Pro každou firmu, která zpracovává transakce kreditními kartami nebo jinými platebními kartami, je pochopení souladu s PCI zásadní pro udržení bezpečného prostředí, které chrání nejen vaše zákazníky, ale i celý váš provoz.

Stručně řečeno, soulad s PCI vyžaduje, aby firmy chránily údaje držitelů karet dodržováním seznamu technických a provozních bezpečnostních opatření. Ať už je vaše firma již zavedená, nebo teprve začínáte, základy souladu s PCI nejsou tak složité, jak by se mohlo zdát.

Tento srozumitelný průvodce vám nabídne přehled o souladu s PCI, o tom, kdo je povinen jej dodržovat, a o tom, jak zabezpečit e-mailovou komunikaci obsahující údaje držitelů karet.

Co je to soulad s PCI?

PCI je zkratka pro Payment Card Industry (odvětví platebních karet) a PCI DSS znamená Payment Card Industry Data Security Standard (bezpečnostní standard dat v odvětví platebních karet).

PCI DSS je soubor globálních bezpečnostních standardů vytvořených k zajištění toho, aby všechny společnosti, které přijímají, zpracovávají, uchovávají nebo přenášejí informace o platebních kartách, tyto informace udržovaly v bezpečí.

Tyto standardy spravuje Rada pro bezpečnostní standardy PCI – skupina založená společnostmi American Express, Discover Financial Services, JCB International, MasterCard Worldwide a Visa Inc.

I když soulad s PCI není zákonem, jedná se o povinný požadavek vynucovaný významnými společnostmi vydávajícími platební karty v jejich smlouvách s obchodníky.

Proč je soulad s PCI důležitý?

Soulad s PCI je zásadní pro ochranu vaší firmy a vašich zákazníků před úniky informací a podvody. Nedodržení může vést k přísným sankcím, právním následkům a ztrátě důvěry zákazníků.

Zajištění souladu s požadavky PCI DSS pomáhá chránit citlivá data a posiluje vaši pověst důvěryhodného subjektu.

Kdo musí být v souladu s PCI?

Každá firma po celém světě, která zpracovává transakce platebními kartami, musí být v souladu s PCI. To zahrnuje online prodejce, kamenné obchody a jakoukoli organizaci, která zpracovává platby platebními kartami. Pokud vaše firma přijímá, přenáší nebo uchovává jakékoli údaje držitelů karet, musíte dodržovat požadavky PCI DSS(nové okno).

Malé firmy jsou povinny samy dodržovat soulad s PCI – i když používají zpracovatele plateb, jako je Stripe. Přestože používání zpracovatele plateb splňujícího PCI může pomoci splnit některé z požadavků, firmy jsou stále zodpovědné za to, že jejich vlastní systémy a postupy budou v souladu se standardy PCI DSS.

Kontrolní seznam souladu s PCI

Aby firmy dosáhly souladu s PCI, musí dodržovat 12 požadavků stanovených v PCI DS(nové okno)S(nové okno).

  1. Nainstalujte a udržujte firewall k ochraně údajů držitelů karet.
  2. Nepoužívejte výchozí nastavení od dodavatelů pro systémová hesla a další bezpečnostní parametry.
  3. Chraňte uložená data držitelů karet pomocí šifrování a metod bezpečného ukládání.
  4. Šifrujte přenos údajů o držitelích karet přes otevřené veřejné sítě.
  5. Chraňte všechny systémy před malwarem a pravidelně aktualizujte antivirový software nebo programy.
  6. Vyvíjejte a udržujte bezpečné systémy a aplikace.
  7. Omezte přístup k údajům o držitelích karet na základě obchodní potřeby tyto údaje znát.
  8. . Identifikujte a ověřujte přístup ke všem systémovým součástem.
  9. Omezte fyzický přístup k údajům o držitelích karet.
  10. Sledujte a monitorujte veškerý přístup k síťovým prostředkům a údajům o držitelích karet.
  11. Pravidelně testujte bezpečnostní systémy a procesy.
  12. Udržujte zásady, které řeší informační bezpečnost pro všechny pracovníky. 

Je však důležité poznamenat, že každý z těchto požadavků je dále rozdělen do různých dílčích požadavků. Dodržování každého z nich je nezbytné.

Ačkoli bezpečnost e-mailu není výslovně zmíněna, standard vyžaduje šifrování údajů o držitelích karet během přenosu přes veřejné sítě, což zahrnuje i e-mail.

Zabezpečený e-mail je pro soulad s PCI klíčový

Jedním z kritických aspektů souladu s PCI je zajištění toho, aby e-mailová komunikace obsahující údaje o platebních kartách zákazníků byla náležitě šifrovaná a chráněná. Selhání při zabezpečení těchto cenných informací by mohlo vést k únikům informací, které by mohly nejen poškodit pověst Vaší firmy, ale vést i k ničivým finančním ztrátám.

Zde je několik kroků, které můžete podniknout k zajištění bezpečnosti Vaší e-mailové komunikace:

Používejte koncové šifrování

Koncové šifrování zajišťuje, že jsou data šifrována v zařízení odesílatele a dešifrována pouze v zařízení příjemce. Tuto úroveň zabezpečení poskytuje například služba Proton Mail, která zajišťuje, že k obsahu Vašich e-mailů nemůže přistupovat ani společnost Proton.

Používejte vícefázové ověření

Vícefázové ověření, jako je dvoufázové ověření (2FA), přidává další vrstvu zabezpečení nad rámec hesel a může výrazně posílit Vaši obranu proti neoprávněnému přístupu. S plánem Proton for Business můžete pro svou organizaci zavést povinné používání 2FA, abyste posílili a zajistili bezpečnost.

Pravidelné bezpečnostní audity

Provádějte pravidelné bezpečnostní audity, abyste zajistili, že Vaše e-mailová komunikace a ostatní systémy splňují požadavky PCI DSS. Tyto audity mohou odhalit zranitelnosti v zastaralých konfiguracích firewallů a nesprávné řízení přístupu. To pomáhá identifikovat a řešit potenciální zranitelnosti dříve, než mohou být zneužity.

Zůstaňte v souladu s PCI díky službě Proton

Když používáte Proton, chráníte svá firemní data tak, aby k nim nikdo, ani společnost Proton, nemohl přistupovat. Klíče k Vašim nejcennějším informacím zůstávají po celou dobu ve Vašem držení. Tento závazek k ochraně soukromí a bezpečnosti činí ze služby Proton ideální řešení pro firmy, které usilují o dosažení a udržení souladu s PCI.

Proton začal jako projekt vedený vědci, kteří se seznámili v CERNu (Evropská organizace pro jaderný výzkum). Naším cílem je přetvořit internet tak, aby lidé a organizace měli kontrolu nad svými daty.

Přechod na Proton Mail je jednoduchý díky naší funkci Easy Switch, která Vám umožní plynule převést všechny e-maily, kontakty a kalendáře Vaší organizace z jiných služeb, aniž by Váš tým musel procházet jakýmkoli školením. Náš tým podpory je také k dispozici 24 hodin denně, 7 dní v týdnu, aby Vám poskytl živou podporu, pokud budete potřebovat další pomoc. Proton Mail, náš koncově šifrovaný e-mail, a Proton Drive, naše koncově šifrované cloudové úložiště, usnadňují plnění požadavků na ochranu dat a soukromí.

Používání služby Proton for Business nabízí další výhody, včetně:

  • Proton Mail: Chraňte svou firemní komunikaci pomocí koncově šifrovaného e-mailu, který zajistí, že vaše zprávy si budete moci přečíst pouze vy a zamýšlení příjemci.
  • Proton VPN: Zabezpečte své internetové připojení a chraňte své online aktivity pomocí vysokorychlostního přístupu k VPN.
  • Proton Calendar: Spravujte svůj rozvrh pomocí šifrovaného kalendáře, který uchovává vaše pracovní události v soukromí.
  • Proton Pass: Bezpečně ukládejte a spravujte svá hesla pomocí našeho šifrovaného správce hesel.
  • Proton Drive: Bezpečně ukládejte a sdílejte soubory s koncovým šifrováním, které zajistí, že Vaše data zůstanou soukromá a chráněná.

Zjistěte, jak může Proton zjednodušit dodržování předpisů pro Vaši organizaci tím, že se zaregistrujete do plánu Proton for Business, nebo kontaktujte náš obchodní tým pro řešení šitá na míru.

Když svou firmu přesunete do ekosystému Proton, současně chráníte sebe i data svých zákazníků, zůstáváte v souladu s předpisy a pomáháte budovat budoucnost, kde je soukromí výchozím nastavením.