PCI DSS

Wdrożenie PCI DSS ma na celu zminimalizowanie ryzyka kradzieży danych i nadużyć finansowych, a tym samym zwiększenie zaufania klientów do organizacji przetwarzających płatności elektroniczne. Standard ten określa zestaw wymagań technicznych i organizacyjnych, które muszą spełniać przedsiębiorstwa obsługujące dane kartowe – od małych sklepów internetowych, po duże instytucje finansowe. W jaki sposób i jak dokładnie to działa? 

 

Co to jest PCI DSS?

Na samym wstępie niezbędne jest wyjaśnienie, czym jest PCI DSS (Payment Card Industry Data Security Standard). Zgodnie ze swoją nazwą, jest to zbiór standardów bezpieczeństwa, opracowanych na rzeczochrony wrażliwych danych związanych z realizacją transakcji za pomocą kart płatniczych. Normy te zostały przygotowane przez czołowych operatorów takich, jak Visa, MasterCard, American Express, Discover i JCB. Istotnym jest, że standard ten obowiązuje globalnie i jest w sposób bieżący aktualizowany oraz dostosowywany do zmian i pojawiających się nowych zagrożeń w świecie płatności. 

 

Funkcjonalność PCI DSS

Podstawowym celem PCI DSS jest zapewnienie użytkownikom kart płatniczych najwyższej możliwej ochrony ich danych, a przez to zabezpieczenia ich także przed oszustwami finansowymi. Standard ten zbudowany został z 12 głównych założeń, które zostały podzielone na 6 „ogólnych” celów: 

 

• budowanie bezpiecznej sieci – z utrzymaniem zapory sieciowej i ograniczeniem korzystania z tak zwanych ustawień domyślnych, 

 

• ochrona danych kart płatniczych – w celu prawidłowego zabezpieczenia danych użytkowników kart, m.in. poprzez szyfrowanie transmisji danych przy dokonywaniu płatności, 

 

• ochrona przed podatnością na ataki – z obowiązkowym stosowaniem systemów antywirusowych, 

 

• wprowadzenie silnej kontroli dostępu – pozwalającej na udostępnianie i zarządzanie danymi kart płatniczych tylko osobom do tego upoważnionym, które muszą też dysponować indywidualnymi identyfikatorami, 

 

• bieżące monitorowanie sieci – wraz z kontrolą danych dostępowych i regularnym sprawdzaniem skuteczności wykorzystywanych systemów bezpieczeństwa, 

 

• prowadzenie spójnej polityki bezpieczeństwa – z prawidłowym zarządzaniem ryzykiem i stosowaniem ustalonych metod reagowania na zagrożenia. 

 

Przedsiębiorstwa wprowadzające politykę compliance (zgodności) z PCI DSS, muszą opierać się na tych regulacjach, gwarantujących bezpieczeństwo danych kart płatniczych. 

 

Znaczenie i korzyści wprowadzenia PCI DSS dla firm B2B

Należy pamiętać, że wprowadzenie standardów PCI DSS obowiązuje wszystkie podmioty, które w ramach swojej działalności tak przechowują, jak i przetwarzają dane kart płatniczych lub też przekazują je innymfirmom. To oznacza, że PCI DSS obowiązuje: 

 

• przedsiębiorstwa handlowe prowadzące sprzedaż zarówno stacjonarnie, jak i w formie e-commerce, które akceptują płatności kartami, 

 

• dostawcy usług płatniczych, zajmujący się przetwarzaniem transakcji realizowanych za pomocą kart płatniczych, 

 

• instytucje finansowe, w tym banki, które również zbierają i przetwarzają dane płatnicze, obsługując zazwyczaj ogromne wolumeny transakcji. 

 

Wprowadzenie i, oczywiście, stosowanie się do wymogów PCI DSS ma ogromne znaczenie dla firm działających w ramach B2B. Pozwala, przede wszystkim, na budowanie zaufania z partnerami biznesowymi – którzy zyskują pewność prowadzenia współpracy w sposób bezpieczny i prawidłowo zabezpieczony pod kątem realizacji płatności. Zgodność (compliance) minimalizuje ryzyko wycieku danych i narażenia ich właścicieli na oszustwa czy nawet kradzieże. 

 

Spoglądając na tę kwestię od drugiej strony – brak zgodności ze standardem PCI DSS przynosi podmiotowi więcej problemów, niż korzyści. Takie firmy są nie tylko narażone na utratę klientów i partnerówbiznesowych, ale też muszą liczyć się z możliwością nałożenia na nie kar finansowych i szeregu konsekwencji prawnych. 

 

Wsparcie i zasoby dla firm B2B w zakresie PCI DSS

Podmioty gospodarcze działające w ramach B2B, chcące wprowadzić standardy PCI DSS, powinny skupić się, w głównej mierze, na skorzystaniu z pomocy eksperckiej w zakresie cyberbezpieczeństwa. Odpowiednio dobrane szkolenia, z towarzyszącymi im materiałami edukacyjnymi, pozwalają na zaplanowanie i wdrożenie rozwiązań zgodnych z przyjętymi normami PCI DSS. Podstawowym źródłem niezbędnej w tymzakresie wiedzy jest, oczywiście, oficjalna witryna PCI DSS, przekazująca sprawdzone informacje. 

 

Warto ponadto szukać doradztwa technicznego wśród znanych i docenianych na rynku partnerach biznesowych, którzy od długiego czasu opierają swoją działalność na zgodności PCI DSS. Bezpieczeństwo w PayU, jako operatora płatności znanego na całym świecie, jest, na przykład, potwierdzane certyfikatami oraz corocznie przeprowadzanymi audytami zewnętrznymi, sprawdzającymi prawidłowość zabezpieczaniadanych kart płatniczych. 

 

To z kolei oznacza, że jest to podmiot, któremu można i warto zaufać w zakresie wprowadzania compliance PCI DSS. Co więcej, jako doceniany partner biznesowy, codziennie obsługujący ogromną liczbę transakcjipłatniczych, operator ten oferuje dostęp do starannie opracowanych materiałów edukacyjnych. Poradniki PayU udostępniają przedsiębiorstwom szereg porad na poziomie eksperckim. Ponadto, w raziekonieczności skorzystania z dodatkowych konsultacji technicznych, dostępny jest bezpośredni kontakt z PayU i specjalistami zarządzającymi ochroną danych kart płatniczych.