Hva er PCI-samsvar
Overholdelse av betalingskortindustri (PCI) viser til tekniske og operasjonelle standarder som virksomheter må følge for å sikre at kredittkortdata levert av kortholdere er beskyttet. PCI-overholdelse håndheves av PCI Standards Council og alle virksomheter som lagrer, behandler eller overfører kredittkortdata elektronisk er pålagt å følge retningslinjene for overholdelse.
Forstå PCI-samsvar
Overholdelsesstandarder for betalingskortindustri (PCI) krever at forhandlere og andre virksomheter håndterer kredittkortinformasjon på en sikker måte som bidrar til å redusere sannsynligheten for at kortholdere vil ha sensitive økonomiske data stjålet. Hvis selgere ikke håndterer kredittkortinformasjon ordentlig, kan kortinformasjonen bli hacket og brukt til å foreta falske kjøp. I tillegg kan sensitiv informasjon om kortholderen brukes i identitetssvindel.
Å være PCI-kompatibel betyr konsekvent å overholde et sett med retningslinjer satt av selskaper som utsteder kredittkort. Retningslinjene beskriver en rekke trinn som kredittkortbehandlere kontinuerlig må følge. Bedrifter blir først bedt om å vurdere informasjonsteknologiinfrastruktur, forretningsprosesser og prosedyrer for håndtering av kredittkort for å identifisere potensielle trusler som kan kompromittere kredittkortsdata. Bedrifter blir deretter bedt om å løse eventuelle mangler i sikkerhet, og unngå å lagre sensitiv kortholderinformasjon, for eksempel personnummer og førerkortnummer, når det er mulig. Bedrifter er pålagt å levere samsvarsrapporter til kortmerkene de jobber med, for eksempel American Express og VISA.
Alle selskaper som behandler kredittkortinformasjon er pålagt å opprettholde PCI-overholdelse, uavhengig av størrelse eller antall kredittkorttransaksjoner de behandler. Alle selskaper er delt inn i selgernivåer basert på antall transaksjoner som behandles i løpet av en spesifikk periode. PCI-samsvar er regulert av Payment Card Industry Security Standards Council, en organisasjon som ble opprettet i 2006 med det formål å administrere sikkerheten til kredittkort. Kravene, kjent som Payment Card Industry Data Security Standards (PCI DSS), styres av de største kredittkortselskapene, inkludert VISA, American Express, Discover og MasterCard, blant andre.
PCI-samsvar og brudd på data
Mange av historiens største datainnbrudd kan ha blitt unngått hvis de berørte selgerne eller finansinstitusjonene var PCI-kompatible. Her er noen viktige takeaways fra Verizon 2017 Payment Security Report, en grundig studie av PCI DSS-samsvar:
- Detaljhandelsorganisasjoner demonstrerte den laveste bærekraften for PCI-overholdelse i alle viktige bransjer. IT-tjenestebransjen oppnådde den høyeste fullstendige etterlevelse av alle nøkkelindustrigrupper som ble studert.77 prosent av selskapene som ble vurdert etter et datainnbrudd ikke var i samsvar med PCI-nummer nummer én: installer og opprettholde en brannmurkonfigurasjon. Studien viser en "påviselig" korrelasjon mellom virksomheter som er oppdatert om PCI-standardene og virksomheter som med hell har forsvart seg mot cybertrusler. Antall virksomheter som er 100 prosent PCI-kompatible, er vokser betraktelig fra år til år.
