Що таке дані власника картки?

Дані власника картки (CHD) — це інформація про платіжну картку, захищену Стандартом безпеки даних індустрії платіжних карток (PCI DSS). Вона включає повний номер основного рахунку (PAN) та, можливо, ім'я власника картки, термін дії та сервісний код.

CHD — це інформація, доступна після завершення транзакції, яка включає ім'я власника картки, термін дії картки та номер основного рахунку (PAN). 

Захист даних кредитних карток (CHD) є важливим з кількох причин. Відповідність вимогам клієнтів має вирішальне значення, допомагаючи підтримувати довіру, дотримуватися правил та запобігати фінансовим штрафам. Шифрування та інші заходи безпеки є надзвичайно важливими для гарантування безпеки конфіденційних даних та зменшення можливої шкоди від витоку даних.

Фінансові втрати можуть виникати з кількох причин, включаючи крадіжку особистих даних та шахрайські покупки. Обмеження несанкціонованого доступу до конфіденційних даних CHD є критично важливим, оскільки це може мінімізувати ризик потенційних фінансових втрат. Будь-яка компанія, яка обробляє дані кредитних карток, повинна підтримувати довіру своїх клієнтів. Захист CHD є надзвичайно важливим для бізнесу, щоб підтримувати відповідність вимогам та підвищувати свою репутацію щодо безпеки даних.

Витік даних власника картки (CHD) може мати значний вплив на споживачів, фінансові установи та роздрібних торговців. Фінансова відповідальність, значні штрафи, судові витрати, витрати на компенсацію, шкода репутації та втрата довіри клієнтів – все це можливі наслідки витоків даних.

Для зниження цих ризиків важливе дотримання Стандарту безпеки даних індустрії платіжних карток (PCI DSS). Недотримання вимог може призвести до додаткових фінансових штрафів та шкоди репутації. 

Конфіденційні дані автентифікації (SAD) та дані власника картки (CHD) – це дві категорії даних, які є критично важливими для обробки платежів. CHD містить такі дані, як основний номер рахунку (PAN), ім'я власника картки та термін дії платіжної картки, які можуть зберігатися після підтвердження транзакції.

Для автентифікації власників карток SAD містить такі компоненти, як PIN-код, дані доріжки з магнітної смуги або чипа EMV, а також код/значення підтвердження картки (CVC, CVV або CID). Оскільки CHD та SAD мають різні вимоги до безпеки, критично важливо розуміти їхні відмінності. 

• Торговцям дозволено зберігати CHD, але якщо вони це роблять, його потрібно шифрувати. Однак, навіть якщо SAD зашифровано, підприємствам не дозволено зберігати його після авторизації. 
• Торговці можуть зберігати CHD, оскільки він менш чутливий, ніж SAD.
• Торговці можуть відстежувати транзакції клієнтів за допомогою CHD.
• Торговцям не слід зберігати SAD, оскільки він більш чутливий, ніж CHD.
• Торговці не можуть відстежувати транзакції клієнтів за допомогою SAD. 

Усі організації, що беруть участь у карткових транзакціях, включаючи банки, платіжні шлюзи, торговців та постачальників послуг, повинні дотримуватися PCI DSS. Це стосується будь-якого бізнесу, незалежно від розміру чи обсягу транзакцій, який обробляє, зберігає або передає інформацію про кредитні картки. 

Для гарантування безпеки даних власників карток під час транзакцій та зберігання, кожна залучена організація повинна дотримуватися цього процесу. Договірні вимоги та щорічні перевірки відповідності визначені в угодах мережі кредитних карток та вимагаються компаніями, що випускають кредитні картки. 

Сторонні обробники платежів (TPSP) також повинні дотримуватися Стандарту безпеки даних індустрії платіжних карток (PCI DSS) під час обробки платіжних карток. SaaS-компанії повинні керувати та контролювати відповідність PCI DSS своїх TPSP принаймні раз на 12 місяців. 

TPSP повинні продемонструвати свою відповідність PCI DSS організаціям SaaS, щоб підтвердити її за допомогою щорічного PCI DSS аудиту відповідності або кількох випадкових аудитів TPSP. SaaS-бізнес повинен створити план для щорічного відстеження статусу відповідності TPSP вимогам PCI DSS та слідкувати за всіма вимогами PCI DSS, які є відповідальністю TPSP. 

Зрештою, SaaS-організації несуть відповідальність за власну відповідність вимогам PCI DSS. Вони повинні гарантувати, що їхні TPSP також відповідають цим вимогам, оскільки вони впливають на безпеку середовища даних власників карток.

Фінансові санкції, пошкодження репутації, втрата довіри клієнтів та втрачені бізнес-можливості — це лише деякі серйозні наслідки невідповідності вимогам PCI DSS.

Крім того, компанії, що не відповідають вимогам, ризикують зіткнутися з правовими наслідками, вищими транзакційними витратами, суворішими стандартами аудиту або розірванням партнерства з банком. У важких випадках невідповідність може призвести до банкрутства.

Компанії-емітенти платіжних карток можуть накладати штрафи на банки-еквайєри, перекладаючи ці штрафи на продавців. Зокрема, невідповідність вимогам PCI DSS може призвести до штрафів від 5 000 до 100 000 доларів США на місяць, доки не буде досягнуто відповідності.

Дані власників карток не можуть бути звільнені від вимог PCI DSS якщо використовується лише шифрування. Системи, що керують шифрування Шифрування та дешифрування перебувають під юрисдикцією PCI DSS, як і будь-яке середовище, яке містить дані власника картки, навіть якщо вони зашифровані. Однак системи, що керують шифруванням і дешифруванням, підпадають під дію PCI DSS, але зашифровані дані власника картки — ні. У середовищах, де присутні дані власника картки, шифрування не скасовує вимоги PCI DSS.