Дата-центр TIER 3 Аналитика Контакты Профиль
5151 Бесплатно с мобильного по РК info@kazteleport.kz +7 727 364 5151 Международные звонки
5151 Бесплатно с мобильного по РК
+7 727 364 5151 Международные звонки
Блог

PCI DSS как гарантия безопасности данных индустрии платежных карт

17.08.2023

PCI DSS — это стандарт безопасности индустрии платежных карт, регламентирующий список процедур и политик, основная функция которых заключается в оптимизации уровня безопасности транзакций, проводимых по платежным картам, в том числе дебетовым и кредитным, и защите владельцев карт от несанкционированного использования личных конфиденциальных данных. Основная цель разработки технологии payment card industry data заключалась в предотвращении нарушений кибербезопасности личной информации и минимизации случаев мошенничества в организациях, работающих с данными о платежных картах.

pasted image 0 (10).png

PCI DSS стандарт не является обязательным к выполнению, так как не относится к нормативно-правовым актам ни одной страны. Тем не менее финансовые компании, занимающиеся обработкой и хранением информации о транзакциях по платежным картам, зачастую выполняют его как одно из договорных обязательств.

Шесть принципов PCI DSS

  1. Создание и поддержание высокого уровня безопасности системы и сети. Проведение транзакций по картам пользователей возможно только в защищенной сети. В список компонентов безопасности должны быть включены надежные брандмауэры, эффективно выполняющие возложенные на них функции и при этом не доставляющие клиентам неудобств. Системные пароли должны быть оригинальными.

  2. Безопасность личной информации владельцев платежных карт. Компании, работающие по security standard, должны гарантировать конфиденциальность данных, касающихся владельцев карт, включая почтовые адреса, даты рождения, номера телефонов, девичьи фамилии матерей и прочее, вне зависимости от места ее хранения. При необходимости отправки информации по каналам связи с общим доступом, она должна быть предварительно зашифрована.

  3. Управление уязвимостями. Финансовым компаниям, занимающимся обслуживанием клиентских платежных карт, необходимо разработать и внедрить программы управления уязвимостями и оценки рисков, основная задача которых состоит в защите корпоративных систем от потенциальных злонамеренных действий хакеров, от вредоносного и шпионского программного обеспечения. Используемые в процессе работы приложения должны быть протестированы и не содержать известных уязвимостей, которые могут быть использованы злоумышленниками с целью завладения конфиденциальной информацией.  

  4. Контроль доступа. Обязательным условием является контроль доступа к системным данным и его ограничение, в зависимости от роли пользователя. Всем сотрудникам, работающим с корпоративной IT-инфраструктурой, должны быть присвоены уникальный идентификатор и имя пользователя. Вся информация, касающаяся владельцев карт, должна быть защищена не только в цифровом, но и в физическом виде. К физической защите относится ввод ограничения на копирование бумажных документов, применение уничтожителей документов, использование замков на мусорных урнах и баках.

  5. Мониторинг и контроль сети. Необходимо проводить регулярное тестирование используемых сетей, чтобы иметь возможность гарантировать их эффективное функционирование и надлежащий уровень безопасности.  Антивирусное ПО и другие программные защитные продукты должны иметь последние обновления.

  6. Информационная безопасность. Требования по информационной безопасности должны соблюдаться всеми сотрудниками. За нарушение правил возможно введение системы ответственности, включающей в себя дополнительные проверки и денежные взыскания.

Преимущества PCI DSS

pasted image 0 (11).png

Стандарт PCI DSS позволяет компаниям повысить репутацию среди клиентов, так как его соблюдение обеспечивает высокий уровень безопасности в работе с личными данными. Рассмотрим основные плюсы стандарта для компаний, занимающихся финансовыми операциями:

  1. Повышение доверия клиентов. Высокий уровень защиты личной информации способствует повышению доверия к компании и ее росту как бизнес-предприятия за счет повышения вероятности повторного использования ее услуг клиентами и возможных рекомендаций услуг другим пользователям.

  2. Минимизация вероятности утечек информации. Защитные процедуры и меры безопасности стандарта максимально снижают риск утечки информации и, соответственно, связанных с этим бюджетных расходов, в частности судебных издержек, штрафов и репутационных потерь.

  3. Высокий уровень защиты от мошенничества. При соблюдении всех требований PCI DSS, возможные факты мошенничества обнаруживаются в кратчайший срок, что снижает риск потенциального финансового ущерба для организации.

  4. Соответствие стандартам отрасли. Компании, придерживающиеся стандарта безопасности, соответствуют лучшим отраслевым практикам, что позволяет улучшить репутацию не только среди клиентов, но и в кругу партнеров, регулирующих органов и заинтересованных сторон.

Выводы

В данном материале было рассмотрено, что такое PCI DSS, его основные принципы и преимущества. Кроме всех регламентируемых правил безопасного обращения с конфиденциальной информацией, принадлежащей клиентам, стандартом предлагается организациям разрабатывать собственные требования по безопасности и самоконтролю для предоставления клиентам максимально качественных услуг.
Поделиться статьей
Другие новости
и статьи
Смотреть все
Jelastic на SmartCloud прекращает свою работу
30.01.2024
Jelastic на SmartCloud прекращает свою работу
Прочитать
Как определить скрытый майнинг
29.01.2024
Как определить скрытый майнинг
Прочитать
Ботнеты: что это и как они влияют на кибербезопасность
22.01.2024
Ботнеты: что это и как они влияют на кибербезопасность
Прочитать
Кейлоггер (клавиатурный шпион) и методы защиты данных
15.01.2024
Кейлоггер (клавиатурный шпион) и методы защиты данных
Прочитать
Фишинг и фарминг: сходства и различия
09.01.2024
Фишинг и фарминг: сходства и различия
Прочитать
Что такое троянский вирус и методы удаления?
04.01.2024
Что такое троянский вирус и методы удаления?
Прочитать
Что такое лжеантивирусы?
25.12.2023
Что такое лжеантивирусы?
Прочитать
«Казтелепорт» запустит солнечную электростанцию на территории ЦОД «Сайрам»
21.12.2023
«Казтелепорт» запустит солнечную электростанцию на территории ЦОД «Сайрам»
Прочитать
Программы-вымогатели: как распознать и предотвратить атаку
18.12.2023
Программы-вымогатели: как распознать и предотвратить атаку
Прочитать
Что такое бесфайловые вредоносные программы?
11.12.2023
Что такое бесфайловые вредоносные программы?
Прочитать