PCI-samsvar
Overholdelse av betalingskortindustri (PCI) viser til tekniske og operasjonelle standarder som virksomheter må følge for å sikre at kredittkortdata levert av kortholdere er beskyttet. PCI-overholdelse håndheves av PCI Standards Council, og alle virksomheter som lagrer, behandler eller overfører kredittkortdata elektronisk er pålagt å følge retningslinjene for overholdelse.
Å bryte ned PCI-samsvar
Overholdelsesstandarder for betalingskortindustri (PCI) krever at selgere og andre virksomheter håndterer kredittkortinformasjon på en sikker måte som bidrar til å redusere sannsynligheten for at kortholdere vil ha stjålet sensitive økonomiske data. Hvis selgere ikke håndterer kredittkortinformasjon ordentlig, kan kortinformasjonen bli hacket og brukt til å foreta falske kjøp. I tillegg kan sensitiv informasjon om kortholderen brukes i identitetssvindel.
Å være PCI-kompatibel betyr konsekvent å følge et sett med retningslinjer satt av selskaper som utsteder kredittkort. Retningslinjene skisserer en rekke trinn som kredittkortbehandlere kontinuerlig må følge. Bedrifter blir først bedt om å vurdere informasjonsteknologiinfrastruktur, forretningsprosesser og prosedyrer for håndtering av kredittkort for å identifisere potensielle trusler som kan kompromittere kredittkortsdata. Bedrifter blir deretter bedt om å løse eventuelle mangler i sikkerhet, og unngå å lagre sensitiv kortholderinformasjon, for eksempel personnummer og førerkortnummer, når det er mulig. Bedrifter er pålagt å levere samsvarsrapporter til kortmerkene de jobber med, for eksempel American Express og VISA.
Alle selskaper som behandler kredittkortinformasjon er pålagt å opprettholde PCI-overholdelse, uavhengig av størrelse eller antall kredittkorttransaksjoner de behandler. Alle selskaper er delt inn i selgernivåer basert på antall transaksjoner som blir behandlet i løpet av en spesifikk periode. PCI-samsvar er regulert av Payment Card Industry Security Standards Council, en organisasjon som ble opprettet i 2006 med det formål å administrere sikkerheten til kredittkort. Kravene, kjent som Payment Card Industry Data Security Standards (PCI DSS), styres av de største kredittkortselskapene, inkludert VISA, American Express, Discover og MasterCard, blant andre.
PCI-samsvar og brudd på data
Mange av historiens største datainnbrudd kan ha vært unngått hvis de berørte selgerne eller finansinstitusjonene var PCI-kompatible. Her er noen viktige takeaways fra Verizon 2017 Payment Security Report, en grundig studie av PCI DSS-samsvar:
- Detaljhandelsorganisasjoner demonstrerte den laveste bærekraften for PCI-overholdelse i alle viktige bransjer.
- IT-tjenestebransjen oppnådde høyest full overensstemmelse av alle nøkkelindustrigrupper som ble studert.
- 77 prosent av selskapene som ble vurdert etter et datainnbrudd, var ikke i samsvar med PCI-nummer nummer én: installere og vedlikeholde en brannmurkonfigurasjon.
- Studien viser en "påviselig" korrelasjon mellom virksomheter som er oppdatert om PCI-standardene og virksomheter som med hell har forsvart seg mot cybertrusler.
- Antall virksomheter som er 100 prosent PCI-kompatible, vokser betraktelig fra år til år.