Überblick über die PCI-Konformität:
Verbraucher haben unter PCI ein grundlegendes Schutzniveau, das betrügerische Aktivitäten und Datenverletzungen reduziert. Folgendes umfasst die PCI-Konformität für jedes Unternehmen, das Kreditkarten verarbeitet:
· Sichere Datenspeicherung gemäß den 12 Sicherheitsdomänen der PCI-Standards
· Jährliche Validierung der erforderlichen Sicherheitskontrollen, einschließlich Formularen, Fragebögen, externen Schwachstellen-Scan-Diensten und Audits von Drittanbietern.
Umgang mit Kreditkartendaten:
Unternehmen, die Kreditkartendaten verarbeiten, müssen die Anforderungen von mehr als 300 Sicherheitskontrollen in PCI erfüllen.
Es gibt Lösungen von Drittanbietern, die diese Informationen sicher verarbeiten und speichern. Kreditkartendaten berühren niemals die Server des Unternehmens, sodass ein Unternehmen nur 22 Sicherheitskontrollen bestätigen muss.
Sichern und Speichern von Daten:
In einer Organisation, die alle Kreditkarteninformationen verarbeitet und speichert, muss im Bereich der Karteninhaberdatenumgebung (CDE) eine Definition vorhanden sein. Und da PCI mehr als 300 Sicherheitsanforderungen hat, sollte eine ordnungsgemäße Segmentierung der Zahlungsumgebung implementiert werden, um den Umfang der PCI-Validierung einzuschränken.
Validierung der PCI-Konformität:
Alle Organisationen müssen jährlich ein PCI-Validierungsformular ausfüllen, je nachdem, wie Kreditkartendaten akzeptiert werden. Die Validierung der PCI-Konformität hängt von verschiedenen Umständen ab. Die neuesten Sicherheitsstandards finden Sie hier.
Qualifizierte Sicherheitsprüfer und Erwartungen
Ein qualifizierter Sicherheitsprüfer (QSA) ist jemand, der Unternehmen dabei hilft, Lücken in ihrer Cybersicherheit zu identifizieren. QSA-Unternehmen sind als unabhängige Sicherheitsorganisationen bekannt, in denen sie vom PCI Security Standards Council qualifiziert wurden, um die Einhaltung von PCI DSS durch ein Unternehmen zu validieren.
Fragebogen zur Selbsteinschätzung der PCI-Konformität:
Bevor ein QSA Ihr Unternehmen bewertet, sollte zuerst eine Risikobewertung durchgeführt werden. Es gibt neun verschiedene Formen von Self-Assessment-Fragebögen (Self-Assessment Questionnaires, SAQs), die eine Teilmenge der PCI-DSS-Anforderungen darstellen. Wenn Sie herausfinden, was anwendbar ist oder was für die Einstellung eines QSA erforderlich ist, erhält ein Unternehmen einige Kenntnisse darüber, wie diese Anforderungen erfüllt werden können.
Folgen einer Verletzung der PCI
Während die PCI-Konformität ein Höchstmaß an Sicherheit schafft, sind einige Organisationen immer noch nicht vollständig konform. Wenn Ihre Organisation nicht PCI-konform ist, können Sie eine hohe Gebühr von 100.000 US-Dollar pro Monat zahlen.
Aufrechterhaltung der PCI-Konformität:
Die Aufrechterhaltung der PCI-Konformität ist ein fortlaufender Prozess und keine einmalige Angelegenheit. Bei einigen Kreditkartenmarken muss Ihr Unternehmen die Einhaltung durch vierteljährliche, jährliche Berichte oder eine jährliche Bewertung vor Ort überprüfen.
Was sind die 12 Hauptanforderungen für die PCI-Konformität?
1. Verfolgen und überwachen Sie den gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten
2. Testen Sie regelmäßig Sicherheitssysteme und -prozesse
3. Schützen Sie gespeicherte Karteninhaberdaten
4. Identifizieren und authentifizieren Sie den Zugriff auf Systemkomponenten
5. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
6. Installieren und pflegen Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen
7. Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter
8. Pflegen Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter regelt
9. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene oder öffentliche Netzwerke
10. Schützen Sie alle Systeme vor Malware und aktualisieren Sie regelmäßig die Antivirensoftware
11. Entwickeln und warten Sie sichere Systeme und Anwendungen
12. Beschränken Sie den Zugriff auf Karteninhaberdaten, wenn Unternehmen dies wissen müssen
Zusammenfassung
PCI-Konformität hilft, aber glauben Sie, dass es nie genug ist. Wenn Sie der Meinung sind, dass dies für Ihr Unternehmen zu viel ist, suchen Sie sich einen sicheren Zahlungsabwickler, der diesen Service bereitstellen kann. Denken Sie daran, dass die allgemeine Bedeutung der PCI-Konformität darin besteht, Ihr Unternehmen und die Privatsphäre Ihrer Kunden zu schützen.
Wenn Sie mehr über die PCI-Konformität erfahren möchten, schauen Sie sich auf unserer Website www.cxportal.com um oder rufen Sie uns unter +442034416513 an, wo unser Team bereit ist, Ihnen zu helfen.
