Om ditt företag ansvarar för kreditkortsbetalningar är PCI DSS-överensstämmelse en viktig del av skyddet av kundernas betalkortsuppgifter och av ditt eget företag mot de förödande konsekvenserna av ett dataintrång.
Den olyckliga verkligheten är att kreditkortsbedrägerier fortsätter att öka, och enligt Federal Trade Commissions Consumer Sentinel Network ökade rapporterna om kreditkortsbedrägerier med 104 % mellan första kvartalet 2019 och första kvartalet 2020.
Det har aldrig varit viktigare att skydda kortinnehavaruppgifter och PCI DSS lägger grunden för att upprätthålla de strikta säkerhetsåtgärder som krävs för att skydda dessa känsliga uppgifter. Vår guide om PCI DSS-efterlevnad hjälper till att förklara hur PCI DSS fungerar, vem det gäller och vilka steg du måste ta för att uppfylla kraven.
Vad är PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) är en uppsättning säkerhetsstandarder som är utformade för att minska risken för kreditkortsbedrägerier och öka säkerheten för betalkortsdata. Den grundades 2004 av de fyra stora kreditkortsföretagen Visa, Mastercard, Discover och American Express. PCI DSS har utvecklats under åren och regleras nu av PCI Security Standards Council (PCI SSC ). PCI SSC definierar och förvaltar standarderna, medan de enskilda kreditkortsföretagen ser till att standarderna följs.
Vem berörs av PCI DSS?
PCI DSS gäller för alla organisationer som lagrar, bearbetar eller överför kortinnehavaruppgifter. För att fastställa vilka krav på efterlevnad som gäller för enskilda företag har PCI SCC skapat ett system med fyra nivåer som klassificerar företag utifrån transaktionernas storlek och risk.
Nivå 1 - Handlare som hanterar mer än 6 miljoner transaktioner per år eller som tidigare har fått uppgifter komprometterade.
Nivå 2 - Handlare som hanterar mellan 1 och 6 miljoner transaktioner per år.
Nivå 3 - Handlare som hanterar mellan 20 000 och 1 miljon transaktioner per år.
Nivå 4 - Handlare som hanterar mindre än 20 000 transaktioner per år.
Trots att det finns flera nivåer är kraven desamma för alla handlare och tjänsteleverantörer i alla branscher.
Hur kan kortinnehavaruppgifter äventyras?
För att få tillgång till känsliga kortinnehavaruppgifter försöker cyberkriminella utnyttja säkerhetsbrister i dina operativsystem och enheter. Detta kan ske genom:
- Kortläsare
- Försäljningssystem
- Databas för betalningssystem
- Lagringsnätverk
- Onlineportaler
- Trådlöst nätverk
- Pappersdokumentation
Vilka är de 12 kraven för PCI DSS-överensstämmelse?
PCI DSS innehåller 12 krav som är utformade för att skydda kortinnehavaruppgifter och förhindra dataintrång. Dessa standarder gäller inte bara handlare utan även alla andra företag som lagrar, bearbetar eller överför kortinnehavaruppgifter.
1. Installera och underhålla en brandväggskonfiguration för att skydda kortinnehavarnas uppgifter.
En brandvägg är en nätverkssäkerhetsenhet som övervakar inkommande och utgående nätverkstrafik och beslutar om den ska blockera viss trafik baserat på en definierad uppsättning säkerhetsregler. Den är din första försvarslinje mot säkerhetshot och bör testas, hanteras och uppdateras regelbundet.
2. Använd inte leverantörens standardvärden för systemlösenord och andra säkerhetsparametrar.
Cyberkriminella använder ofta standardlösenord och standardinställningar för att äventyra system. Det är viktigt att du omedelbart ändrar alla standardinloggningsuppgifter innan du inför nya system i ditt nätverk.
3. Skydda lagrade kortinnehavaruppgifter
Att skydda kortinnehavaruppgifter, oavsett om de är i fysiskt eller digitalt format, är avgörande för att uppfylla PCI DSS. Cyberbrottslingar tar ofta sikte på lagrade kortinnehavaruppgifter och använder dem sedan för att utföra bedrägliga transaktioner. Om kortinnehavaruppgifter behöver lagras bör du se till att rätt säkerhetsåtgärder finns på plats för att uppfylla de olika rättsliga, regulatoriska och efterlevnadskraven.
4. Kryptera överföringen av kortinnehavaruppgifter i öppna, offentliga nätverk.
När kortinnehavaruppgifter överförs via lättåtkomliga nätverk kan cyberkriminella försöka ta del av uppgifterna. För att säkerställa att uppgifterna är säkra måste de krypteras med stark kryptografi och säkerhetsprotokoll som Secure Shell (SHH), IPSec och Transport Layer Security (TLS).
5. Använd och uppdatera regelbundet antivirusprogram.
Anti-virusprogram bör installeras på alla kritiska affärssystem för att förhindra att skadlig kod förs in i nätverket. Detta bidrar till att skydda kortinnehavarnas uppgifter och ger ett bättre skydd mot nyskapade virus.
6. Utveckla och underhålla säkra system och tillämpningar.
Cyberbrottslingar utnyttjar ofta sårbarheter i ditt system för att få tillgång till känsliga kortinnehavaruppgifter. Nätverksleverantörer släpper regelbundet patchar för att åtgärda säkerhetsbrister, så det är viktigt att du tillämpar dem så snart de släpps. Patchar är viktiga för att hålla systemen uppdaterade, stabila och säkra mot skadlig kod och andra hot.
7. Begränsa åtkomsten till kortinnehavaruppgifter med hjälp av affärsbehov.
Tillgång till kortinnehavaruppgifter bör endast beviljas på grundval av ett behov av att känna till dem. Medarbetarfel är fortfarande den främsta orsaken till alla dataintrång, så det bör finnas starka åtkomstkontroller för att se till att endast den personal som behöver göra transaktioner får tillgång till dem.
8. Identifiera och autentisera åtkomst till systemkomponenter.
Varje anställd som har tillgång till känslig information bör tilldelas ett unikt ID. På så sätt kan du spåra vem som har tillgång till specifika system och när.
9. Begränsa den fysiska tillgången till kortinnehavaruppgifter.
Fysisk åtkomst till datasystem som innehåller uppgifter om kortinnehavare bör begränsas till auktoriserad personal. Detta förhindrar att obehöriga personer får fysisk tillgång till systemen eller gör papperskopior av känsliga uppgifter.
10. Spåra och övervaka all åtkomst till nätverksresurser och kortinnehavaruppgifter.
Tillgång till nätverksresurser och kortinnehavaruppgifter bör övervakas noga och all aktivitet bör loggas. Denna verifieringskedja kan hjälpa till att upptäcka skadligt beteende och identifiera ett brott.
11. Regelbundet testa säkerhetssystem och -processer.
Nya sårbarheter dyker upp hela tiden, så det är viktigt att regelbundet testa dina system och processer för att se till att säkerheten upprätthålls. PCI DSS rekommenderar också regelbunden penetrationstestning och användning av system för att upptäcka och förhindra intrång för att garantera säkerheten för kortinnehavaruppgifter.
12. Upprätthåller en policy som behandlar informationssäkerhet för all personal.
En stark, PCI DSS-kompatibel säkerhetspolicy bör implementeras i hela företaget. Detta hjälper till att sätta en standard för vad som förväntas av personalen och belyser behovet av datasäkerhet inom organisationen.
Varför är PCI DSS-överensstämmelse så viktigt?
Det är viktigt att uppfylla PCI DSS-kraven om du vill kunna behandla korttransaktioner, skydda kortinnehavarnas uppgifter och minska risken för kostsamma intrång. Även om PCI DSS inte är ett lagstadgat krav anses kreditkortsdata enligt GDPR vara personuppgifter, vilket innebär att du är juridiskt bunden att hålla dessa data säkra och skyddade.
Vad händer om du inte följer PCI DSS?
Bristande efterlevnad av PCI DSS kan leda till allvarliga säkerhetsincidenter, t.ex. intrång eller stöld av kortinnehavaruppgifter. Ett dataintrång kan orsaka irreparabel skada för ditt företag, och förutom de förlamande böterna kan ditt företag drabbas av ytterligare konsekvenser om det inte kan skydda känsliga kortinnehavaruppgifter. Dessa omfattar bland annat följande:
- Ökad risk för kompromiss av uppgifter om betalkort
- Böter och påföljder
- Ersättningskostnader
- Förlust av konsumenternas förtroende
- Skador på varumärkets rykte
- Rättsliga åtgärder - kostnader, förlikningar och domar
- Förlust av arbetstillfällen
- Uppsägning av möjligheten att behandla betalkort
- Gå i konkurs
Slutsats
Cyberbrottslingar drar nytta av ökningen av digitala transaktioner och utnyttjar sårbarheter i systemen för att få tillgång till känsliga kortinnehavaruppgifter. För att bekämpa denna bedrägliga verksamhet är det viktigt att din organisation uppfyller PCI DSS-kraven och vidtar alla nödvändiga åtgärder för att säkra betalningstransaktioner och skydda kunddata.
För att förbättra medvetenheten om cybersäkerhet i din organisation och minska risken för kostsamma dataintrång har vi skapat en oumbärlig resurs för att genomföra en beteendeförändring och skapa en kultur av cybermedvetenhet.
I den här guiden Cyber Security Awareness For Dummies får du lära dig:
-Hur du genomför en kampanj för medvetenhet om cyberrisker.
-Hur du upprätthåller personalens drivkraft, engagemang och uppmärksamhet på hot mot cybersäkerheten.
-10 bästa metoder för medvetenhet om cybersäkerhet.
Klicka här för att få tillgång till guiden Cyber Security Awareness For Dummies.
