Zgodność ze standardami PCI nie jest luksusem; to konieczność dla firm dokonujących transakcji za pomocą karty płatniczej, wyjaśnia Robin Varley, nasz starszy menedżer ds. bezpieczeństwa danych
W przypadku organizacji przechodzących na bardziej nowoczesny, cyfrowy sposób prowadzenia działalności, zgodność ze Standardem Bezpieczeństwa Danych w Branży Kart Płatniczych (Payment Card Industry Data Security Standard – PCI DSS) powinna być priorytetem, a nie zagadnieniem, które można odłożyć na później.
W obecnej sytuacji trudno się dziwić, że niemal wszystkie firmy zmagają się z wieloma przeciwnościami. Przy całym tym zamieszaniu i niepewności zgodność ze standardami PCI może nie wydawać się najpilniejszym zadaniem na liście rzeczy do zrobienia. Jednak efekt domina pandemii koronawirusa spowodował gwałtowne przyspieszenie cyfrowej transformacji przedsiębiorstw, a w szczególności gwałtowny wzrost liczby firm nastawionych na płatności kartą online.
Zgodność ze standardami PCI nigdy nie była ważniejsza
Gotówka już dawno przestała królować w rozliczeniach. Cicha rewolucja już się dokonała, wraz ze stopniowym rozpowszechnianiem się płatności zbliżeniowych, płatności online i telefonem komórkowym. Konsumenci są coraz bardziej zadowoleni z tych technologii, a transakcje stały się szybkie i bezproblemowe
Potem pojawił się Covid-19.
Pandemia doprowadziła do szybkiego przyjęcia nowych technologii przez społeczność biznesową i zachęciła wiele osób do korzystania z opcji płatności online i zbliżeniowych. Przedsiębiorstwa muszą jednak pamiętać, że tempo transformacji nigdy nie powinno odbywać się kosztem wysokich standardów ochrony danych i bezpieczeństwa informacji. Rezygnacja ze zgodności ze Standardem Bezpieczeństwa Danych (Data Security Standard – DSS) w Branży Kart Płatniczych (Payment Card Industry – PCI) naraża bezpieczeństwo firmy.
Społeczność biznesowa jest elastyczna, dopasowując się do trudnych sytuacji chętnie korzysta z możliwości, jakie daje transformacja cyfrowa. Warto przy tym pamiętać, że każda firma przyjmująca, przesyłająca, przetwarzająca lub przechowująca dane posiadaczy kart ma obowiązek robić to w odpowiedzialny i bezpieczny sposób.
Wartość PCI DSS
Założeniem procesu weryfikacji zgodności ze standardami PCI DSS nie jest mechaniczne wypełnienie formularza potwierdzającego osiągnięcia zgodności; jego celem jest zapewnienie stałego bezpieczeństwa Twojej firmie oraz bezpieczeństwa danych Twoich klientów.
Choć wiele firm rozumie realną wartość tego procesu, są również osoby, które postrzegają go jako kosztowną i bolesną procedurę, z którą trzeba się zmierzyć. Wystarczy jednak spojrzeć na tę kwestię z innej perspektywy, aby dostrzec ogromne zalety stosowania standardów PCI DSS do wzmocnienia bezpieczeństwa firmy, ochrony danych i poprawy odporności na ataki. W przypadku naruszenia bezpieczeństwa będziesz mieć jasny plan zarządzania i łagodzenia jego skutków, co oznacza, że możesz szybciej odzyskać dane i zminimalizować utrudnienia.
Płatności kartą: jakie są zagrożenia?
Nie ma wątpliwości, że akceptowanie płatności kartą i ułatwienie klientom dokonywania zakupów jednym dotknięciem przycisku lub zbliżeniem karty ma wiele zalet. Można zapewnić firmie znaczący wzrost przychodów oferując po prostu więcej sposobów płatności.
Korzyści są oczywiste, ale trzeba zachowywać czujność i być świadomym swoich obowiązków oraz związanego z nimi ryzyka. Zasadniczo musisz podjąć kroki w celu ochrony danych posiadaczy kart zarówno przed przypadkową utratą danych, jak i złośliwymi próbami manipulacji danymi, które mogą przybrać formę nieuczciwej transakcji lub próby nielegalnego pozyskania danych przez hakera.
W związku z pandemią Covid-19 zagrożenia te są bardziej widoczne niż kiedykolwiek. W wielu przypadkach pracownicy delegowani do pracy zdalnej przyjmują obecnie płatności przez telefon, w prowizorycznych biurach domowych – często przy użyciu swoich prywatnych urządzeń.
Daje okazję hakerom, którzy są wyczuleni na luki w zabezpieczeniach organizacji zmuszonych do zmiany modelu biznesowego w krótkim czasie. Zgodność ze standardami PCI DSS była wcześniej ważna, ale podczas pandemii stała się kluczowa.
Koszt naruszenia bezpieczeństwa
Konsekwencje finansowe incydentu będą się różnić w zależności od szeregu czynników, w tym rozmiaru i skali incydentu, kanału płatności, którego dotyczy naruszenie oraz liczby transakcji zrealizowanych kartami.
Inną kwestią jest koszt reakcji na naruszenie bezpieczeństwa polegającej na wszczęciu kryminalnego dochodzenia zgodnego z wymogami branży kart płatniczych – znanego jako PFI (PCI Forensic Investigations). Po powiadomieniu odpowiedniego organu regulacyjnego i zainteresowanych stron wymagane jest dochodzenie w celu określenia pełnego zakresu incydentu i poinformowania o wszelkich koniecznych działaniach naprawczych.
Koszt PFI może się znacznie różnić w zależności od charakteru incydentu, ale zwykle mówimy o przedziale od 102 300 do 511 000 złotych, co natychmiast przekonuje, że wysiłek, aby zapobiec naruszeniu bezpieczeństwa poprzez proaktywne podejście do przestrzegania przepisów, jest zawsze bardziej korzystny niż reagowanie po fakcie.
Dodajmy do tego ocenę PCI po PFI przeprowadzoną przez certyfikowanego rzeczoznawcę ds. bezpieczeństwa (QSA), poważny uszczerbek na reputacji spowodowany incydentem oraz surowymi działaniami dyscyplinarnymi podejmowanymi przez Urząd Komisarza ds. Informacji (Information Commissioners Office – ICO), firmy obsługujące karty i banki autoryzujące, aby w pełni zrozumieć wartość w priorytetyzowaniu zgodności z wymogami PCI.
Ponadto naruszenia dotyczące kart płatniczych mogą również podlegać karze na mocy ogólnego rozporządzenia o ochronie danych osobowych (RODO) z grzywną w wysokości do 20 milionów euro lub 4% rocznego globalnego obrotu (w zależności od tego, która z tych wartości jest większa).
Rola QSA
Proces zapewniania zgodności nie musi być ani kosztowny ani trudny. Chociaż procedura zapewniania zgodności ze standardami PCI DSS jest rygorystyczna, współpraca z zaufanym, certyfikowanym rzeczoznawcą ds. bezpieczeństwa PCI (QSA) ułatwia zarządzanie procesem i jego bezstresowe przeprowadzenie. Dostarczając fachowe wskazówki dotyczące przyspieszenia działań firmy, certyfikowany QSA może pomóc zidentyfikować konkretne i precyzyjne potrzeby, zapewniając w ten sposób wysoką jakość procesu i eliminując niepotrzebne wydatki.
Certyfikowany przez Radę ds. Norm Bezpieczeństwa PCI (PCI Security Standards Council), dobry QSA jest pomocny, dostępny i w szerokim zakresie współpracuje z firmą w celu osiągnięcia i utrzymania zgodności, co bezpośrednio przekłada się na wyższy poziom bezpieczeństwa danych kart klientów.
Trzeba pamiętać, że nawet jeśli firma przeszła audyt zgodności w ciągu ostatnich 12 miesięcy, to wszelkie późniejsze zmiany w systemach i procesach wymagają nowego audytu i oceny.
Kluczowym przesłaniem dla każdej firmy, która przyjmuje płatności kartą, jest to, że korzyści płynące z akceptowania transakcji bezgotówkowych znacznie przewyższą wyzwania związane ze zapewnianiem zgodności z wymogami PCI, pod warunkiem proaktywnego i zaangażowanego podejścia. Nie wolno zapominać, że wyrządzone szkody często mogą być nieodwracalne.
Elavon służy pomocą w zakresie wszelkich wyzwań związanych ze Standardem Bezpieczeństwa Danych w Branży Kart Płatniczych (PCI DSS), RODO lub cyberbezpieczeństwa firmy. Skontaktuj się z nami , aby omówić swoje potrzeby w zakresie bezpieczeństwa danych.