Qanday qilib PCI-ga mos kelish mumkin

Ko'pincha PCI DSS deb nomlanadigan PCI To'lov kartalari sanoat xavfsizligi standarti degan ma'noni anglatadi. Qisqacha aytganda, PCI - bu kredit kartalari ma'lumotlarini qabul qiladigan, ishlaydigan, saqlaydigan va uzatuvchi korxonalarning xavfsizligini o'lchash uchun ishlatiladigan sanoat standartlari to'plami. PCI talablariga javob beradigan kompaniyalar, mijozlarning o'g'irlik holatlarini aniqlashi mumkin bo'lgan ma'lumotlarning buzilishi ehtimoli kamroq. Agar sizda savdogar identifikatori bo'lsa va jismoniy yoki virtual biznesda kredit kartalarini qabul qilsangiz, unda siz PCI DSS sanoat standartlariga bo'ysunasiz. PCI xavfsizlik standartlari kengashi PCI xavfsizligi muammolarini o'rganadigan va to'lov kartalari tizimining yaxlitligini ta'minlash uchun dasturlar va standartlarni yaratadigan mustaqil mutaxassislar guruhidir.

PCI DSS asoslarini ko'rib chiqish

PCI DSS asoslarini ko'rib chiqish
Savdo darajangizni tasdiqlang. Birinchi qadam, sizning kredit kartangizdagi operatsiyalarni amalga oshiradigan bank yoki kliring palatasi bilan savdogar darajangizni muhokama qilish va tekshirish. Savdogarlar 12 oy davomida VISA kartalari bo'yicha operatsiyalar asosida to'rt toifaga bo'lingan. Savdogar darajasi sizning PCI muvofiqligi dasturlari qanchalik qattiq bo'lishi kerakligini aniqlaydi. [1]
  • 1-darajali savdogar yiliga 6 milliondan ortiq VISA bitimlarini qayta ishlaydi yoki 1-darajali VISA kompaniyasi tomonidan belgilanadi.
  • 2-darajali savdogar har yili 1 dan 6 milliongacha VISA bitimlarini qabul qiladi. Bunga shaxsan va onlayn ham kiradi.
  • 3-darajali savdogar yiliga 20000-1000000 VISA operatsiyalarini amalga oshiradi.
  • Kichik savdogar deb hisoblangan 4-darajali savdogar yiliga VISA dan kamroq to'lovlarni oladi. [2] X tadqiqot manbai
  • PCI DSS talablari, shuningdek, American Express, MasterCard va Discover kabi boshqa kredit kartalarini qabul qiladigan korxonalarga nisbatan qo'llaniladi. VISA savdogarlar darajalarini belgilash uchun asosiy mezon sifatida ishlatiladi.
PCI DSS asoslarini ko'rib chiqish
PCI DSS qoidalarini buzganlik uchun jazo choralarini tushuning. PCI DSS-ga mos kelmaydigan korxonalar jarimalar, sanktsiyalar va kredit karta to'lovlarini qayta ishlaydigan kliring palatasining imtiyozlaridan mahrum bo'lishi mumkin. Agar PCI etishmovchiligi ma'lumotlarning haqiqiy yo'qolishiga olib keladigan bo'lsa, biznes jarimalar, yuqori to'lovlar va banklar va kredit kartalarini qayta ishlovchilar tomonidan boshqa jazo choralariga duch kelishi mumkin. [3]
  • PCI talablariga javob bermaydigan korxonalar mijozlar ma'lumotlarini himoya qilmagani uchun sudga tortilishi va hukumat tomonidan javobgarlikka tortilishi mumkin.
PCI DSS asoslarini ko'rib chiqish
Xavfsizlikning eng yaxshi usullari bilan tanishing. 2009 yil sentyabr oyida amalga oshirilgan birinchi PCI DSS standarti (DSS v 1.2) PCI talablariga javob berish uchun savdogar o'rganishi kerak bo'lgan 12 talabni taqdim etdi. Savdogar darajangizga qarab, standartlarni amalga oshirish uchun texnologiya, o'qitish va tajriba miqdori farq qilishi mumkin. Masalan, 2 million tranzaktsiyalarni amalga oshiradigan tarmoq 2000 yilni qayta ishlaydigan tarmoqqa qaraganda ancha murakkabroq bo'ladi.
  • PCI 3.1 2015 yil iyun oyida kuchga kirdi va texnologiyada yangi standartlar bilan shug'ullanadi va umumiy shifrlash dasturlarida zaifliklar bilan kurashadi. [4] X tadqiqot manbai
  • PCI muvofiqligi bo'yicha eng yaxshi amaliyotlar beshta umumiy toifaga bo'linadi: xavfsiz tarmoq, ma'lumotlarni himoya qilish, zaifliklarni boshqarish, foydalanishni boshqarish, monitoring va xavfsizlik siyosati. PCI Kengashida kichik biznesga xavfsizlik standartlariga muvofiqligini aniqlashga yordam beradigan o'z-o'zini baholash savollari mavjud. X tadqiqot manbai

PCI muvofiqlik dasturlarini amalga oshirish

PCI muvofiqlik dasturlarini amalga oshirish
Xavfsiz tarmoqni yarating va saqlang. Korxonalar uchun bu ishonchli pudratchi bilan munosabatlarni rivojlantirishni anglatadi. Agar siz IT mutaxassisi bo'lmasangiz, o'zingizning tarmog'ingizni o'rnatmasligingiz kerak, agar u mijoz ma'lumotlarini saqlasa. O'rnatilmagan va to'g'ri yangilanmagan bo'lsa ham, quti tashqarisidagi tizim zaifliklarga ega bo'lishi mumkin. [6]
  • Firewall-laringizni yangilab turing va ishlating. Xodimlarni biron bir maqsad uchun xavfsizlik devorlarini o'chirib qo'yishiga yo'l qo'ymang.
  • Zudlik bilan sotuvchi tomonidan taqdim etilgan parollarni o'zgartiring. Shuningdek, xodimlaringiz uchun parol dasturini amalga oshiring. Parollarni sotuvchilarning ko'rsatmalariga muvofiq muntazam ravishda o'zgartirish kerak. Masalan, parollar lug'at so'zlari bo'lmagan alfa-raqamli belgilar birikmasi bo'lishi kerak. Agar sotuvchingiz tizimingizda ishlasa, onlayn qaytganingizda, barcha parollarni o'zgartirishingiz kerak. [7] X tadqiqot manbai
PCI muvofiqlik dasturlarini amalga oshirish
Karta egalari haqidagi ma'lumotlarni himoya qiling. Agar siz kredit kartalarini qo'lda qayta ishlasangiz, sliplar va kvitantsiyalar cheklangan kirish huquqiga ega qulflangan fayllarda saqlanishi kerak. Agar kartangiz egasi to'g'risidagi ma'lumot sizning tarmog'ingizda saqlangan bo'lsa, u shifrlangan va kompaniyaning xavfsizlik devori orqasida himoyalangan bo'lishi kerak
PCI muvofiqlik dasturlarini amalga oshirish
Zaifliklarni boshqarish dasturini yarating. Sizning tizimingiz tegishli antivirus dasturi bilan himoyalangan bo'lishi kerak. Bundan tashqari, tizimni buzishi mumkin bo'lgan dasturlar, masalan o'yinlar kabi dasturlarni qo'shishni taqiqlaydigan kompaniya dasturiga ega bo'lishingiz kerak. [8]
PCI muvofiqlik dasturlarini amalga oshirish
Kirishni boshqarish. Tizimga parol bilan kirish cheklangan bo'lishi kerak. Har bir xodim faqat o'z ishini bajarishi uchun unga kirish huquqiga ega bo'lishi kerak. Bu sizning ishchilaringizni ham, mijozlaringizni ham himoya qilishini tushuntiring. Agar ma'lumotlar buzilgan bo'lsa, cheklangan kirish imkoniyatlarini toraytiradi va tergovga yordam beradi. [9] [10]
  • Tarmog'ingiz uchun har bir foydalanuvchi va har bir terminalga noyob identifikatsiya raqamini bering. Tasdiqlangan yoki shubhali buzilish bo'lsa, sizning IT-mutaxassislaringiz kirish joyini tezda aniqlashlari mumkin.
  • Xaridor va karta egalari to'g'risidagi ma'lumotlarni o'z ichiga olgan xavfsiz yozuvlar. Karta kalitlari tizimidan yoki jismoniy qulfdan va kalitlardan foydalaning.

Sinov va PCI muvofiqligini ta'minlash

Sinov va PCI muvofiqligini ta'minlash
Tarmoqlaringizni kuzatib boring va sinab ko'ring. Xavfsizligingiz dasturida sizning tarmog'ingiz orqali xaridor ma'lumotlarining oqimini kuzatish va kuzatib borish uchun muntazam skanerlash va sinovlarni o'z ichiga olishi kerak. IT bo'yicha mutaxassis yoki sotuvchingiz tizim kam ishlatilganda ham (masalan, dam olish kunlari kechqurun) va tizim ishlayotgan vaqtda real vaqt rejimida sinovlarni amalga oshirishi mumkin.
  • Sinov natijalari jurnalini olib boring. Sinov yozuvlarini bankingiz va sug'urta kompaniyangiz bilan qancha vaqt yuritishingizni muhokama qiling.
Sinov va PCI muvofiqligini ta'minlash
Axborot xavfsizligi siyosatini ishlab chiqish. PCI-ga muvofiqlik dasturidagi barcha qadamlar Xavfsizligingiz siyosatida hujjatlashtirilgan bo'lishi kerak. [11] Ushbu hujjatda sizning kompaniyangiz mijozlar ma'lumotlarini himoya qilish uchun barcha qadamlarni batafsil bayon qilishi kerak. 1-3 darajadagi savdogarlar uchun ushbu dastur bir necha jildlarga ishlaydigan va xodimlar qo'llanmasini birlashtirishi mumkin.
  • 1-3 darajadagi savdogarlar, ehtimol, xavfsizlik bo'yicha mutaxassis bilan shartnoma tuzadilar yoki Axborot xavfsizligi siyosatini yozish va yuritish sirlarini o'rgangan maxsus xodimlarga ega bo'lishadi.
  • 4-darajali savdogar, xavfsizlik siyosatini yaratishda maslahat va yordam uchun kredit kartalari kliring xonasiga murojaat qilishi kerak. Agar protsessor dastur shablonini taqdim etmasa, hujjatni yaratish uchun xavfsizlik bo'yicha mutaxassis bilan shartnoma tuzishni ko'rib chiqing. Agar siz IT-mutaxassisi bo'lmasangiz, PCI-ga mos keladigan xavfsizlik siyosatini tuzish uchun tizimingizning texnik tafsilotlarini etarlicha bilishingiz dargumon. U yaratilgandan so'ng, u faqat sizning tarmog'ingiz kengaytirilganda yoki yangilanganda yangilanishi kerak. IT-pudratchingiz sizning xavfsizlik siyosatingizni yangilab turish uchun zarur bo'lgan hujjatlarni taqdim qilishi mumkin.
  • Xavfsizlik dasturining ko'p qismi xavfsizlik devori va xavfsizlik dasturini tanlashda, shuningdek, sinov protokollarida ham texnik xususiyatga ega bo'ladi. Ammo, shuningdek, xodim kompaniyani tark etganda va parollar bekor qilinganida, ushbu jarayon haqida bo'limlarni kiritishingiz kerak.
  • Tugmalar va tugmachalarni kuzatib borish uchun jarayonni ishlab chiqing. Asosiy kalitlar yuqori darajadagi parollar kabi qat'iy tartibga solinishi kerak.
Sinov va PCI muvofiqligini ta'minlash
PCI muvofiqligini baholang, tuzating va hisobot bering. PCI-ning eng yaxshi tajribasining 12 qismi amalga oshirilgandan so'ng, PCI Kengashiga muvofiqlikni ta'minlash uchun vaqti-vaqti bilan uch bosqichli tekshiruvdan o'tishingiz kerak.
  • IT tizimlaringizni va biznes jarayonlaringizni inventarizatsiya qilish. Agar biror narsa o'zgargan bo'lsa, xavfsizlik dasturlari va zaifliklarni boshqarish rejalarini yangilang.
  • Agar tizimingizda biron bir kamchilik topsangiz, muammoni tuzating. Buning uchun yangi uskuna yoki dasturiy ta'minot, foydalanuvchi tayyorgarligi yoki tarmog'ingizni yangilash talab qilinishi mumkin. IT mutaxassislari ushbu o'zgarishlarni amalga oshirishlari kerak.
  • O'zingizning xatti-harakatlaringizni yozib oling va bankka va kredit kartalari kompaniyalariga muvofiqlik bo'yicha harakatlaringiz to'g'risida hisobot yuboring. Hisobotlaringiz, harakatlaringiz va tushunchalaringiz boshqa kompaniyaga mijoz ma'lumotlarini himoya qilishga yordam berishi mumkin.
Muvofiqligim hozirgi kunga mos kelishini qanday bilib olaman?
4-darajali savdogarlar PCI-ni bank yoki kredit kartalari kliring palatasi bilan muvofiqligini muhokama qilishlari va tavsiyalarga amal qilishlari kerak. [12]
Agar siz uy biznesi kabi juda kichik savdogar bo'lsangiz, karta ma'lumotlarini o'zingizning shaxsiy tarmog'ingizda saqlashingiz dargumon. Ammo, baribir bankingiz bilan bo'lgan jarayonlaringizni ko'rib chiqishingiz kerak. PCI Kengashi mijozlar ma'lumotlarini o'g'irlashning oldini olishga yordam beradigan onlayn trening va manbalarga ega. [13]
permanentrevolution-journal.org © 2020