Pentru orice afacere care gestionează tranzacții cu carduri de credit sau alte carduri de plată, înțelegerea conformității PCI este esențială pentru menținerea unui mediu sigur care să vă protejeze nu doar clienții, ci întreaga operațiune.

Pe scurt, conformitatea PCI solicită companiilor să protejeze datele posesorilor de carduri prin respectarea unei liste de verificare a precauțiilor de securitate tehnice și operaționale. Indiferent dacă afacerea dvs. este deja stabilită sau abia la început, elementele de bază ale conformității PCI nu sunt atât de complicate pe cât ați putea crede.

Acest ghid ușor de urmărit va oferi o imagine de ansamblu asupra conformității PCI, cine are obligația de a se conforma și cum să vă securizați comunicările prin e-mail care conțin date ale deținătorilor de carduri.

Ce este conformitatea PCI?

PCI vine de la Payment Card Industry (Industria Cardurilor de Plată), iar PCI DSS vine de la Payment Card Industry Data Security Standard (Standardul de Securitate a Datelor din Industria Cardurilor de Plată).

PCI DSS este o colecție de standarde globale de securitate create pentru a asigura că toate companiile care acceptă, procesează, stochează sau transmit informații despre cardurile de plată păstrează acele informații în siguranță.

Aceste standarde sunt administrate de Consiliul pentru Standarde de Securitate PCI — un grup fondat de American Express, Discover Financial Services, JCB International, MasterCard Worldwide și Visa Inc.

Deși conformitatea PCI nu este o lege, este o cerință obligatorie impusă de marile companii de carduri de plată în contractele lor cu comercianții.

De ce contează conformitatea PCI?

Conformitatea PCI este crucială pentru a vă proteja afacerea și clienții împotriva încălcărilor de date și a fraudelor. Neconformarea poate duce la penalități severe, repercusiuni legale și pierderea încrederii clienților.

Asigurarea îndeplinirii cerințelor PCI DSS ajută la protejarea datelor sensibile și vă îmbunătățește reputația ca entitate aprobată.

Cine trebuie să fie conform cu PCI?

Orice afacere de pe glob care gestionează tranzacții cu carduri de plată trebuie să fie conformă cu PCI. Aceasta include comercianții online, magazinele fizice și orice organizație care procesează plăți cu carduri de plată. Dacă afacerea dvs. acceptă, transmite sau stochează date ale deținătorilor de carduri, trebuie să respectați cerințele PCI DSS(fereastră nouă).

Întreprinderile mici trebuie să fie ele însele conforme cu PCI — chiar dacă utilizează un procesator de plăți precum Stripe. Deși utilizarea unui procesator de plăți conform cu PCI poate ajuta la îndeplinirea unora dintre cerințe, companiile sunt în continuare responsabile să se asigure că propriile sisteme și practici respectă standardele PCI DSS.

Lista de verificare a conformității PCI

Pentru a deveni conforme cu PCI, companiile trebuie să urmeze cele 12 cerințe prezentate de PCI DS(fereastră nouă)S(fereastră nouă).

  1. Instalați și mențineți un firewall pentru a proteja datele deținătorilor de carduri.
  2. Nu utilizați setările implicite furnizate de furnizor pentru parolele de sistem și alți parametri de securitate.
  3. Protejați datele stocate ale deținătorilor de carduri prin criptare și metode de stocare sigure.
  4. Criptați transmisia datelor deținătorilor de carduri prin rețele publice, deschise.
  5. Protejați toate sistemele împotriva malware-ului și actualizați periodic software-ul sau programele antivirus.
  6. Dezvoltați și mențineți sisteme și aplicații sigure.
  7. Restricționați accesarea datelor titularului de card pe baza nevoii de cunoaștere în scopuri de afaceri.
  8. Identificați și autentificați accesarea componentelor sistemului.
  9. Restricționați accesarea fizică a datelor titularului de card.
  10. Urmăriți și monitorizați orice accesare a resurselor de rețea și a datelor titularului de card.
  11. Testați în mod regulat sistemele și procesele de securitate.
  12. Mențineți o politică ce vizează securitatea informațiilor pentru întregul personal. 

Este important de reținut, totuși, că fiecare dintre aceste cerințe este defalcată și mai mult în diverse sub-cerințe. Conformitatea cu fiecare dintre ele este esențială.

Deși securitatea e-mailului nu este menționată explicit, standardul impune criptarea datelor titularului de card în timpul transmiterii prin rețele publice, ceea ce include e-mailul.

Un e-mail securizat este crucial pentru conformitatea PCI

Un aspect critic al conformității PCI este asigurarea faptului că comunicările prin e-mail care conțin datele cardurilor de plată ale clienților sunt criptate și protejate corespunzător. Nerespectarea securizării acestor informații valoroase ar putea duce la încălcări de date, care nu numai că ar putea dăuna reputației afacerii dvs., dar ar putea duce la pierderi financiare devastatoare.

Iată câțiva pași pe care îi puteți face pentru a vă asigura că comunicările dvs. prin e-mail sunt securizate:

Utilizați criptarea de la un capăt la altul

Criptarea de la un capăt la altul asigură faptul că datele sunt criptate pe dispozitivul expeditorului și decriptate numai pe cel al destinatarului. Proton Mail, de exemplu, oferă acest nivel de securitate, garantând că nici măcar Proton nu poate accesa conținutul e-mailurilor dvs.

Utilizați autentificarea multi-factor

Autentificarea multi-factor, cum ar fi autentificarea cu doi factori (A2F), adaugă un strat suplimentar de securitate dincolo de simplele parole și vă poate consolida semnificativ apărarea împotriva accesării neautorizate. Cu un plan Proton for Business, puteți impune obligativitatea utilizării A2F în cadrul organizației dvs. pentru a întări și a asigura securitatea.

Audituri periodice de securitate

Efectuați audituri de securitate regulate pentru a vă asigura că comunicările dvs. prin e-mail și alte sisteme sunt conforme cu cerințele PCI DSS. Aceste audituri pot descoperi vulnerabilități în configurațiile firewall învechite și controale necorespunzătoare de accesare. Acest lucru ajută la identificarea și remedierea vulnerabilităților potențiale înainte ca acestea să poată fi exploatate.

Mențineți conformitatea PCI cu Proton

Când utilizați Proton, protejați datele afacerii dvs. astfel încât nimeni, nici măcar Proton, să nu le poată accesa. Cheile celor mai valoroase informații ale dvs. rămân în posesia dvs. în orice moment. Acest angajament față de confidențialitate și securitate face din Proton soluția ideală pentru companiile care se străduiesc să obțină și să mențină conformitatea PCI.

Proton a început ca un proiect condus de oameni de știință care s-au cunoscut la CERN (Organizația Europeană pentru Cercetare Nucleară). Scopul nostru este să remodelăm internetul pentru a oferi oamenilor și organizațiilor controlul asupra propriilor date.

Trecerea la Proton Mail este simplă cu caracteristica noastră Easy Switch, permițându-vă să transferați fără probleme toate e-mailurile, contactele și calendarele organizației dvs. de la alte servicii, fără a fi necesară instruirea echipei dvs. Echipa noastră de asistență este, de asemenea, disponibilă non-stop pentru a oferi asistență live dacă aveți nevoie de ajutor suplimentar. Proton Mail, e-mailul nostru criptat de la un capăt la altul, și Proton Drive, serviciul nostru de stocare în cloud criptat de la un capăt la altul, facilitează îndeplinirea cerințelor de protecție a datelor și de confidențialitate.

Utilizarea Proton for Business oferă beneficii suplimentare, inclusiv:

  • Proton Mail: protejați comunicările companiei dvs. cu un e-mail criptat de la un capăt la altul, asigurându-vă că numai dvs. și destinatarii doriți puteți citi mesajele.
  • Proton VPN: securizați-vă conexiunea la internet și protejați-vă activitatea online cu acces VPN de mare viteză.
  • Proton Calendar: gestionați-vă programul cu un calendar criptat care păstrează evenimentele de afaceri private.
  • Proton Pass: stocați și gestionați-vă parolele în siguranță cu managerul nostru de parole criptat.
  • Proton Drive: Stocați și partajați fișiere în siguranță cu criptarea de la un capăt la altul, asigurându-vă că datele dvs. rămân private și protejate.

Descoperiți cum Proton poate simplifica conformitatea pentru organizația dvs. prin înregistrarea pentru Proton for Business sau contactați echipa noastră de Vânzări pentru soluții personalizate.

Când vă mutați afacerea în ecosistemul Proton, vă protejați simultan pe dvs. și datele clienților dvs., menținând conformitatea și ajutând la construirea unui viitor în care confidențialitatea este setarea implicită.