Мошенничество с кредитными картами — широко распространенная проблема, которая ежегодно затрагивает миллионы людей во всем мире. Объем мошенничества с кредитными картами трудно определить количественно, поскольку многие случаи остаются незарегистрированными или не раскрываются публично. Согласно статистике, ежегодно раскрывается менее 1% краж кредитных карт.
По последним оценкам, в 2022 году объем глобальных убытков от мошенничества с кредитными картами достиг примерно 35 миллиардов долларов США ежегодно. Федеральная торговая комиссия (FTC) ) ежегодно подает в США около 400 000 сообщений о мошенничестве с кредитными картами, что делает его одним из наиболее распространенных видов мошенничества.
Финансовые учреждения и компании, выпускающие кредитные карты, постоянно работают над разработкой новых мер безопасности и технологий для бороться с мошенничеством с кредитными картами и защищать потребителей. PCI DSS является одним из основных стандартов, используемых для борьбы с мошенничеством.
Что такое PCI (индустрия платежных карт)?
Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это набор стандартов безопасности, призванный гарантировать, что все компании, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах, поддерживают безопасную среду. PCI DSS был разработан крупнейшими брендами кредитных карт, включаяVisa,Mastercard иAmerican Express, для защиты от мошенничества с кредитными картами и утечки данных. Вы можете прочитать больше о PCI на сайтеофициальный сайт PCI.
Стандарты PCI DSS состоят из 12 требований, которые охватывают ряд областей безопасности, которые торговцы обязаны поддерживать:
Build and Maintain a Secure Network: Это требование охватывает установку и обслуживание межсетевых экранов и безопасных сетевых конфигураций.
Защита данных держателей карт: Это требование — это защита конфиденциальной информации о кредитных картах, включая шифрование и безопасное хранение любых данных.
Поддерживать программу управления уязвимостями:Это требование охватывает выявление и устранение уязвимостей безопасности посредством регулярного обновления программного обеспечения и проверки безопасности.
Внедрение строгих мер контроля доступа:Это требование заключается в реализации строгих мер аутентификации и контроля доступа для предотвращения несанкционированного доступа к информации о кредитных картах.
Регулярный мониторинг и тестирование сетей:Это требование представляет собой регулярный мониторинг и тестирование сетей для обнаружения и предотвращения нарушений безопасности.
Поддержание политики информационной безопасности: Это требование охватывает разработку и внедрение комплексной политики информационной безопасности.
Стандарт безопасности данных индустрии платежных карт (PCI DSS) пересматривается и обновляется Советом по стандартам безопасности индустрии платежных карт (PCI). ССК) ежегодно. Изменения в стандарт могут вноситься чаще, если это необходимо для устранения развивающихся угроз безопасности и технологий. Тенденции в сфере потребительских технологий и онлайн-покупок быстро меняются, поэтому стандарты должны оставаться актуальными, чтобы поддерживать высокий уровень безопасности. Ожидается, что организации будут идти в ногу с последней версией PCI DSS и вносить необходимые изменения в свои системы для обеспечения соответствия требованиям.
История PCI
Данные индустрии платежных карт Стандарт безопасности (PCI DSS) имеет богатую историю, уходящую корнями в начало 2000-х годов. Он был создан в ответ на растущую угрозу мошенничества с кредитными картами и утечки данных и с тех пор стал важнейшим компонентом безопасной обработки кредитных карт.
Стандарт PCI DSS был впервые представлен в 2004 году пятью основными кредитными картами. бренды: Visa, Mastercard, American Express,Discover иJCB. Целью PCI DSS было создание набора стандартов безопасности, которые помогут защититься от мошенничества с кредитными картами и утечки данных. Первоначальная версия PCI DSS была основана на существующих стандартах безопасности и лучших практиках и была разработана как гибкий, масштабируемый и глобально применимый стандарт безопасности.
С годами PCI DSS развивался, чтобы идти в ногу со временем. с меняющимся ландшафтом угроз и развитием технологий. В 2006 году стандарт PCI DSS был обновлен, чтобы включить дополнительные требования к разработке программного обеспечения и сетевой безопасности, а в 2010 году он был обновлен, чтобы включить дополнительные требования к безопасности мобильных платежей.
Сегодня PCI DSS широко признан как глобальный стандарт безопасной обработки кредитных карт и используется предприятиями любого размера, от небольших розничных торговцев до крупных транснациональных корпораций. Соблюдение PCI DSS является обязательным для всех компаний, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах, и несоблюдение этого требования может привести к значительным штрафам и нанесению ущерба репутации бизнеса.
Плюсы и минусы PCI
В целом можно сказать, что стандарты безопасности PCI помогают отрасли. Они помогают предотвратить мошенничество. Период. Однако это требует некоторых усилий. Вот некоторые плюсы и минусы соответствия PCI DSS:
Плюсы и преимущества PCI:
- Повышенная безопасность: PCI DSS помогает компаниям защитить конфиденциальные данные, сократить риск утечки данных и защита от мошенничества.
- Повышенная репутация: компании, соответствующие стандарту PCI DSS, считаются более заслуживающими доверия, что может помочь привлечь и удержать клиентов.
- Увеличение числа клиентов уверенность: клиенты с большей вероятностью будут доверять компаниям, соответствующим стандарту PCI DSS, что может повысить их уверенность в безопасности их личной информации.
- Соответствие отраслевым стандартам: PCI DSS — это широко признанный стандарт, который поддерживается со стороны крупнейших компаний-эмитентов кредитных карт, поэтому соблюдение требований может помочь компаниям оставаться в курсе лучших отраслевых практик.
Минусы и сложности, связанные с PCI:
- Стоимость: внедрение и поддержание соответствия PCI DSS может быть дорогостоящим, особенно для малого бизнеса.
- Отнимает много времени: процесс присоединения к стандарту PCI DSS может занять много времени, требуя от компаний выделения значительных ресурсов для этой работы.
- Сложность: стандарты PCI DSS могут быть сложными, что усложняет задачу. компаниям сложно их понять и внедрить.
- Постоянное обслуживание: соответствие PCI DSS — это непрерывный процесс, который требует от компаний регулярно оценивать и обновлять свои меры безопасности, чтобы оставаться в соответствии с требованиями.
PCI Соответствие требованиям DSS дает компаниям множество преимуществ, включая повышение безопасности, улучшение репутации, повышение доверия клиентов и соответствие отраслевым стандартам. Однако это также сопряжено с некоторыми проблемами, такими как стоимость, время, сложность и постоянное обслуживание.
Что необходимо делать продавцам, чтобы оставаться совместимыми с PCI
Чтобы оставаться совместимыми с PCI DSS, продавцу необходимо выполнить следующие шаги. У нас также есть еще одна статья на тему Что малый бизнес должен знать о PCI.
Оцените свое соответствие: определите, какого уровня соответствия вам необходимо достичь и оцените текущие меры безопасности, чтобы определить, где необходимо их улучшить. Существуетанкета для самооценки (SAQ), которую продавцам необходимо будет заполнить.
Защитите свои сети: установите брандмауэры, обеспечьте удаленный доступ и зашифруйте конфиденциальную информацию, чтобы защитить ваши сети от несанкционированного доступа.
Защитите данные о держателях карт: надежно храните и обрабатывайте данные о держателях карт и ограничивайте доступ к этой информации только тем, кто в ней нуждается.
Поддерживать программа управления уязвимостями: регулярно сканируйте свои системы на наличие уязвимостей и своевременно исправляйте их, чтобы снизить риск утечки данных.
Внедряйте строгий контроль доступа: используйте многофакторную аутентификацию, политику паролей и контроль доступа, чтобы ограничить доступ имеет доступ к конфиденциальной информации.
Регулярно отслеживайте и тестируйте системы безопасности: регулярно отслеживайте свои системы на предмет инцидентов безопасности и проверяйте меры безопасности для выявления и устранения уязвимостей.
Поддерживайте политику информационной безопасности : Разработайте и внедрите комплексную политику информационной безопасности, в которой описываются ваши меры и процедуры безопасности.
Сообщайте об инцидентах безопасности: Незамедлительно сообщайте о любых инцидентах безопасности соответствующим органам и принимайте меры для предотвращения повторения подобных инцидентов в будущем. .
Регулярно оценивайте свое соответствие стандартам PCI DSS и вносите все необходимые обновления в свои меры безопасности для обеспечения соответствия.
Следуя этим шагам, вы можете обеспечить что вы соблюдаете требования PCI DSS и защищаете конфиденциальную информацию от несанкционированного доступа и кражи.