Was ist PCI -Einhaltung?
- 2091
- 441
- Josephin Jonas
Die Einhaltung der Zahlungskartenindustrie (PCI) basiert auf einem Satz von 12 technischen und operativen Standards, die vom PCI Security Standards Council (SSC) entwickelt wurden, einer unabhängigen Stelle, die 2006 von American Express, Discover, JCB International, MasterCard und Visa gegründet wurde. Diese Standards gelten für jedes Unternehmen, das Kreditkartendaten akzeptiert, überträgt oder speichert. Sie wurden erstellt, um ein sicheres Umfeld zu gewährleisten, das Kunden- und Geschäftsinformationen vor Problemen wie Datenverletzungen schützt.
Um die PCI -Konformität besser zu verstehen, ist es wichtig zu wissen, was es mit sich bringt, welche Anforderungen und wie alles funktioniert.
PCI -Compliance -Definition und Anforderungen
Die PCI -Konformität ist die Einhaltung einer Reihe von Standards für die vom PCI SSC festgelegte Standards für Kreditkartensicherheit und -schutz. Diese Standards wurden erstellt, um ein sicheres Umfeld für jedes Unternehmen zu gewährleisten, das Karteninhaberdaten verarbeitet.
Während der PCI -SSC die Standards entwickelte, sind die Zahlungsmarken und Händler für die Durchsetzung der Einhaltung verantwortlich.
Jede Kreditkartenmarke hat möglicherweise ihre eigenen spezifischen PCI -Anforderungen, denen Unternehmen folgen müssen. Geschäftsinhaber sollten sich bei jeder Zahlungsmarke erkundigen, um sicherzustellen, dass sie alle erforderlichen Anforderungen erfüllen.
- anderer Name: Zahlungskartenbranche Datensicherheitsstandard
- Akronym: PCI, PCI DSS
PCI -Compliance -Standards
Es gibt 12 Standards, die von den PCI DSS erstellt wurden, die sowohl technische als auch operative Systemkomponenten abdecken:
- Verwalten Sie eine Firewall, um Karteninhaberdaten zu schützen
- Verwenden Sie auf hochrangige Sicherheitskennwörter anstelle von Standard-Systemkennwörtern auf hohe Ebenenkennwörter
- Schützen Sie gespeicherte Karteninhaberdaten durch geeignete Sicherheitsprotokolle
- Verschlüsseln Sie die Übertragung von Karteninhaberdaten
- Schützen Sie alle Systeme vor Malware und aktualisieren Sie regelmäßig Antivirenprogramme
- Entwickeln und pflegen Sie sichere Systeme und Anwendungen
- Beschränken Sie den Zugriff auf Karteninformationen
- Identifizieren und authentifizieren den Zugriff auf alle Systemkomponenten
- Beschränken Sie den physischen Zugang zu Karteninformationen
- Verfolgen und überwachen Sie den gesamten Zugriff auf Netzwerk- und Karteninhaberdaten
- Häufige Sicherheitssysteme und -prozesse testen
- Verwalten Sie eine Informationssicherheitsrichtlinie für alle Mitarbeiter
Um sensible Karteninformationen zu schützen, liegt es in der Verantwortung jedes Unternehmens, das Kundenkartendaten verarbeitet, überträgt und speichert, um sicherzustellen, dass PCI -Standards erfüllt werden. Diese Standards können den Händlern helfen, sich gegen Hacker und Informationsdiebe zu bewegen.
Nicht erfüllte diese Anforderungen kann ein Unternehmen anfälliger für finanzielle Schäden lassen und zu kostspieligen Nichteinhaltunggebühren führen, die von Kreditkartenmarken bewertet werden.
Wie funktioniert PCI Compliance??
Jeder Kartenaussteller hat seine eigenen PCI -Compliance -Richtlinien. Um als PCI-konform betrachtet zu werden, müssen Unternehmen einen dreistufigen Prozess durchführen, der Scoping, Bewertung und Berichterstattung umfasst.
Scoping
Im Scoping müssen Geschäftsinhaber alle Systeme identifizieren, die bei Kompromisse auf Karteninhaberdaten auswirken könnten. Scoping ist im Allgemeinen ein jährlicher Prozess, bei dem alle Systeme und Möglichkeiten zur Bewertung von Karteninhaber mit einem Unternehmen bewertet werden. Dieser Prozess wird dazu beitragen, die Art der erforderlichen Bewertung sowie die Größe und Kosten zu bestimmen.
Bewertung
Der Bewertungsanteil der PCI-Konformität besteht entweder aus einem Fragebogen zur Selbsteinschätzung oder einem von einem qualifizierten Sicherheitsabrechnung durchgeführten Audit vor Ort. Welche Bewertung, die ein Unternehmen benötigt. Zum Beispiel dürfen Unternehmen, die jedes Jahr unter der angegebenen Anzahl von Kartentransaktionen eines Emittenten verarbeiten.
Geschäftsinhaber können ihren Händlerniveau über die ausgewiesene Website jedes Kreditkartenunternehmens wie diese für Visa, Mastercard und American Express bestimmen.
Berichterstattung
Sobald Geschäftsinhaber die Selbsteinschätzung abgeschlossen haben, müssen sie sie dem Kreditkartenunternehmen melden. Unternehmen, die sich für eine persönliche Bewertung qualifizieren. PCI -Konformitätsbewertungen sind nur jährlich erforderlich, aber Geschäftsinhaber benötigen möglicherweise vierteljährliche Schwachstellenscans, die von einem zugelassenen Scan -Anbieter durchgeführt werden. Unabhängig davon, welche Bewertung vorliegt, ist die Berichterstattung über die Prüfungsergebnisse an die Zahlungskartenausstellern der letzte Schritt für die Einhaltung der PCI.
Die zentralen Thesen
- PCI -Einhaltung ist die Set von Standards der Kreditkartenindustrie, die Unternehmen, die Karteninhaber Daten akzeptieren, übertragen und speichern, folgen müssen.
- Es gibt 12 technische und operative Standards, an die Unternehmen einhalten müssen, um die PCI -Konformität zu erfüllen.
- Es gibt einen dreistufigen Prozess, um PCI-konform zu werden: Scoping, Bewertung und Berichterstattung.
- Der Bewertungsprozess beinhaltet entweder die Einnahme eines Selbstbewertungsfragebogens oder die Erstellung eines Audits vor Ort.