PCI-overholdelse
Overholdelse af betalingskortsektoren (PCI) henviser til de tekniske og operationelle standarder, som virksomhederne skal følge for at sikre, at kreditkortdata, der leveres af kortholdere, er beskyttet. PCI-overholdelse håndhæves af PCI Standards Council, og alle virksomheder, der lagrer, behandler eller transmitterer kreditkortdata elektronisk, er forpligtet til at følge overholdelsesretningslinjerne.
BREAKING NED PCI-overholdelse
Overholdelsesstandarder for betalingskortsektoren (PCI) kræver, at forhandlere og andre virksomheder håndterer kreditkortoplysninger på en sikker måde, der hjælper med at reducere sandsynligheden for, at kortholdere vil have følsomme økonomiske data stjålet. Hvis forhandlere ikke håndterer kreditkortoplysninger korrekt, kan kortoplysningerne hacket og bruges til at foretage falske køb. Derudover kunne følsomme oplysninger om kortholderen bruges til identitetssvig.
At være PCI-kompatibel betyder konsekvent at overholde et sæt retningslinjer, der er opstillet af virksomheder, der udsteder kreditkort. Retningslinjerne skitserer en række trin, som kreditkortprocessorer løbende skal følge. Virksomheder bliver først bedt om at vurdere deres informationsteknologiske infrastruktur, forretningsprocesser og håndtering af kreditkortprocedurer for at hjælpe med at identificere potentielle trusler, der kan kompromittere kreditkortdata. Virksomheder bliver derefter bedt om at løse eventuelle huller i sikkerhed og undgå at gemme følsomme kortholderinformation, såsom social sikring og kørekortnummer, når det er muligt. Virksomheder er forpligtet til at levere overensstemmelsesrapporter til de kortmærker, de arbejder med, såsom American Express og VISA.
Alle virksomheder, der behandler kreditkortoplysninger, er forpligtet til at opretholde PCI-overholdelse, uanset deres størrelse eller antallet af kreditkorttransaktioner, de behandler. Alle virksomheder er opdelt i købmandniveauer baseret på antallet af transaktioner, der behandles i en bestemt periode. PCI-overholdelse reguleres af Payment Card Industry Security Standards Council, en organisation, der blev oprettet i 2006 med det formål at styre sikkerheden ved kreditkort. Kravene, kendt som Payment Card Industry Data Security Standards (PCI DSS), administreres af de største kreditkortselskaber, herunder VISA, American Express, Discover og MasterCard, blandt andre.
PCI-overholdelse og dataovertrædelser
Mange af historiens største dataovertrædelser kan have været undgået, hvis de berørte købmænd eller finansielle institutioner var PCI-kompatible. Her er nogle vigtige takeaways fra Verizon 2017 Payment Security Report, en dybdegående undersøgelse af PCI DSS-overholdelse:
- Detailorganisationer demonstrerede den laveste bæredygtighed for PCI-overholdelse på tværs af alle nøgleindustrier.
- IT-servicesektoren opnåede den højeste fulde overensstemmelse af alle undersøgte nøgleindustrigrupper.
- 77 procent af virksomhederne vurderet efter en dataforbrud overholdt ikke PCI-krav nr. 1: installation og vedligeholdelse af en firewall-konfiguration.
- Undersøgelsen viser en "påviselig" sammenhæng mellem virksomheder, der er ajour med PCI-standarderne og virksomheder, der med succes har forsvaret sig mod cybertrusler.
- Antallet af virksomheder, der er 100 procent PCI-kompatible, vokser markant på år-til-år basis.