 2017 roku wykazał, że w tym roku miało miejsce prawie 42 068 incydentów związanych z bezpieczeństwem danych. Nie pozwól, aby Twoja firma była jednym z nich.

Prawdopodobnie słyszałeś już o zgodności z PCI, ale możesz nie wiedzieć, czym ona jest i dlaczego jest istotna. W tym poście chcielibyśmy wszystko Ci wyjaśnić.

Czym jest PCI DSS?

PCI DSS to skrót od Payment Card Industry Data Security Standard. Jest to zbiór standardów ustalonych przez PCI Security Standards Council (PCI SSC) dotyczących sposobu, w jaki firmy przetwarzają płatności kartą kredytową.

PCI SSC został założony przez główne firmy wydające karty kredytowe: Visa, MasterCard, American Express, Discover i JCB. Pierwotnie każda z nich miała unikalne standardy bezpieczeństwa, ale w 2006 roku połączyły siły, aby wszystko ujednolicić.

Celem inicjatywy jest ochrona wrażliwych informacji konsumentów, w tym numerów kart kredytowych. Jest to korzystne dla konsumenta, ponieważ zmniejsza ryzyko niewłaściwego wykorzystania ich danych osobowych przez firmy lub kradzieży przez hakerów i oszustów. Jest to również korzystne dla branży przetwarzania płatności, ponieważ zmniejsza prawdopodobieństwo obciążeń zwrotnych i niespłaconych długów.

Chociaż zgodność z PCI nie jest prawem, będziesz musiał przestrzegać standardów, jeśli chcesz współpracować z którąkolwiek z tych firm (a praktycznie musisz, jeśli chcesz przetwarzać płatności kartą kredytową).

Co jest uważane za wrażliwe informacje? Główny numer konta, nazwisko posiadacza karty, data ważności, kod usługi, dane paska magnetycznego, chip, CAV2, CVC2, CVV2, CID, PINy, bloki PIN i wszystko inne, czego używasz do przetwarzania transakcji.

PCI DSS określa 12 wymagań, których musisz przestrzegać, aby bezpiecznie przetwarzać, przechowywać, przetwarzać i przesyłać dane posiadacza karty. Jeśli nie zastosujesz się do *nawet jednego* z nich, nie jesteś zgodny. Każde wymaganie dotyczy ważnego elementu bezpieczeństwa informacji.

1. Zainstaluj i utrzymuj konfigurację zapory sieciowej, aby chronić dane posiadacza karty.
2. Nie używaj domyślnych ustawień dostarczonych przez dostawcę dla haseł systemowych i innych parametrów bezpieczeństwa.
3. Chroń przechowywane dane posiadacza karty.
4. Szyfruj transmisję danych posiadacza karty przez otwarte, publiczne sieci.
5. Chroń wszystkie systemy przed złośliwym oprogramowaniem i regularnie aktualizuj oprogramowanie antywirusowe lub programy.
6. Opracuj i utrzymuj bezpieczne systemy i aplikacje.
7. Ogranicz dostęp do danych posiadacza karty na zasadzie „need-to-know” (konieczności wiedzy).
8. Identyfikuj i uwierzytelniaj dostęp do komponentów systemu.
9. Ogranicz fizyczny dostęp do danych posiadacza karty.
10. Śledź i monitoruj cały dostęp do zasobów sieciowych i danych posiadacza karty.
11. Regularnie testuj systemy i procesy bezpieczeństwa.
12. Utrzymuj politykę dotyczącą bezpieczeństwa informacji dla wszystkich pracowników.

Jeśli dokonujesz jakichkolwiek transakcji finansowych, Twoim obowiązkiem jest przestrzeganie standardów PCI. Obejmuje to przyjmowanie płatności kartą kredytową przez telefon.

Dodatkowo, Twoim zadaniem jest upewnienie się, że każdy dostawca oprogramowania lub usług, a także każda zatrudniona firma lub osoba, również przestrzega standardów PCI.

Na przykład, jeśli używasz Stripe do przetwarzania płatności kartą kredytową, możesz zostać pociągnięty do odpowiedzialności, jeśli okaże się, że ich usługa nie jest zgodna. (Na szczęście, nie jest to duże ryzyko w przypadku Stripe, dlatego ich polecamy.)

Oczekuje się, że będziesz przestrzegać standardów PCI niezależnie od wielkości Twojej firmy, nawet jeśli przetwarzasz tylko jedną transakcję rocznie. W przeciwnym razie możesz ponieść poważne konsekwencje.

Aby uzyskać najbardziej aktualne informacje, zawsze najlepiej odwiedzić stronę internetową PCI SSC. Ich standardy zmieniają się regularnie i w zależności od Twojej firmy, dlatego warto być na bieżąco. Zapoznaj się z treścią na ich stronie dla sprzedawców.

Poziomy dla Sprzedawców PCI

Rodzaj potrzebnego zabezpieczenia zależy od liczby rocznych płatności. Im więcej transakcji przetwarzasz, tym bardziej jesteś atrakcyjny dla hakerów i osób o złych zamiarach, dlatego zgodność z PCI jest podzielona na cztery poziomy:

Poziom 1 jest dla sprzedawców, którzy przetwarzają ponad sześć milionów transakcji rocznie. Wymagane jest od nich składanie kwartalnych skanów sieciowych przez Zatwierdzonego Dostawcę Skanowania i rocznego raportu zgodności przez Kwalifikowanego Audytora Bezpieczeństwa. Muszą również przejść testy penetracyjne.

Poziom 2 jest dla sprzedawców, którzy przetwarzają od miliona do sześciu milionów transakcji rocznie. Muszą oni składać coroczny Kwestionariusz Samooceny (SAQ), ocenę na miejscu przeprowadzoną przez Kwalifikowanego Audytora Bezpieczeństwa (QSA), kwartalny skan sieciowy i testy penetracyjne.

Poziom 3 jest dla firm, które przetwarzają od 20 000 do miliona transakcji rocznie. Poziom 4 jest dla firm, które przetwarzają mniej niż 20 000 transakcji rocznie. Oba poziomy wymagają przeprowadzenia corocznego Kwestionariusza Samooceny, kwartalnego skanowania sieci i kilku innych wymagań. Większość firm należy do czwartego poziomu, najniższej kategorii.

W niektórych przypadkach PCI SSC podnosi niektórych sprzedawców do wyższych rang w zależności od rodzaju ich działalności (niektóre wiążą się z wyższym ryzykiem niż inne) lub jeśli w przeszłości ucierpieli z powodu naruszenia danych.

Konsekwencje braku zgodności

Jeśli nie przestrzegasz standardów PCI, ryzykujesz naruszeniem danych. Jeśli osoba o złych zamiarach zdobędzie informacje o płatnościach Twoich klientów i utworzy fałszywe obciążenia, firmy obsługujące karty kredytowe ponoszą nielegalne wydatki, dlatego bardzo poważnie traktują brak zgodności.

Marki płatnicze (Visa, MasterCard, American Express, Discover i JCB) mogą nakładać kary na sprzedawców, banki lub innych dostawców usług przetwarzania płatności za nieprzestrzeganie przepisów, według własnego uznania. Kary te często wynoszą od 5 000 do 10 000 USD miesięcznie.

Może być również wymagane pokrycie kosztów wymiany kart (gdy użytkownicy kart kredytowych potrzebują zmiany kont lub kart z powodu ich naruszenia) oraz kosztownych audytów dochodzeniowych Twojej firmy.

Co gorsza, możesz ponieść cywilną odpowiedzialność za szkody pieniężne, których doświadczają Twoi klienci z powodu nieostrożnego przetwarzania danych. Oznacza to, że ludzie mogą pozwać Cię o pieniądze, które tracą, jeśli Twoje niedostosowanie się naraziło ich dane osobowe.

Ponadto marki płatnicze mają prawo do zwiększenia opłat dla Twojej firmy. Jeśli uznają, że stanowisz zbyt duże ryzyko, mogą całkowicie zaprzestać współpracy z Tobą. Marki kart kredytowych nie ujawniają publicznie swoich metod ustalania opłat, ale ich sprawiedliwość może być bardzo szkodliwa dla małych firm. Dlatego tak ważne jest, abyś zrozumiał, co oznacza zgodność z PCI i czy ją posiadasz.

Bramki płatnicze

Większość sprzedawców przetwarza transakcje za pośrednictwem bramek płatniczych. Prawdopodobnie rozpoznajesz nazwy takie jak Stripe, PayPal, Authorize.net itp. Bramki to platformy front-endowe, które łączą się z bankami kart kredytowych.

Oznacza to, że nie musisz zawierać indywidualnych umów z bankami kart kredytowych. Kiedy współpracujesz z bramką, ona przyjmuje dane wejściowe, które jej przekazujesz (informacje o płatnościach klienta) i kieruje te dane do odpowiedniego banku. Zapewnia również szereg narzędzi do wykrywania oszustw, które chronią wszystkich.

Oto trochę dobrych wiadomości: jeśli korzystasz z bramki płatniczej, najprawdopodobniej już spełniasz wymogi PCI, ponieważ bramka zapewnia, że je spełniasz. Cały ich model biznesowy opiera się na dobrych relacjach z markami kart kredytowych, dlatego nie podejmują *żadnego* ryzyka. Na przykład Stripe kategorycznie zabrania niektórym firmom korzystania z ich platformy, ponieważ te firmy wiążą się z wysokim ryzykiem.

Ponadto korzystanie z bramki oznacza, że możesz wykorzystać jej reputację. Gdybyś na przykład próbował zawrzeć umowę bezpośrednio z Mastercard, byłoby to kosztowne, ponieważ Mastercard nie miałaby powodu, aby Ci ufać.

Ale jeśli korzystasz z bramki takiej jak Stripe, nie jesteś klientem Mastercard. Stripe jest klientem Mastercard, a Mastercard ufa Stripe, ponieważ przetworzyli razem miliony udanych transakcji. Oznacza to, że Stripe otrzymuje lepszą stawkę niż Ty kiedykolwiek mógłbyś uzyskać.

Czy korzystanie z bramki płatniczej oznacza, że możesz zignorować zgodność z PCI? Absolutnie nie.

Istnieje wiele sposobów naruszenia zgodności z PCI, które nie mają nic wspólnego z bramką płatniczą. Na przykład, jeśli zapisałbyś informacje o karcie kredytowej swoich klientów na kartce papieru i przykleił ją do ściany, naruszyłbyś standardy PCI, ale bramka płatnicza w żaden sposób nie mogłaby Cię przed tym ochronić.

Standardy zgodności z PCI się zmieniają

Niestety złodzieje danych, hakerzy i złośliwe strony są kreatywni i wyrafinowani. Dostosowują swoje metody do nowych technologii bezpieczeństwa tak szybko, jak tylko potrafimy się chronić.

Więc ostatnią rzeczą, którą musisz wiedzieć o zgodności z PCI, jest to: standardy stale się zmieniają. To, co jest akceptowalne dzisiaj, jutro może już nie działać. Jeśli samodzielnie zarządzasz przetwarzaniem płatności, kluczowe jest, abyś był na bieżąco ze zmianami, aby nie narazić się na niebezpieczeństwo.

Jeśli korzystasz z procesora płatności (takiego jak Stripe, PayPal, Authorize.net itp.), procesor zapewni Ci zgodność (jeśli jest to jedna z jego funkcji), ale nadal warto zrozumieć zmieniający się krajobraz.