Hàng năm, các doanh nghiệp có nguy cơ bị vi phạm dữ liệu làm tổn hại đến thông tin khách hàng. Theo một báo cáo hàng năm của Bảo mật dựa trên rủi ro, năm ngoái đã chứng kiến ​​một đỉnh cao mới về sự cố vi phạm:3.930 lần xảy ra dẫn đến hơn 736 triệu hồ sơ bị lộ.

Bảo mật dữ liệu là mối quan tâm nghiêm trọng của doanh nghiệp, đặc biệt là khi gần 60% doanh nghiệp nhỏ phá sản sau khi vi phạm.

Nếu doanh nghiệp của bạn chấp nhận thanh toán bằng thẻ ghi nợ / tín dụng, bạn có thể quen với việc tuân thủ Ngành thẻ thanh toán (PCI), các yêu cầu và biện pháp bảo mật do ngành này thiết lập. Tuy nhiên, nhiều doanh nghiệp mới (và một số doanh nghiệp đã thành lập tốt) hoàn toàn không quen với việc tuân thủ PCI.

Làm quen với các tiêu chuẩn PCI là một thành phần quan trọng của hoạt động kinh doanh hiện đại.

Tuân thủ PCI đề cập đến một tập hợp các tiêu chuẩn và quy tắc bắt buộc do Ngành thẻ thanh toán viết và thực thi, đó là Visa, MasterCard, American Express và Discover.

Bất kỳ công ty lưu trữ, xử lý hoặc chuyển các khoản thanh toán bằng thẻ tín dụng và thẻ ghi nợ bắt buộc phải đáp ứng các hướng dẫn của Hội đồng Tiêu chuẩn Bảo mật PCI (SSC) và hàng năm chứng minh sự tuân thủ, nếu không sẽ phải đối mặt với các khoản tiền phạt đắt đỏ và có thể mất quyền xử lý các giao dịch.

Yêu cầu tiêu chuẩn về bảo mật dữ liệu của SSC

UBCKNN đã đưa ra mười hai yêu cầu rộng rãi đối với việc tuân thủ PCI. Mặc dù các yêu cầu này phải được đáp ứng, nhưng chúng không nêu chi tiết cụ thể về cách thức doanh nghiệp của bạn phải đáp ứng họ. Ví dụ, các công ty phải sử dụng và cập nhật phần mềm diệt vi rút, nhưng UBCKNN không quy định phần mềm nào phải được sử dụng.

Để thực hiện các tiêu chuẩn này, SSC cung cấp hướng dẫn Cách tiếp cận Ưu tiên đối với Tuân thủ PCI.

Yêu cầu Tiêu chuẩn Bảo mật Dữ liệu:

1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ
2. Không sử dụng các giá trị mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các thông số bảo mật khác
3. Bảo vệ dữ liệu được lưu trữ
4. Mã hóa việc truyền dữ liệu chủ thẻ qua các mạng công cộng, mở
5. Sử dụng và cập nhật thường xuyên phần mềm chống vi-rút
6. Phát triển và duy trì các hệ thống và ứng dụng an toàn
7. Hạn chế quyền truy cập vào dữ liệu chủ thẻ bởi điều cần biết của doanh nghiệp
8. Chỉ định một ID duy nhất cho mỗi người có quyền truy cập máy tính
9. Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ
10. Theo dõi và giám sát tất cả quyền truy cập vào tài nguyên mạng và dữ liệu chủ thẻ
11. Thường xuyên kiểm tra các hệ thống và quy trình bảo mật
12. Duy trì chính sách đề cập đến vấn đề bảo mật thông tin

Quy trình tuân thủ 3 bước

1:Đánh giá

Mục đích của việc đánh giá là xác định các lỗ hổng có nguy cơ ảnh hưởng đến bảo mật dữ liệu thanh toán của khách hàng. Đánh giá nên mang tính chất toàn diện, phân tích toàn bộ quy trình giao dịch của công ty bạn từ đầu đến cuối. Điều này không chỉ bao gồm các mạng kỹ thuật số mà tất cả các khu vực lưu trữ dữ liệu thanh toán của khách hàng, chẳng hạn như máy tính xách tay thực, máy tính để bàn và biên lai bằng giấy.

Nếu bên thứ ba là một phần của quy trình thanh toán của bạn, bạn cũng phải đánh giá các quy trình và hệ thống của họ.

SSC cung cấp hỗ trợ bằng cách đào tạo và xác nhận các đánh giá viên chuyên nghiệp, trong đó có hai loại:Các chuyên gia đánh giá bảo mật đủ điều kiện và các nhà cung cấp dịch vụ quét được chấp thuận (ASV).

QSA đánh giá tính bảo mật dữ liệu của bạn và chuẩn bị bằng chứng để gửi làm bằng chứng tuân thủ.

ASV's cung cấp các công cụ phần mềm thương mại có thể phân tích các điểm yếu của hệ thống dữ liệu của bạn.

2:Khắc phục sự cố

Khắc phục hậu quả là quá trình giải quyết và sửa chữa bất kỳ lỗ hổng nào được tìm thấy trong quá trình đánh giá của bạn.

Nhiều chiến lược khắc phục rất đơn giản:cập nhật phần mềm chống vi-rút, thêm khóa vào cửa nơi đặt máy chủ của công ty, áp dụng mật khẩu mới cập nhật 90 ngày một lần.

Tuy nhiên, nơi mà nhiều công ty gặp khó khăn là trong việc tạo ra và thực hiện các chính sách và thủ tục bảo mật của công ty. Nếu không có các chính sách và thủ tục được xây dựng tốt và được truyền đạt rõ ràng trong toàn công ty, hầu hết các doanh nghiệp cuối cùng sẽ thất bại trong việc duy trì sự tuân thủ.

Mỗi công ty là duy nhất, và vì lý do này, việc khắc phục có tính đặc thù cao đối với từng doanh nghiệp. Không có hai chiến lược khắc phục nào giống nhau hoàn toàn.

3:Báo cáo

Báo cáo về Tuân thủ (ROC) phải được gửi để chứng minh rằng doanh nghiệp của bạn đã đáp ứng các yêu cầu của UBCKNN. ROC không phải là một tài liệu đơn lẻ, mà là một bản tóm tắt bằng chứng thu thập được trong các giai đoạn đánh giá và khắc phục.

Các tài liệu của ROC có thể bao gồm các giấy tờ làm việc chi tiết từ một người đánh giá đủ năng lực, kết quả kiểm tra hệ thống, dữ liệu cấu hình, ghi chú phỏng vấn, ảnh chụp màn hình và nhiều bằng chứng khác.

UBCKNN đã cung cấp tài liệu Hướng dẫn Báo cáo chi tiết dài 113 trang, tài liệu này có thể được xem xét để hướng dẫn quy trình báo cáo.

Đang diễn ra

Tuân thủ PCI là một quá trình liên tục . Một đánh giá đơn lẻ hoặc xác nhận hàng năm không phải là kết thúc của quá trình. Thay vào đó, tuân thủ là việc thực hiện và giám sát liên tục nhiều chiến lược để đảm bảo dữ liệu vẫn an toàn và bảo mật.

Những quan niệm sai lầm phổ biến

Nếu tôi không lưu trữ thông tin thẻ tín dụng, PCI sẽ không áp dụng cho tôi.

Tuân thủ PCI áp dụng cho các công ty lưu trữ thông tin thanh toán bằng thẻ ghi nợ / thẻ tín dụng và các công ty xử lý hoặc chuyển các khoản thanh toán đó. Cho dù bạn có lưu trữ dữ liệu hay không, nếu bạn chấp nhận thanh toán bằng ghi nợ / tín dụng, thì việc tuân thủ PCI sẽ áp dụng cho bạn.

Tôi chỉ xử lý một số lượng nhỏ giao dịch và PCI chỉ áp dụng cho các tập đoàn lớn.

Tuân thủ PCI dành cho tất cả các công ty lưu trữ, xử lý hoặc chuyển ngay cả một khoản thanh toán ghi nợ / ghi có. Quyền miễn trừ duy nhất dành cho các doanh nghiệp đã chuyển giao toàn bộ quy trình giao dịch cho bên thứ ba.

Sau khi tôi đã báo cáo và xác thực việc tuân thủ, PCI đã kết thúc và hoàn thành.

Tuân thủ PCI là một quá trình liên tục, không phải là một sự kiện mỗi năm một lần. Việc xác nhận phải được coi là bản chụp nhanh trong thời gian, không phải là một con dấu phê duyệt hàng loạt. Thông thường sẽ tìm thấy các công ty đã được xác nhận trong quá trình đánh giá hàng năm nhưng sau đó đã gặp phải vi phạm bảo mật do không tuân thủ.

Những người bán khác không bị phạt và ngay cả khi tôi không tuân thủ, tiền phạt cũng không có gì to tát.

Tiền phạt cho việc không tuân thủ là rất lớn, từ $ 5000 đến $ 100.000 mỗi tháng. Các doanh nghiệp cũng có thể mất hoàn toàn quyền xử lý các khoản thanh toán ghi nợ / tín dụng cho đến khi việc tuân thủ được chứng minh và xác nhận.

Tôi đã vượt qua quá trình quét ASV của mình, vì vậy tôi hiểu rõ.

Quét ASV chỉ là một bước duy nhất trong quy trình liên tục. Hãy coi chúng là một công cụ duy nhất trong số nhiều công cụ trong nỗ lực không ngừng để duy trì sự tuân thủ.