Оновлений PCI DSS 4.0: чи потрібно вашій компанії відповідати оновленому стандарту?

Майстер-клас: секрети випікання найсмачніших млинців!

04.04.2024
Кіберзлочинці здійснюють спроби викрадення платіжних даних користувачів з моменту впровадження технології онлайн-оплат. Попри всі зусилля для захисту цих даних з боку організацій, у 2023 році інцидент витоку платіжних даних коштував в середньому $4,45 мільйона. Упродовж року було задокументовано 2814 випадків витоків даних та кібератак, що призвело до компрометації понад 4,5 мільярда записів про користувачів. 
Це показує потенційну вразливість платіжних даних користувачів, які можуть бути скомпрометовані на будь-якому етапі їхньої взаємодії із картковим сервісом. В таких умовах стандарт PCI DSS є обов'язковою вимогою для всіх організацій, що обробляють та зберігають платіжні дані користувачів, допомагаючи звести такі злами та витоки до мінімуму.
Для того, щоб зрозуміти чи потрібно вашій організації відповідати PCI DSS, слід розглянути кілька ключових питань:
● Чи обробляєте ви платіжну інформацію? Якщо ваша компанія приймає платежі за допомогою платіжних карток, то вам необхідно дотримуватися стандартів безпеки, визначених в PCI DSS, незалежно від обсягу транзакцій або розміру вашого бізнесу.
● Чи зберігаєте або передаєте ви дані платіжних карток? Якщо ваша організація володіє цією інформацією або передає її третім особам, стандарт PCI DSS є обов'язковим для дотримання, оскільки він визначає заходи захисту цих даних.
● Чи маєте ви прямі взаємодії з платіжною інформацією? Організації, які взаємодіють з платіжними даними безпосередньо, наприклад через POS-термінали або інтерфейси оплати на своїх вебсайтах, повинні строго дотримуватися PCI DSS для забезпечення безпеки цих даних.
Зазвичай, аудит відповідності PCI DSS потрібен банкам, фінтех-компаніям, платіжним провайдерам, та організаціям, які самостійно обробляють транзакції клієнтів. Однак, якщо бізнесом використовується платіжний провайдер для онлайн-оплат або надання POS-терміналів, аудит не потрібен, адже провайдер сам має відповідати вимогам PCI DSS.
Нагадаємо, що з 2018 року актуальною версією стандарту PCI DSS є v3.2.1. До 31 березня 2024 року її скасують. Перехід на нову версію стандарту PCI DSS v4.0 є обов'язковим для організацій, які займаються безпекою платіжних даних. Більше про зміни в стандарті PCI DSS v4.0 та їхній вплив на вашу організацію у 2024 році
Якщо ви вже проходили аудити відповідності PCI DSS раніше, то зможете пригадати про важливі кроки підготовки до аудиту у нашому матеріалі (“Як підготуватись до аудиту”)