Для любого бизнеса, который обрабатывает транзакции по кредитным или другим платежным картам, понимание требований PCI имеет важное значение для поддержания безопасной среды, защищающей не только ваших клиентов, но и всю вашу деятельность.

Вкратце, соответствие стандарту PCI требует, чтобы компании защищали данные держателей карт, следуя контрольному списку технических и операционных мер безопасности. Независимо от того, устоявшийся ли у вас бизнес или вы только начинаете, основы соответствия PCI не так сложны, как вы могли бы подумать.

Это простое руководство предложит обзор соответствия требованиям PCI, информацию о том, кто обязан их соблюдать, и о том, как обезопасить вашу электронную почту, содержащую данные держателей карт.

Что такое соответствие требованиям PCI?

PCI расшифровывается как Payment Card Industry (индустрия платежных карт), а PCI DSS — как Payment Card Industry Data Security Standard (стандарт безопасности данных индустрии платежных карт).

PCI DSS — это набор глобальных стандартов безопасности, созданных для того, чтобы все компании, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах, обеспечивали безопасность этой информации.

Администрированием этих стандартов занимается Совет по стандартам безопасности PCI — группа, основанная компаниями American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc.

Хотя соответствие требованиям PCI не является законом, оно является обязательным требованием, которое крупнейшие компании, выпускающие кредитные карты, включают в свои контракты с торгово-сервисными предприятиями.

Почему соблюдение требований PCI имеет значение?

Соответствие требованиям PCI имеет решающее значение для защиты вашего бизнеса и ваших клиентов от утечек данных и мошенничества. Несоблюдение требований может привести к суровым штрафам, юридическим последствиям и потере доверия клиентов.

Обеспечение соответствия требованиям PCI DSS помогает защитить конфиденциальные данные и укрепляет вашу репутацию как доверенной организации.

Кому необходимо соблюдать требования PCI?

Любой бизнес во всем мире, который обрабатывает транзакции по платежным картам, должен соответствовать требованиям PCI. Сюда входят онлайн-ритейлеры, обычные магазины и любая организация, обрабатывающая платежи по кредитным картам. Если ваш бизнес принимает, передает или хранит любые данные держателей карт, вы должны соблюдать требования PCI DSS(новое окно).

Малые предприятия обязаны сами соблюдать требования PCI, даже если они используют платежный процессор, такой как Stripe. Хотя использование платежного процессора, соответствующего требованиям PCI, может помочь выполнить некоторые из требований, предприятия по-прежнему несут ответственность за то, чтобы их собственные системы и методы работы соответствовали стандартам PCI DSS.

Контрольный список соответствия требованиям PCI

Чтобы соответствовать требованиям PCI, предприятия должны следовать 12 требованиям, изложенным в PCI DS(новое окно)S(новое окно).

  1. Установите и поддерживайте брандмауэр для защиты данных держателей карт.
  2. Не используйте заданные поставщиком параметры по умолчанию для системных паролей и других параметров безопасности.
  3. Защищайте сохраненные данные держателей карт с помощью шифрования и безопасных методов хранения.
  4. Шифруйте передачу данных держателей карт через открытые общественные сети.
  5. Защищайте все системы от вредоносных программ и регулярно обновляйте антивирусное программное обеспечение или программы.
  6. Разрабатывайте и поддерживайте безопасные системы и приложения.
  7. Ограничьте доступ к данным держателей карт на основании служебной необходимости.
  8. Идентифицируйте и аутентифицируйте доступ к компонентам системы.
  9. Ограничьте физический доступ к данным держателей карт.
  10. Отслеживайте и контролируйте любой доступ к сетевым ресурсам и данным держателей карт.
  11. Регулярно тестируйте системы и процессы безопасности.
  12. Поддерживайте политику информационной безопасности для всего персонала. 

Важно, однако, отметить, что каждое из этих требований дополнительно подразделяется на различные подтребования. Соблюдение каждого из них необходимо.

Хотя безопасность электронной почты не упоминается в явном виде, стандарт требует шифрования данных держателей карт при передаче по открытым сетям, к которым относится и электронная почта.

Защищенная электронная почта имеет решающее значение для соответствия требованиям PCI

Одним из критических аспектов соблюдения требований PCI является обеспечение надлежащего шифрования и защиты электронных сообщений, содержащих данные кредитных карт клиентов. Неспособность обеспечить безопасность этой ценной информации может привести к утечкам данных, что не только нанесет ущерб репутации вашего бизнеса, но и приведет к разрушительным финансовым потерям.

Вот несколько шагов, которые вы можете предпринять, чтобы обеспечить безопасность своих электронных сообщений:

Используйте сквозное шифрование

Сквозное шифрование гарантирует, что данные зашифровываются на устройстве отправителя и расшифровываются только на устройстве получателя. Proton Mail, например, обеспечивает такой уровень безопасности, гарантируя, что даже Proton не сможет получить доступ к содержимому ваших электронных писем.

Используйте многофакторную аутентификацию

Многофакторная аутентификация, такая как двухфакторная аутентификация (2FA), добавляет дополнительный уровень защиты помимо паролей и может значительно усилить вашу защиту от несанкционированного доступа. С тарифом Proton for Business вы можете сделать использование 2FA обязательным для вашей организации, чтобы укрепить и обеспечить безопасность.

Регулярный аудит безопасности

Проводите регулярные аудиты безопасности, чтобы убедиться, что ваши электронные сообщения и другие системы соответствуют требованиям PCI DSS. Эти аудиты могут выявить уязвимости в устаревших конфигурациях брандмауэров и ненадлежащих механизмах контроля доступа. Это помогает выявлять и устранять потенциальные уязвимости до того, как они будут использованы.

Соблюдайте требования PCI вместе с Proton

Когда вы используете Proton, вы защищаете свои бизнес-данные так, что никто, даже Proton, не сможет получить к ним доступ. Ключи к вашей самой ценной информации всегда остаются в вашем распоряжении. Эта приверженность конфиденциальности и безопасности делает Proton идеальным решением для компаний, стремящихся достичь и поддерживать соответствие требованиям PCI.

Proton начинался как проект под руководством ученых, познакомившихся в CERN (Европейская организация по ядерным исследованиям). Наша цель — перестроить интернет так, чтобы люди и организации могли контролировать свои данные.

Перейти на Proton Mail просто с нашей функцией Easy Switch: вы сможете беспрепятственно перенести все электронные письма, контакты и календари вашей организации из других сервисов без необходимости обучения вашей команды. Наша служба поддержки также доступна круглосуточно, чтобы оказать помощь в реальном времени, если она вам понадобится. Proton Mail — наша электронная почта с шифрованием — и Proton Drive — наш сервис облачного хранения с зашифрованным сквозным методом — позволяют легко соблюдать требования к защите данных и конфиденциальности.

Использование Proton for Business дает дополнительные преимущества, в том числе:

  • Proton Mail: защитите деловую переписку с помощью электронной почты со сквозным шифрованием, гарантируя, что только вы и ваши получатели сможете прочитать сообщения.
  • Proton VPN: обеспечьте безопасность интернет-подключения и защитите свою онлайн-активность с помощью высокоскоростного VPN.
  • Proton Calendar: управляйте своим графиком с помощью зашифрованного календаря, который сохранит ваши деловые события в тайне.
  • Proton Pass: надежно храните пароли и управляйте ими с помощью нашего зашифрованного менеджера паролей.
  • Proton Drive: безопасно храните файлы и делитесь ими с использованием сквозного шифрования, гарантируя, что ваши данные останутся конфиденциальными и защищенными.

Узнайте, как Proton может упростить соблюдение нормативных требований для вашей организации, зарегистрировавшись в Proton for Business, или свяжитесь с нашим отделом продаж для получения индивидуальных решений.

Переводя свой бизнес в экосистему Proton, вы одновременно защищаете себя и данные своих клиентов, соблюдаете нормативные требования и помогаете строить будущее, в котором конфиденциальность является стандартом по умолчанию.