PCI DSS ตามภาพรวม

การแนะนำ

การเจริญเติบโตของบริการออนไลน์เพื่ออำนวยความสะดวกใช้งานง่ายสำหรับลูกค้าที่ซื้อสินค้าได้เติบโตขึ้นชี้แจงในปีที่ผ่านมา เพื่อที่จะทำให้ขั้นตอนการซื้อได้ง่ายขึ้นโดยทั่วไปลูกค้าจ่ายสำหรับการบริการหรือสินค้าด้วยบัตรเครดิตหรือบัตรเดบิต แต่การปรับปรุงประสิทธิภาพและความสะดวกสบายสำหรับผู้บริโภคหมายถึงอาชญากรรมที่ได้ก็จะกลายเป็นเรื่องง่ายและสะดวกมากยิ่งขึ้น

ได้กลายเป็นอาชญากรที่มีความชำนาญมากขึ้นมีการค้นพบว่ามีจำนวนเงินที่สำคัญของเงินที่จะได้มามีความเสี่ยงน้อยมากและเป็นเช่นการฉ้อโกงบัตรเครดิตและการขโมยข้อมูลส่วนตัวได้กลายเป็นเรื่องปกติมากขึ้นในปีที่ผ่านมา เครือข่ายโครงสร้างพื้นฐานที่มีการใช้ประโยชน์ในเชิงพาณิชย์จำเป็นต้องมีการรักษาความปลอดภัยแน่นอนเนื่องจากข้อมูลส่วนบุคคลที่สำคัญที่พวกเขามี

บริษัท ที่รับชำระเงินผ่านบัตรเครดิตกระบวนการการทำธุรกรรมบัตรเครดิตเก็บข้อมูลบัตรเครดิตหรือในลักษณะอื่นใดทุกสัมผัสส่วนบุคคลหรือข้อมูลที่มีความสำคัญที่เกี่ยวข้องกับการประมวลผลการชำระเงินเครดิตการ์ดได้รับผลกระทบโดย PCI DSS

PCI DSS คืออะไร?

การ์ดอุตสาหกรรมการชำระเงิน Data Security มาตรฐาน (PCI DSS) เป็นชุดของมาตรฐานการรักษาความปลอดภัยที่ได้รับการสร้างขึ้นโดย บริษัท บัตรเครดิตรายใหญ่ (American Express, Discover บริการทางการเงิน, JCB, MasterCard ทั่วโลกและวีซ่าอินเตอร์เนชั่นแนล) เพื่อปกป้องลูกค้าของพวกเขาจากตัวตนที่เพิ่มขึ้น การโจรกรรมและการละเมิดความปลอดภัย
ที่จะต้องสอดคล้องกับ PCI DSS?

แทบทุกธุรกิจโดยไม่คำนึงถึงขนาดของพวกเขาจำเป็นต้องเข้าใจขอบเขตของ DSS PCI และวิธีการในการดำเนินการรักษาความปลอดภัยเครือข่ายที่สอดคล้องกับแนวทาง PCI DSS ในการทำเช่นนั้นพวกเขาจะหลีกเลี่ยงการลงโทษหรือความเป็นไปได้ของการมีสถานะการค้าของพวกเขาถูกเพิกถอนและอาจถูกห้ามจากการยอมรับหรือการประมวลผลบัตรเครดิต

บริษัท ที่ร้านกระบวนการหรือส่งข้อมูลผู้ถือบัตรจะต้องสอดคล้องกับ PCI DSS ใด ๆ ส่วนใหญ่ร้านค้าและผู้ให้บริการควรจะเป็นไปตามมาตรฐานนี้ พ่อค้าเป็น บริษัท ที่รับบัตรเครดิตในการแลกเปลี่ยนสินค้าหรือบริการ ผู้ให้บริการเป็น บริษัท ที่มีกระบวนการจัดเก็บหรือส่งข้อมูลผู้ถือบัตรรวมทั้ง บริษัท ที่ให้บริการกับร้านค้าหรือผู้ให้บริการอื่น ๆ เพื่อให้สอดคล้องกับมาตรฐานนี้ให้บริการผู้ประกอบการค้าหรือบริการที่มีการตอบสนองความต้องการที่ระบุด้านล่าง

ภาพรวมของความต้องการ PCI DSS

รุ่น PCI DSS 1.1 ประกอบด้วยหกวัตถ​​ุประสงค์ของการควบคุมซึ่งจะมีมากกว่าหนึ่งความต้องการที่ครอบคลุมขอบเขตของ IT การรักษาความปลอดภัยที่มีการผสมผสานของเทคนิคและการควบคุมความปลอดภัย ตาม PCI DSS 1.1 ขอบเขตรวมถึงสภาพแวดล้อมข้อมูลผู้ถือบัตรเฉพาะในกรณีที่การแบ่งส่วนเครือข่ายที่เพียงพออยู่ในสถานที่ ในกรณีส่วนใหญ่นี้หมายถึงการใช้งานของไฟร์วอลล์ทุ่มเทและไม่สามารถเปลี่ยนเส้นทางเสมือนเครือข่ายท้องถิ่น (VLANs) หากคุณไม่ได้มีการควบคุมดังกล่าวในสถานที่ที่ขอบเขตของการตรวจสอบตาม PCI จะครอบคลุมเครือข่ายทั้งหมดของคุณ รายการด้านล่าง elucidates 12 ข้อกำหนด PCI:
ต้องการ• 1: ติดตั้งและบำรุงรักษาการกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร
ต้องการ• 2: อย่าใช้ผู้ผลิตจัดจำหน่ายเริ่มต้นสำหรับรหัสผ่านระบบการรักษาความปลอดภัยและพารามิเตอร์อื่น ๆ
ต้องการ• 3: ปกป้องจัดเก็บข้อมูลผู้ถือบัตร
• 4 ต้องการ: การส่งผ่านการเข้ารหัสลับของข้อมูลผู้ถือบัตรทั่วเปิดเครือข่ายสาธารณะ,
ต้องการ• 5: การใช้อย่างสม่ำเสมอและปรับปรุงซอฟต์แวร์ป้องกันไวรัส
ต้องการ• 6: การพัฒนาและบำรุงรักษาระบบการรักษาความปลอดภัยและการใช้งาน
ต้องการ• 7: จำกัด การเข้าถึงข้อมูลผู้ถือบัตรเมื่อจำเป็นที่จะต้องไปรู้พื้นฐาน
ต้องการ• 8: กำหนดเป็นรหัสที่ไม่ซ้ำกับแต่ละคนที่มีการเข้าถึงคอมพิวเตอร์
ต้องการ• 9: จำกัด การเข้าถึงทางกายภาพกับข้อมูลผู้ถือบัตร
ต้องการ• 10: ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด
ต้องการ• 11: ประจำการทดสอบระบบรักษาความปลอดภัยและกระบวนการ
ต้องการ• 12: รักษานโยบายที่เน้นการรักษาความปลอดภัยข้อมูล

ขั้นตอนการปฏิบัติตามกฎระเบียบ

ทั้งนี้ขึ้นอยู่กับผู้ประกอบการค้าของ บริษัท หรือผู้ให้บริการระดับการให้บริการทั้งในสถานที่ PCI ประจำปีการตรวจสอบจะต้องมีการดำเนินการหรือแบบสอบถามการประเมินตนเอง (SAQ) จะต้องมีการเติมเต็มในการตรวจสอบการปฏิบัติตาม นอกจากนี้ผลจากการสแกนระบบเครือข่ายรายไตรมาส (ซึ่งจะต้องมีการดำเนินการโดยผู้ผลิตสแกนได้รับการอนุมัติ) หลักฐานของการสแกนช่องโหว่ภายในและหลักฐานของการประยุกต์ใช้งานและเครือข่ายการทดสอบการเจาะจะต้องใช้ร่วมกันกับแบรนด์บัตร
ที่จะพิสูจน์ให้พวกเขาว่า บริษัท ปฏิบัติจัดการแก้ไขเสียงและกระบวนการการจัดการช่องโหว่

PCI แยกประเภทร้านค้าและผู้ให้บริการขึ้นอยู่กับจำนวนของการทำธุรกรรมที่เกิดขึ้นผ่านบริการของพวกเขา

การบรรลุตาม PCI DSS

ขอแนะนำว่าวิธีการเชิงรุกสำหรับร้านค้าและผู้ให้บริการเพื่อตอบสนองตาม PCI DSS รวมถึงการมีระบบเครือข่ายของพวกเขาสแกนโดยการสแกนผู้ขายได้รับการอนุมัติ (ASV) ทุกไตรมาส ASV ตามคำร้องขอของผู้ให้บริการผู้ประกอบการค้าหรือบริการที่จะได้รับข้อมูลที่จำเป็นใช้การสแกนและส่งรายงานการสแกนอย่างชัดเจนไฮไลท์สถานะการปฏิบัติตามช่องโหว่ของเครือข่ายและบริการที่มีความเสี่ยงต่อการจัดให้เป็นรูปแบบการให้คะแนนและความรุนแรงตามที่กำหนด PCI DSS สแกนปฏิบัติตามขั้นตอนดังต่อไปนี้ไฮไลต์ด้านล่าง:
•ผู้ให้บริการผู้ประกอบการค้าหรือบริการร่วมกับ ASV เพื่อดำเนินการ PCI DSS สแกนบริการ
•พ่อค้า ASV ให้ข้อมูลเกี่ยวกับระบบเครือข่ายของพวกเขา ความต้องการพิเศษเช่นการยกเว้นหรือการให้เหตุผลของการให้บริการที่เฉพาะเจาะจงจะถูกนำเข้าบัญชีเป็นส่วนหนึ่งของขั้นตอนนี้;
• ASV สแกนระบบเครือข่ายของร้านค้าจากเว็บไซต์ระยะไกลโดยใช้การทดสอบไม่ล่วงล้ำ;
• ASV กำหนดตามขึ้นอยู่กับช่องโหว่ที่พบในระหว่างการประเมิน นี้จะ benchmarked กับเมทริกซ์ให้คะแนนที่มีให้โดย DSS PCI;
• ASV ผลิตรายงานที่มีสถานะ PCI DSS ขององค์ประกอบแต่ละเครือข่ายที่สแกนด้วยคำแนะนำเพื่อแก้ไขช่องโหว่;
• ASV และผู้ประกอบการค้าจะต้องทบทวนช่องโหว่ด้วยกันและใช้การแก้ปัญหาข้อเสนอแนะเพื่อเป็นการป้องกันความเสี่ยงที่รับรู้และรักษาไว้ซึ่งการปฏิบัติตาม PCI DSS

ประโยชน์ของการปฏิบัติตาม
•โดยการปฏิบัติตาม PCI DSS องค์กรได้ดำเนินการขั้นตอนที่เหมาะสมเพื่อให้แน่ใจว่าลูกค้าและข้อมูลของพวกเขาที่มีความเชื่อถือได้
•หนึ่งในผลประโยชน์ของการปฏิบัติตาม PCI DSS คือการที่องค์กรจะไม่ประสบโทษรุนแรงถ้าบริการของพวกเขาจะถูกละเมิด ถ้าการวิเคราะห์การรักษาความปลอดภัยหลังจากที่เกิดเหตุการณ์ที่แสดงให้เห็นว่า บริษัท ยังคงเป็นไปตามช่วงเวลาของเหตุการณ์ที่เกิดขึ้นนี้จะมีผลในการปฏิบัติที่ยืดหยุ่นโดยเจ้าหน้าที่;
•มีความสำคัญมากหาก บริษัท ของคุณคือระดับที่ 1 หรือระดับที่ 2 ผู้ประกอบการค้าคุณอาจมีสิทธิ์ได้รับส่วนหนึ่งของ $ 20,000,000 ในสิ่งจูงใจทางการเงินจากวีซ่า;
•โดยการได้รับการปฏิบัติตาม PCI DSS สถานะขององค์กรที่สามารถดึงดูดส่วนลดค่าใช้จ่ายในการทำธุรกรรมจาก บริษัท บัตรเครดิต