Ce este PCI DSS?

PCI DSS este prescurtarea de la Payment Card Industry Data Security Standard. Acesta este un set de cerințe pentru organizațiile care gestionează informații despre cardurile de credit, pentru a păstra aceste informații în siguranță. Standardul a fost lansat în septembrie 2006 de către PCI Security Standards Council, un consorțiu al principalelor mărci de carduri.

Toți comercianții și furnizorii de servicii care acceptă carduri de credit ca metodă de plată sunt obligați să respecte termenii PCI DSS. Dacă un comerciant nu respectă PCI DSS, acesta se poate confrunta cu sancțiuni financiare semnificative, prejudicii de reputație și pierderi potențiale ale afacerii.

PCI DSS trebuie respectat de fiecare companie care obține, gestionează, stochează sau transmite date ale titularilor de carduri. Aceasta include comercianții cu amănuntul, procesatorii de plăți, băncile și alte organizații care pot avea un efect asupra securității datelor titularilor de carduri, cum ar fi dezvoltatorii de software și producătorii de hardware.

Băncile, uniunile de credit, companiile de hosting și alte organizații care primesc sau gestionează datele titularilor de carduri prin telefon sunt obligate să se conformeze. Pentru a continua să accepte plăți cu cardul de credit, orice angajat al unei companii care gestionează date sensibile ale titularilor de carduri trebuie să mențină conformitatea PCI.

Volumul de tranzacții pe care un comerciant sau un furnizor de servicii îl gestionează în fiecare an determină gradul său de conformitate PCI DSS. Nivelul 1 este cel mai înalt dintre cele patru niveluri pentru comercianți și vine cu cele mai stricte cerințe de raportare, cum ar fi un Raport anual de conformitate (RoC) de la un auditor terț.

Pentru nivelurile 2 până la 4, se completează de obicei un chestionar de autoevaluare (SAQ). Comercianții de Nivel 1 sunt obligați să completeze un RoC anual și să gestioneze peste 6 milioane de tranzacții cu cardul anual.

Declarația de Conformitate PCI (AoC) este un document care dovedește că o organizație respectă cerințele PCI DSS. Aceasta este emisă după ce o organizație a finalizat o autoevaluare sau un audit extern efectuat de un Evaluator de Securitate Calificat (QSA) și a demonstrat că îndeplinește cerințele standardului.

Declarația de Conformitate (AoC) nu este un obstacol în calea comerțului, ci oferă clienților potențiali încredere în practicile de securitate ale organizației. AoC nu este un certificat de securitate sau o garanție de securitate, ci mai degrabă o declarație a organizației privind aderarea sa la PCI DSS.

În primul rând Standardul de Securitate a Datelor din Industria Plăților cu Cardul (PCI DSS) este un set de reguli și proceduri concepute pentru a asigura securitatea informațiilor personale ale titularilor de carduri. Standardul este alcătuit din 12 părți sau cerințe, care sunt împărțite în șase grupe, conform politicii generale de securitate. Aceste grupe sunt următoarele: 

1) Construirea și menținerea unor rețele securizate; 

2) Protejarea datelor titularilor de carduri; 

3) Utilizarea unei criptografii puternice; 

4) Controlați accesul la datele titularului de card; 

5) Monitorizați și testați rețelele; 

6) Implementați o politică de securitate a informațiilor. 

Cea mai recentă versiune a standardului, PCI DSS 4.0, este o actualizare și restructurare a celor 12 cerințe principale, care ghidează modul de utilizare eficientă a controalelor de securitate. Acest standard este aplicabil oricărui comerciant sau furnizor de servicii care procesează, stochează sau transferă date ale titularului de card. Organizațiile trebuie să înțeleagă și să aplice aceste reguli pentru a proteja informațiile și a spori credibilitatea.

Deși nu sunt direct guvernate de PCI DSS decât dacă ating datele titularului de card, aplicațiile de plată sunt esențiale pentru conformitatea cu PCI DSS. Acest lucru se datorează faptului că sunt utilizate de comercianții care trebuie să respecte PCI DSS. Prin urmare, aplicațiile de plată trebuie dezvoltate și implementate într-un mod care reduce amenințările de securitate și promovează medii de rețea sigure. 

Pentru a ajuta comercianții cu amănuntul să respecte reglementările PCI DSS, aceasta include funcții precum gestionarea vulnerabilităților, criptare, și stocare securizată a datelor. În cele din urmă, comercianții își pot reduce semnificativ volumul de muncă și pot proteja datele titularilor de carduri alegând o aplicație de plată care prioritizează securitatea și simplifică conformitatea cu PCI DSS.

PCI DSS creează un standard pentru gestionarea și protejarea datelor titularilor de carduri. Acest lucru reduce posibilitatea încălcării securității datelor și a furtului de carduri de credit. 

Este esențial să înțelegem că crearea unui sistem de gestionare a datelor ajută la eficientizarea proceselor și operațiunilor. Companiile SaaS primesc un cadru pe care trebuie să îl urmeze, pentru a implementa controale și a menține un mediu securizat. În plus, companiile de software sunt obligate să își monitorizeze constant securitate și conformitate sistemele, să se asigure că totul funcționează fără probleme și că respectă reglementările PCI DSS.

Nerespectarea PCI DSS poate duce la repercusiuni financiare și reputaționale semnificative, cum ar fi amenzi mari, costuri mai ridicate ale tranzacțiilor, încetarea parteneriatelor de afaceri cu băncile și companiile de carduri și posibile acțiuni legale. 

Brandurile de carduri pot aplica penalități monetare pentru nerespectare, care variază de la 5.000 USD la 100.000 USD pe lună până la atingerea conformității; companiile mai mari pot fi supuse unor amenzi mai mari. Pe lângă amenzile monetare, nerespectarea poate duce la probleme operaționale, prejudicii aduse mărcii, o scădere a încrederii clienților, litigii și cheltuieli de remediere în cazul încălcării datelor și posibile investigații de reglementare. Nerespectarea poate avea un cost general substanțial, care depășește penalitățile imediate pentru a include efectele pe termen lung ale încălcării datelor și prejudiciul adus reputației.

Pentru multe firme SaaS, atingerea conformității PCI DSS poate fi o sarcină complicată. Identificarea clară a dimensiunii mediului lor de date al titularilor de carduri, implementarea și configurarea măsurilor de securitate precum firewall-uri și criptare, precum și respectarea regulilor stricte de acces sunt unele dintre cele mai frecvente provocări. 

Definirea și clasificarea precisă a mediului de date al titularului de card — care include toate rețelele, sistemele și aplicațiile care gestionează, stochează sau trimit date sensibile de plată — este una dintre primele provocări. Din cauza lipsei de resurse sau experiență, organizațiile pot întâmpina dificultăți în îndeplinirea tuturor standardelor necesare PCI DSS. Nerespectarea PCI DSS poate avea repercusiuni semnificative, cum ar fi amenzi mari, prejudicii aduse reputației și posibila întrerupere a activității.