Używanie kart płatniczych przy dokonywaniu zakupów jest dużą wygodą. Niesie jednak za sobą ryzyko kradzieży danych oraz możliwości fałszerstwa. Standard bezpieczeństwa PCI DSS jest niezbędną normą dla operatorów kart płatniczych oraz organizacji bankowych w zakresie postępowania z danymi kart kredytowych.
Za każdym razem, gdy klient płaci za zakupy kartą kredytową w sklepie internetowym, bankomacie czy restauracji, zapewnienie mu ochrony przed oszustwem lub kradzieżą tożsamości ma zasadnicze znaczenie. Ochrona danych posiadacza karty pozwala podtrzymać jego zaufanie do transakcji online zawieranych przy użyciu karty, jednak o bezpieczeństwo tych danych muszą zadbać wszystkie podmioty, na coraz bardziej różnorodnych trasach ich przesyłania.
Rada Bezpieczeństwa Kart Płatniczych (PCI Security Standards Council) reguluje zasady zgodności ze standardami ochrony danych dla branży kart płatniczych, dążąc do zmniejszenia zagrożenia naruszeniem bezpieczeństwa danych klienta dokonującego płatności, kradzieży tożsamości i fałszerstwa z użyciem kart kredytowych.
Współadministrowany przez największych na świecie operatorów płatności i innych kluczowych partnerów, w tym firmę Fortinet, standard PCI DSS (ang. Payment Card Industry Data Security Standard) został opracowany w celu unormowania sposobów zarządzania przez firmy wewnętrznym bezpieczeństwem informacji, procedurami, politykami, architekturą sieci, projektowaniem oprogramowania i innymi środkami ochrony danych.
Jego stosowanie jest obowiązkowe dla wszystkich podmiotów działających w branży obsługi płatności, które przechowują, przetwarzają lub przesyłają dane kart płatniczych, m.in. dla instytucji finansowych, dostawców usług i handlowców – od detalistów, przez sprzedawców internetowych, po domy wysyłkowe. Zgodność ze standardem PCI DSS jest również egzekwowana od „usługodawców” – wszelkiego rodzaju przedsiębiorstw, które przetwarzają płatności albo przechowują, przetwarzają lub przesyłają dane posiadaczy kart w imieniu sprzedawcy, agenta rozliczeniowego lub banku autoryzującego transakcję (wystawcy karty).
Jeśli Twoja firma działa w obrębie jednego z wymienionych wyżej sektorów gospodarki, warto spojrzeć na zamieszczone poniżej wymogi standardu PCI, aby dowiedzieć się jak w sześciu krokach możesz skutecznie chronić dane swoich klientów:
- Zbuduj i utrzymuj bezpieczną sieć: w celu ochrony danych należy zainstalować i utrzymać zaporę sieciową chroniącą posiadaczy kart. Dodatkowo nie korzystaj z haseł skonfigurowanych fabrycznie ani innych parametrów zabezpieczeń.
- Chroń dane posiadaczy kart: przechowywane dane należy chronić oraz szyfrować wszystkie dane transmitowane przez otwarte, publiczne sieci.
- Prowadź program zapobiegania podatności na zagrożenia przez używanie regularnie aktualizowanego oprogramowania antywirusowego, a także przez opracowywanie i utrzymywanie bezpiecznych systemów i aplikacji.
- Zaimplementuj silne mechanizmy kontroli dostępu: ogranicz dostęp do danych posiadaczy kart tylko dla osób, które mają taką potrzebę biznesową, nadawaj unikalny identyfikator każdemu użytkownikowi z dostępem do komputera oraz ogranicz fizyczny dostęp do danych posiadaczy kart.
- Regularnie monitoruj i testuj sieci: śledź i kontroluj wszystkie przypadki uzyskania dostępu do zasobów sieciowych i danych posiadaczy kart oraz regularnie testuj systemy i procedury bezpieczeństwa.
Utrzymuj politykę bezpieczeństwa informacji: prowadź politykę dotyczącą bezpieczeństwa informacji. ◊