Co należy wiedzieć o zgodności z PCI DSS?

Bezpieczeństwo płatności online ma dla wielu współczesnych organizacji kluczowe znaczenie. Firmy chcąc prowadzić skutecznie biznes, muszą zapewnić swoim klientom należytą ochronę ich danych, wykorzystywanych podczas płatności w sieci. Jednym ze sposobów na zapewnienie takiego bezpieczeństwa jest zastosowanie standardu bezpieczeństwa danych branży kart płatniczych (PCI DSS). Zgodność z nimi gwarantuje  poziom ochrony danych płatniczych na poziomie, które chroni klientów i firmy przed konsekwencjami ewentualnych wycieków czy naruszeń.

Czy muszę dbać o zgodność z normą PCI DSS?

Zgodność z PCI DSS jest wymagana w każdej branży, która przetwarza, przechowuje lub przesyła dane kart kredytowych. Obejmuje to różne branże, takie jak handel detaliczny, hotelarstwo, opieka zdrowotna, handel elektroniczny, finanse, edukacja, transport i inne. Krótko mówiąc, każda organizacja, która akceptuje płatności kartami kredytowymi lub obsługuje informacje o kartach kredytowych, musi być zgodna z PCI DSS.

Konsekwencje nieprzestrzegania standardów cyberbezpieczeństwa

Nieprzestrzeganie standardów branżowych może mieć poważne konsekwencje. Mogą prowadzić do znacznych strat finansowych, utraty reputacji, a w najgorszym przypadku nawet do działań prawnych. Z raportu IBM 2022 Cost of a Data Breach wynika, że organizacje o wysokim poziomie niezgodności z przepisami poniosły średni koszt w wysokości 5,57 mln USD z powodu cyberataków.  Podkreślono także, że istniała znaczna różnica w wysokości kary, bo aż 2,26 mln USD, czyli 50,9%, między organizacjami o wysokim i niskim poziomie naruszeń zgodności. Z tego wynika, że im bardziej organizacja egzekwuje standardy zgodności, tym mniejszy negatywny wpływ będzie miało potencjalne naruszenie.

Dlaczego więc tak ważne jest zachowanie zgodności z PCI DSS?

• Zmniejszenie ryzyka naruszenia bezpieczeństwa danych
  Nieprzestrzeganie standardów PCI DSS może prowadzić do naruszeń danych, które skutkują utratą lub kradzieżą danych kart płatniczych. Naruszenia te mogą być kosztowne, nie tylko pod względem strat finansowych, ale także pod względem utraty reputacji i zaufania klientów.
• Zgodność z wymogami prawnymi i regulacyjnymi
  Wiele branż, w tym branża kart płatniczych, podlega wymogom prawnym i regulacyjnym w zakresie ochrony wrażliwych danych. Zgodność ze standardem PCI DSS jest często wymagana przez prawo i marki kart płatniczych, takie jak Visa, MasterCard itp.
• Lepsza postawa w zakresie bezpieczeństwa
  Aby uniknąć licznych konsekwencji cyberataku, ważne jest, aby nie czekać na jego wystąpienie przed wzmocnieniem zabezpieczeń. Zamiast tego należy podjąć proaktywne działania w celu zidentyfikowania potencjalnych podatności w zabezpieczeniach i wdrożyć kontrole bezpieczeństwa w celu ograniczenia tego ryzyka. Nie tylko poprawi to ogólny stan bezpieczeństwa, ale także pomoże zachować zgodność z przepisami.
• Utrzymanie zaufania klientów
  Zgodność z PCI DSS pokazuje zaangażowanie organizacji w ochronę wrażliwych danych, co może pomóc w budowaniu i utrzymaniu zaufania klientów. Klienci chętniej wybierają firmy, którym ufają, jeśli chodzi o ochronę ich informacji, więc uzyskanie zgodności z PCI DSS może zwiększyć lojalność klientów.

12 wymagań PCI DSS

1. Zainstalowanie i utrzymywanie bezpiecznej sieci: Obejmuje to instalację i utrzymanie zapór sieciowych w celu ochrony danych posiadaczy kart.
2. Ochrona danych posiadaczy kart: Dane posiadaczy kart muszą być szyfrowane zarówno podczas przechowywania, jak i przesyłania.
3. Utrzymywanie programu zarządzania podatnościami w zabezpieczeniach: Regularne skanowanie w poszukiwaniu luk w zabezpieczeniach i łatanie wszelkich podatności w systemie.
4. Wdrożenie silnych środków kontroli dostępu: Dostęp do danych posiadaczy kart powinien być ograniczony wyłącznie do upoważnionego personelu.
5. Regularne monitorowanie i testowanie sieci: Systemy i procesy muszą być regularnie monitorowane, aby zapewnić prawidłowe funkcjonowanie kontroli bezpieczeństwa.
6. Prowadzenie polityki bezpieczeństwa informacji: Musi istnieć polityka bezpieczeństwa informacji, a cały personel musi być przeszkolony i świadomy swoich obowiązków w zakresie zapewnienia zgodności.
7. Ograniczenie fizycznego dostępu do danych posiadaczy kart: Fizyczny dostęp do danych posiadaczy kart powinien być ograniczony i monitorowany.
8. Regularne testowanie systemów i procesów bezpieczeństwa: Systemy i procesy bezpieczeństwa muszą być regularnie testowane, aby zapewnić ich skuteczność.
9. Utrzymywanie programu ochrony danych: Upewnij się, że wrażliwe dane są zawsze chronione.
10. Monitorowanie i testowanie kontroli bezpieczeństwa: Kontrole bezpieczeństwa powinny być stale monitorowane i testowane w celu zapewnienia ich skuteczności.
11. Wdrożenie planu reagowania na incydenty: Należy wdrożyć plan reagowania na incydenty w celu zarządzania naruszeniami bezpieczeństwa lub innymi incydentami.
12. Regularny przegląd i aktualizacja polityk bezpieczeństwa: Polityki bezpieczeństwa powinny być regularnie przeglądane i aktualizowane, aby zapewnić ich skuteczność w rozwiązywaniu pojawiających się zagrożeń i luk w zabezpieczeniach.

Kosztowne konsekwencje ignorowania standardów PCI DSS

Na przestrzeni lat doszło do kilku głośnych incydentów cyberbezpieczeństwa spowodowanych nieprzestrzeganiem standardów branżowych PCI DSS. Oto kilka przykładów:

Target

W 2013 roku firma Target, jeden z najpopularniejszych marketów w USA, doświadczyła masowego naruszenia danych, w wyniku którego hakerzy uzyskali dostęp do danych osobowych i finansowych od ponad 70 milionów klientów. Całkowity wpływ finansowy naruszenia danych oszacowano na około 162 miliony dolarów. Obejmowało to koszty dochodzenia w sprawie naruszenia, ulepszenia środków bezpieczeństwa, zapewnienia ochrony przed kradzieżą tożsamości i usług monitorowania kredytów dla poszkodowanych klientów oraz rozstrzygnięcia licznych procesów sądowych związanych z naruszeniem. Ponadto Target doświadczył spadku sprzedaży z powodu negatywnego wpływu na zaufanie klientów i jego reputację. Firma nie spełniła następujących wymogów PCI DSS:

• Nieodpowiednia segmentacja sieci: Sieć Target była nieodpowiednio posegmentowana, co pozwoliło cyberprzestępcom na swobodne poruszanie się po systemie i dostęp do wrażliwych danych.
• Słabe zarządzanie hasłami: Cyberprzestępcy uzyskali dostęp do sieci Target poprzez kradzież danych logowania od zewnętrznego dostawcy, który słabo zarządzał hasłami.
• Brak monitorowania: Firma Target nie monitorowała odpowiednio swojej sieci pod kątem podejrzanej aktywności, co pozwoliło cyberprzestępcom pozostać niewykrytymi przez dłuższy czas.
• Brak łatania luk w zabezpieczeniach: Target nie zabezpieczył znanej podatności w oprogramowaniu swojego systemu płatności, którą cyberprzestępcy wykorzystali do uzyskania dostępu do danych klientów.

Zaniedbania te doprowadziły do jednego z największych naruszeń danych w historii i spowodowały znaczne straty finansowe oraz uszczerbek na reputacji firmy Target.

Home Depot

W 2014 r. amerykańska sieć hipermarketów budowlanych Home Depot, dopuściła się naruszenia PCI, które doprowadziło do ujawnienia informacji o kartach płatniczych należących do około 56 milionów klientów. Do naruszenia doszło, ponieważ firma nie wdrożyła wystarczających środków bezpieczeństwa, takich jak szyfrowanie, w celu ochrony danych kart płatniczych klientów. W rezultacie kosztowało to Home Depot około 179 milionów dolarów. Obejmowało to wydatki związane z dochodzeniem w sprawie naruszenia, ulepszeniem środków bezpieczeństwa, zapewnieniem ochrony przed kradzieżą tożsamości i usługami monitorowania zdolności kredytowej dla poszkodowanych klientów oraz rozstrzygnięciem licznych procesów sądowych związanych z naruszeniem. Ponadto Home Depot doświadczył spadku sprzedaży ze względu na negatywny wpływ na zaufanie klientów i reputację firmy.

Adobe

W październiku 2013 r. firma Adobe doświadczyła poważnego naruszenia danych, które naraziło na szwank dane logowania około 38 milionów użytkowników, w tym identyfikatory użytkowników, hasła i dane kart kredytowych. Naruszenie to miało poważne konsekwencje finansowe i prawne dla Adobe, prowadząc do kilku pozwów zbiorowych, ugód i spadku kursu akcji firmy. Całkowity wpływ finansowy naruszenia został oszacowany na około 1,1 miliarda dolarów. Naruszenie nastąpiło z powodu nieprzestrzegania przez Adobe środków bezpieczeństwa PCI DSS, w tym szyfrowania danych klientów, zgodnie z wymogami normy.

Jak zapewnić zgodność mojej firmy z PCI DSS?

Jednym ze sposobów zapewnienia zgodności z PCI DSS jest skorzystanie z usług dostawcy usług zarządzania podatnościami (VM). W rzeczywistości dostawca VM może być kluczowym partnerem w osiągnięciu i utrzymaniu zgodności z PCI DSS.

Dostawca VM może przeprowadzać regularne skanowanie i oceny podatności w celu zidentyfikowania i wyeliminowania potencjalnych podatności w zabezpieczeniach w środowisku kart płatniczych. Może również pomóc w opracowaniu i wdrożeniu polityk i procedur spełniających wymagania PCI DSS oraz udzielić wskazówek dotyczących działań naprawczych.

Wybierając dostawcę maszyn wirtualnych, kluczowe znaczenie ma wybór dostawcy zatwierdzonego przez PCI Security Standards Council (SSC) i posiadającego doświadczenie w pracy ze standardami PCI DSS. Dostawca powinien również być w stanie dostarczyć raport ze swoimi ustaleniami i zaleceniami dotyczącymi poprawy zgodności z PCI DSS.

Dowiedz się, w jaki sposób Holm Security, zatwierdzony przez PCI DSS dostawca usług Next-Gen Vulnerability Management, może pomóc Ci już dziś spełnić wymogi zgodności z PCI DSS.

Dowiedz się więcej