Ce sunt Datele Deținătorului de Card?

Datele Titularului de Card (CHD) sunt informații despre un card de plată protejate de Standardul de Securitate a Datelor din Industria Plăților cu Cardul (PCI DSS). Acestea includ numărul complet al contului principal (PAN) și, eventual, numele titularului cardului, data de expirare și codul de serviciu.

CHD reprezintă informațiile disponibile după finalizarea tranzacției, care includ numele titularului cardului, data de expirare a cardului și numărul contului principal (PAN). 

Protecția datelor cardului de credit (CHD) este importantă din mai multe motive. Conformitatea clienților este crucială, ajutând la menținerea încrederii, respectarea reglementărilor și prevenirea sancțiunilor financiare. Criptarea și alte măsuri de securitate sunt cruciale pentru a garanta siguranța datelor sensibile și a reduce posibilele daune ale unei încălcări de date.

Pierderile financiare pot apărea în mai multe moduri, inclusiv furtul de identitate și achizițiile frauduloase. Limitarea accesului neautorizat la datele CHD sensibile este crucială, deoarece poate minimiza riscul unor potențiale pierderi financiare. Orice companie care gestionează datele cardurilor de credit trebuie să mențină încrederea clienților săi. Protecția CHD este crucială pentru ca întreprinderile să mențină conformitatea și să își consolideze credibilitatea în ceea ce privește securitatea datelor.

Scurgerea de date ale titularilor de carduri (CHD) poate avea un efect semnificativ asupra consumatorilor, instituțiilor financiare și comercianților. Responsabilitățile financiare, amenzile semnificative, facturile legale, costurile de compensare, prejudiciul reputațional și pierderea încrederii clienților sunt toate rezultate posibile ale scurgerilor de date.

Pentru a reduce aceste riscuri, respectarea Standardului de Securitate a Datelor din Industria Plăților cu Cardul (PCI DSS) este esențială. Nerespectarea poate duce la sancțiuni financiare suplimentare și prejudicii aduse reputației. 

Datele de autentificare sensibile (SAD) și datele titularului de card (CHD) sunt două categorii de date esențiale pentru procesarea plăților. CHD conține date precum numărul principal al contului (PAN), numele titularului de card și data de expirare a cardului de plată, care pot fi păstrate după confirmarea unei tranzacții.

Pentru autentificarea deținătorilor de carduri, SAD cuprinde componente precum PIN-ul, datele de pe banda magnetică sau cipul EMV și codul/valoarea de verificare a cardului (CVC, CVV sau CID). Deoarece CHD și SAD au cerințe de securitate diferite, este esențial să înțelegem diferențele dintre acestea. 

• Comercianții au permisiunea să salveze CHD, dar dacă fac acest lucru, acesta trebuie criptat. Cu toate acestea, chiar dacă SAD este criptat, companiile nu au voie să îl stocheze după autorizare. 
• Comercianții pot păstra CHD, deoarece este mai puțin sensibil decât SAD.
• Comercianții pot urmări tranzacțiile clienților folosind CHD.
• Comercianții nu ar trebui să păstreze SAD, deoarece este mai sensibil decât CHD.
• Comercianții nu pot urmări tranzacțiile clienților cu SAD. 

Toate organizațiile care participă la tranzacții cu carduri, inclusiv bănci, gateway-uri de plată, comercianți și furnizori de servicii, trebuie să respecte PCI DSS. Acest lucru este valabil pentru orice companie, indiferent de dimensiune sau volumul tranzacțiilor, care procesează, stochează sau transmite informații despre cardurile de credit. 

Pentru a garanta securitatea datelor titularului de card în timpul tranzacțiilor și stocării, fiecare organizație implicată trebuie să respecte acest proces. Cerințele contractuale și validările anuale de conformitate sunt specificate în acordurile rețelei de carduri de credit și impuse de companiile de carduri de credit. 

Procesatorii terți (TPSP) trebuie, de asemenea, să respecte standardul de securitate a datelor din industria cardurilor de plată (PCI DSS) în procesarea cardurilor de plată. Companiile SaaS trebuie să gestioneze și să monitorizeze conformitatea PCI DSS a TPSP-urilor lor cel puțin o dată la 12 luni. 

TPSP-urile trebuie să demonstreze conformitatea lor PCI DSS organizațiilor SaaS pentru a o verifica prin intermediul unui PCI DSS anual audit de conformitate sau audituri multiple, aleatorii, ale TPSP-ului. O companie SaaS ar trebui să creeze un plan pentru a urmări anual statutul de conformitate PCI DSS al TPSP-urilor și să țină evidența tuturor cerințelor PCI DSS care sunt responsabilitatea TPSP-ului. 

În cele din urmă, organizațiile SaaS sunt responsabile pentru propria conformitate PCI DSS. Acestea trebuie să se asigure că TPSP-urile lor sunt conforme, deoarece acestea afectează siguranța mediului de date al titularilor de carduri.

Sancțiuni financiare, prejudicii aduse reputației, pierderea încrederii clienților și oportunități de afaceri ratate sunt doar câteva dintre repercusiunile grave ale neconformării cu PCI DSS.

În plus, companiile neconforme riscă repercusiuni legale, costuri mai mari ale tranzacțiilor, standarde de audit mai stricte sau încetarea parteneriatului bancar. În situații grave, falimentul poate rezulta din neconformitate.

Companiile de carduri de plată pot impune amenzi băncilor achizitoare, transferând sancțiunile către comercianți. În special, neconformitatea cu PCI DSS poate duce la amenzi de la 5.000 USD la 100.000 USD pe lună până la atingerea conformității.

Datele titularului de card nu pot fi exceptate de la cerințele PCI DSS dacă se utilizează doar criptarea. Sistemele care gestionează criptare Criptarea și decriptarea sunt sub autoritatea PCI DSS, la fel ca orice mediu care conține date ale titularului de card, chiar dacă sunt criptate. Cu toate acestea, sistemele care gestionează criptarea și decriptarea se încadrează în domeniul de aplicare al PCI DSS, însă datele criptate ale titularului de card nu. În mediile în care sunt prezente date ale titularului de card, criptarea nu anulează cerința pentru PCI DSS.