Что такое PCI?
PCI, сокращение от Платежные карты, является мировым стандартом защиты конфиденциальной информации платежных карт. Совет по стандартам безопасности PCI (PCI SSC) был основан в 2006 году крупнейшими компаниями-эмитентами кредитных карт, такими как Visa, Mastercard, American Express, Discover и JCB International. Его основная цель — разработка и совершенствование стандартов безопасности для защиты данных держателей карт.
Важность соответствия PCI
Соблюдение стандартов индустрии платежных карт имеет жизненно важное значение по нескольким причинам:
- Безопасность данных: Соответствие стандарту PCI защищает конфиденциальную информацию платежных карт от кражи и мошенничества.
- Доверие и репутация: Соблюдение стандартов индустрии платежных карт повышает доверие клиентов и уверенность в способности организации безопасно обрабатывать свои финансовые данные.
- Правовые требования: Во многих странах действуют законы и нормативные акты, обязывающие компании, обрабатывающие данные кредитных карт, соблюдать требования индустрии платежных карт, и несоблюдение этих требований может привести к правовым последствиям.
- Финансовые последствия: Несоблюдение требований может привести к штрафам со стороны регулирующих органов и санкциям со стороны кредитных компаний.
Стандарты индустрии платежных карт
PCI — это не отдельная сертификация, а набор текущих требований. Стандарт безопасности данных PCI (PCI DSS) — это основная структура для соответствия требованиям индустрии платежных карт. Он состоит из двенадцати требований, организованных в шесть категорий:
Кому необходимо соблюдать PCI?
Любая организация, которая хранит, обрабатывает или отправляет информацию о держателях карт, должна соблюдать правила PCI DSS. Это применяется глобально, независимо от размера бизнеса или количества транзакций, которые они обрабатывают. Вот разбивка тех, кому обычно необходимо соответствие требованиям индустрии платежных карт:
- Продавцы: К ним относятся любые предприятия, принимающие платежные карты (кредитные, дебетовые, предоплаченные) лично, онлайн, по телефону или через мобильное приложение.
- Поставщики услуг: Любая компания, которая хранит, передает или обрабатывает данные держателей карт от имени торговцев, должна соблюдать эти требования. Это касается платежных процессоров, шлюзов и любой третьей стороны, участвующей в платежном потоке.
Даже если вы передаете обработку платежей на аутсорсинг, вы все равно несете ответственность за то, чтобы выбранный вами поставщик соответствовал требованиям PCI.
Кто курирует PCI?
Организация, которая контролирует PCI, — Совет по стандартам безопасности индустрии платежных карт (PCI SSC), который управляет и развивает стандарты безопасности. PCI SSC — это независимый орган, основанный крупными компаниями-эмитентами платежных карт, такими как Visa, Mastercard, American Express, Discover и JCB International.
Штраф за несоблюдение требований
Не существует единого установленного штрафа за несоблюдение стандартов PCI. Штрафы налагаются платежными брендами (Visa, Mastercard, American Express, Discover и JCB International) и банками-эквайерами, а не непосредственно самим PCI SSC. Вот чего можно ожидать:
- Штрафы: они могут варьироваться от $5,000 до $100,000 в месяц, в зависимости от серьезности несоблюдения и того, как долго оно продолжается. Штрафы обычно увеличиваются, чем дольше вы не соблюдаете правила.
- Повышенные комиссии за транзакции: несоблюдение требований также может привести к тому, что ваш платежный оператор будет взимать с вас более высокие комиссии за каждую обработанную вами транзакцию.
- Прекращение обслуживания: в крайних случаях ваш банк-эквайер может полностью лишить вас возможности принимать платежи по картам.
Как добиться соответствия PCI?
Для достижения соответствия требованиям индустрии платежных карт организации должны:
- Понимать требования PCI DSS, применимые к их среде.
- Проведите тщательную оценку своих систем и процессов, чтобы выявить уязвимости и пробелы.
- Внедрить соответствующие меры контроля и безопасности для устранения выявленных рисков.
- Регулярно контролируйте, тестируйте и обновляйте системы безопасности, чтобы гарантировать постоянное соответствие требованиям.
- Сотрудничайте с квалифицированными оценщиками безопасности (QSA) или внутренними оценщиками безопасности (ISA) для подтверждения соответствия посредством аудитов и оценок.
В заключение, соответствие требованиям индустрии платежных карт необходимо для любой организации, обрабатывающей, хранящей или передающей данные кредитных карт. Соблюдая стандарты индустрии платежных карт, компании могут снизить риск утечки данных, защитить свою репутацию и сохранить доверие своих клиентов. Крайне важно быть в курсе последних требований PCI и постоянно совершенствовать меры безопасности, чтобы адаптироваться к меняющимся угрозам в индустрии платежных карт.
FAQ
Является ли соблюдение правил индустрии платежных карт обязательным для всех предприятий?
Да, соблюдение правил индустрии платежных карт является обязательным для любой организации, которая обрабатывает, хранит или передает данные кредитных карт. Несоблюдение правил может привести к штрафам, взысканиям и ущербу репутации.
Распространяется ли соблюдение требований индустрии платежных карт на предприятия за пределами США?
Да, соответствие требованиям индустрии платежных карт является глобальным стандартом, применимым к компаниям по всему миру, которые обрабатывают данные кредитных карт. Это имеет решающее значение для любой организации, которая проводит транзакции с использованием платежных карт.
Существуют ли различные уровни соответствия требованиям индустрии платежных карт в зависимости от объема транзакций?
Да, уровни соответствия требованиям индустрии платежных карт определяются объемом транзакций, обрабатываемых ежегодно. Уровни варьируются от уровня 1 (самый высокий) для организаций с наибольшими объемами транзакций до уровня 4 (самый низкий) для организаций с наименьшим количеством транзакций.
Что вы можете сделать с помощью Solix
Участвуйте в розыгрыше подарочной карты Amex номиналом 100 долларов США
