预防胜于治疗"这句话适用于支付领域,与其他领域一样。
支付卡行业(PCI)合规性是有效防止欺诈计划的一个重要组成部分。让我们来看看它是什么以及它是如何工作的。
但在此之前,让我们简单调查一下到底为什么需要它......
欺诈的规模
2022年,全球数据泄露的平均成本达到435万美元的历史新高。
加拿大反欺诈中心(CAFC)在2021年仅在加拿大就记录了29,500起身份欺诈案件,而前一年则是20,400起。
而在英国,有13亿英镑在授权或未经授权的欺诈中被盗。
预防在大环境中发挥了作用。例如,银行和金融机构在2021年在英国防止了14亿英镑的欺诈。
但在未来几年,企业和支付行业面临许多挑战。
据预测,全世界每年的网络犯罪成本将从2023年的6万亿美元上升到2025年的10.5万亿美元。
为您的企业提供PCI合规性
像每个企业主一样,你每天都在忙于经营你的公司和处理无数不同的事情。在你的日子里,几乎没有时间处理与你的企业日常运作无关的事务。
然而,预防欺诈应该是这些日常的优先事项之一。
你的顾客的信任是你的企业拥有的最宝贵的资产之一。被盗的个人资料会破坏你与客户多年来建立的信任和良好关系。
数据泄露会严重损害你的品牌声誉。而且,与漏洞相关的成本很高。
许多商家认为,数据泄露只发生在大公司身上。但实际上,绝大多数的信用卡数据泄露事件都影响了小公司。
这就是为什么遵循支付卡行业的合规规则和条例,并在任何时候都保持合规是如此重要。
否则,你可能会面临一系列的风险,包括罚款、损失的时间、损失的客户、法律费用、以及声誉受损......
什么是PCI标准?
PCI合规性是指遵守支付卡行业数据安全标准(PCI DSS)--一套旨在保护交易期间持卡人数据的安全要求。
支付卡行业(PCI),包括维萨、万事达、美国运通和其他领先的卡品牌,都要求符合PCI标准。而这些标准由PCI安全标准委员会(PCI SSC)负责维护。
为了获得并保持PCI合规性证书,服务提供商、银行和大批量商户需要遵循严格的安全准则。而第三方安全评估会检查他们是否符合这些准则。
PCI的合规性要求是什么?
有不同级别的PCI合规性要求(见下文 "是否有不同的PCI合规性级别?")。而且还有不同类别的具体要求,包括:
- 原则要求 (见下文)
- 基本要求
- 测试程序
这些内容偶尔会被更新,因此总是值得查看PCI安全标准委员会的官方网站,以了解有关更新的新闻和信息。
PCI DSS的主要要求
以下是PCI要求 的高层次概述,来自 Vol. 4.0,2022年3月更新的标准(见下文,"什么是PCI DSS v4.0?)
建立和维护安全的网络和系统
- 安装和维护网络安全控制
- 将安全配置应用于所有系统组件
保护账户数据
- 保护存储的账户数据
- 在开放的公共网络上传输过程中用强大的加密技术保护持卡人数据
维持一个漏洞管理计划
- 保护所有系统和网络免受恶意软件的侵害
- 开发和维护安全系统和软件
实施强有力的访问控制措施
- 按业务需要限制对系统组件和持卡人数据的访问
- 识别用户并验证对系统组件的访问
- 限制对持卡人数据的物理访问
定期监测和测试网络
- 记录并监控所有对系统组件和持卡人数据的访问
- 定期测试系统和网络的安全性
维护信息安全政策
- 用组织的政策和计划支持信息安全
是否有不同的PCI合规 "级别"?
是的,有四种不同的PCI合规商户级别。它们都是基于12个月内不同的交易量范围。
关于Visa规定的不同商户级别,见下表。
PCI标准的4个商户级别
[表]
对不遵守规定的行为有什么惩罚措施?
不遵守PCI标准会造成很大的损失...
收购银行因违反PCI法规而面临每月5000至100000美元的罚款。
这些款项对较小的组织来说可能是至关重要的,并迫使它们停业整顿。
商家并不总是被直接罚款,但处罚会通过增加交易费用甚至终止银行关系影响他们的下游。
遵守PCI DSS的优势
-
防止或减少欺诈行为
PCI合规性帮助公司实施最佳实践,以防止或减少欺诈。这些标准持续更新,并纳入了一系列行业专家的意见。
-
与客户和合作伙伴建立信任
知道你的公司符合PCI标准,可以让其他人放心,你的公司可以维持安全的系统。
而一些潜在的合作伙伴--特别是较大的公司--可能需要这样做。
-
积累了获得附加条例的资格
符合PCI标准使您的公司处于符合其他几个安全合规框架和标准的良好位置。
这些措施包括:
- ISO/IEC 27001
- GDPR(通用数据保护条例)
- HIPAA(健康保险可携性和责任法)
- SOC(系统和组织控制)
这在很大程度上是由于良好的安全协议的某些方面会延续下去。
遵守PCI DSS的缺点
-
它是技术性的和复杂的
PCI合规性涵盖了广泛的支付处理相关领域,包括网络安全、数据存储和加密。
以高标准执行其要求,需要对一个复杂的技术领域有深刻和多样的了解。
PCI DSS的合规标准也会定期更新,以应对新的安全威胁和漏洞。保持合规性意味着与这些变化及其实施保持同步。
-
很贵
获得PCI认证的确切成本取决于你的组织的大小和规模以及你的合规程度。
除了使用你的内部资源外,还需要第三方的合作。
网上有各种来源对平均成本的大致估计。小型公司的平均费用往往在20,000美元左右,大型公司则在35,000-200,000美元之间。
其他费用包括每季度的外部漏洞扫描、内部漏洞扫描以及每年的外部和内部渗透测试。
有多少公司符合PCI标准?
所有传输和存储持卡人数据的组织都必须遵守PCI标准。
早在2017年,Verizon公司负责安全咨询的全球总经理Rodolphe Simonetti评论说:
"虽然看到PCI合规性的提高是件好事,但事实是,在我们评估的全球组织中,无论大小,超过40%的组织仍然没有达到PCI DSS合规性标准。在那些通过验证的企业中,有近一半的企业在一年内就失去了合规性--许多企业甚至更早"。
但根据Verizon公司2020年的一份报告,达到全球PCI DSS完全合规水平的公司增加到43.4%(从2019年的27.9%)。
定期进行漏洞扫描的重要性
然而,许多数据安全漏洞是可以预防的。他们仍然倾向于不复杂的,可以通过强大的基本防御措施来废除。
如果你的企业正在使用IP连接,你应该每三个月进行一次漏洞扫描。
合规性扫描包括通过我们认可的扫描供应商(ASV)进行内部和外部漏洞扫描。这两种扫描必须定期进行,以确保安全系统是最新的。
漏洞扫描器是一个旨在扫描你的网络中的薄弱点并找到需要改进的地方的程序。它还可以评估你的设置。
扫描仪通过检查确定网络容易受到破坏的点:
- 码头
- 可能远程连接的设备
- 安全摄像机
- 网站
外部漏洞扫描寻找你的网络防火墙的漏洞,恶意的外部人员可以闯入并攻击你的网络。
违规行为可能带来的罚款(见上文 "对违规行为的处罚是什么?")可能会对小型公司造成严重影响。它甚至可能迫使公司倒闭。
这就是为什么定期进行合规性扫描是非常重要的。
采取行动防止漏洞的发生要比事后处理后果要容易得多。
其他与PCI合规性有关的问题:
PCI标准适用于哪些卡片交易?
PCI合规性适用于所有带有五个参与PCI SSC的卡片协会(或卡片品牌)品牌标识之一的借记卡、信用卡和预付卡:
- 美国运通
- 发现
- JCB
- 万事达卡
- 签证国际
究竟什么是 "持卡人数据"?
持卡人数据是任何和所有存储、处理或传输的信息,可以个人识别或与持卡人相关联。这包括姓名、地址、账户号码等等。
我在哪里可以找到PCI数据安全标准(PCI DSS)?
纽维公司已经获得了PCI合规性证书,以满足支付卡行业(PCI)数据安全标准(DSS)验证方法的要求。
你可以在PCI SSC的网站上找到它们。
什么是PCI DSS v4.0?
自2006年首次推出以来,PCI DSS已经经历了多次更新。PCI DSS v4.0是最新版本。其开发工作早在2017年开始,并于2022年发布。
它取代了以前的版本(PCI DSS v3.2.1),该版本也是有效的,但只到2024年3月31日。
PCI DSS v4.0的既定目标是:
- 确保该标准继续满足支付行业的安全需求
- 增加灵活性,以支持为实现安全而使用的不同技术
- 促进安全是一个持续的过程
- 加强验证方法和程序
其满足上述第一点的方法之一是为所有进入持卡人数据环境(CDE)的访问引入多因素认证。这是在现有的远程多因素认证要求之外的。
如果我只通过电话接受信用卡,那么PCI是否仍然适用于我?
如上所述,任何存储、处理或传输持卡人数据的企业都必须符合PCI标准。
如果我的企业有多个地点,我是否需要对每个地点的PCI合规性进行验证?
除非每个地点使用不同的税号进行处理,否则你只需要每年对所有地点进行一次验证。如果适用的话,您可能还需要每季度提交一次由PCI SSC批准的扫描供应商(ASV)进行的合格网络扫描。
纽维公司的PCI合规性自我评估问卷(SAQ)
我们的自我评估问卷(SAQ)旨在帮助企业建立适当的业务流程和程序,以保持其客户的敏感数据安全。
它由一系列问题组成,帮助商户在直观的层面上了解正确的PCI流程。
比如说:
'硬拷贝材料是否被交叉切碎、焚烧或粉碎,从而使持卡人数据无法重建?
这个问题的核心是告诉你应该如何以符合PCI标准的方式来处理硬拷贝材料。
每个问题都提供了澄清和指导,并有助于为你的企业创建内部流程和正确的做法。
前往我们的PCI解决方案提供商的网站,参加我们的SAQ。该网站将指导你完成这些步骤,并帮助你选择适合你的业务的类别。
总结
欺诈规模的上升是一个信号,表明PCI标准在保护持卡人数据方面的重要性。
PCI合规性是指遵守支付卡行业数据安全标准(PCI DSS),该标准由PCI安全标准委员会维护。
PCI标准的要求包括以下几点:
- 建立和维护安全的网络和系统
- 保护支付卡数据
- 维护漏洞管理计划
以及更多。
遵守PCI DSS有几个好处,包括防止或减少欺诈,与客户和合作伙伴建立信任,以及建立符合额外法规的资格。
然而,也有一些不利因素。它是技术性的、复杂的、昂贵的--尽管获得认证的确切成本取决于组织的规模和大小。
不遵守规定可能导致金融机构被处以巨额罚款,增加交易费用,甚至终止客户的银行关系。
为了保持合规性,企业应定期进行漏洞扫描,以确定和解决其网络中的弱点。
使用自我评估问卷(SAQ)可以帮助企业了解和实施适当的PCI流程。