WikiDer > To'lov kartalari sanoatining xavfsizligi standarti

Payment Card Industry Data Security Standard


The To'lov kartalari sanoatining xavfsizligi standarti (PCI DSS) an axborot xavfsizligi brend bilan shug'ullanadigan tashkilotlar uchun standart kredit kartalar mayordan karta sxemalari.

PCI standarti karta brendlari tomonidan majburiylashtiriladi, lekin tomonidan boshqariladi To'lov kartalari sanoatining xavfsizlik standartlari bo'yicha kengash. Standart kamaytirish uchun karta egalari ma'lumotlari atrofida nazoratni kuchaytirish uchun yaratilgan kredit karta bilan firibgarlik.

Muvofiqlikni tasdiqlash har yili yoki har chorakda amalga oshiriladi,[1][yaxshiroq manba kerak] operatsiyalar hajmiga mos keladigan usul bo'yicha:[2][yaxshiroq manba kerak][3]

Tarix

Karta kompaniyalari tomonidan beshta turli xil dasturlar ishlab chiqilgan:

Har birining maqsadi taxminan o'xshash edi: kartochkalar egalari ma'lumotlarini saqlash, qayta ishlash va uzatish paytida savdogarlar xavfsizlikning minimal darajalariga javob berishini ta'minlash orqali karta emitentlari uchun qo'shimcha himoya darajasini yaratish. Amaldagi standartlar orasidagi o'zaro bog'liqlik muammolarini hal qilish uchun asosiy kredit karta tashkilotlari tomonidan amalga oshirilgan sa'y-harakatlar natijasida 2004 yil dekabr oyida PCI DSS ning 1.0 versiyasi chiqarildi. PCI DSS butun dunyo bo'ylab tatbiq etildi va amal qilindi.[2][reklama manbai?]

Keyinchalik to'lov kartalari sanoatining xavfsizlik standartlari bo'yicha kengash (PCI SSC) tashkil etildi va ushbu kompaniyalar PCI DSSni yaratish uchun o'zlarining shaxsiy siyosatlarini moslashtirdilar.[4] MasterCard, American Express, Visa, JCB International va Discover Financial Services PCI SSC-ni 2006 yil sentyabr oyida ma'muriyat / boshqaruv tashkiloti sifatida tashkil etdi va PCI DSS evolyutsiyasi va rivojlanishini ta'minlaydi. Mustaqil / xususiy tashkilotlar tegishli ro'yxatdan o'tkazilgandan so'ng PCI ishlab chiqishda ishtirok etishlari mumkin. Har bir ishtirokchi tashkilot ma'lum bir SIG (Special Interest Group) ga qo'shiladi va SIG tomonidan vakolat berilgan faoliyatga o'z hissasini qo'shadi.[2][reklama manbai?]

PCI DSS ning quyidagi versiyalari mavjud:[5]

VersiyaSanaIzohlar
1.02004 yil 15 dekabr
1.12006 yil sentyabrtushuntirish va kichik tahrirlar
1.22008 yil oktyabrrivojlangan ravshanlik, moslashuvchanlikni takomillashtirish va rivojlanayotgan xavf va tahdidlarni bartaraf etish
1.2.12009 yil iyulstandartlar va tasdiqlovchi hujjatlar o'rtasida aniqlik va izchillikni yaratish uchun mo'ljallangan kichik tuzatishlar
2.02010 yil oktyabr
3.02013 yil noyabr2014 yil 1 yanvardan 2015 yil 30 iyungacha faol
3.12015 yil aprel2016 yil 31 oktyabrdan nafaqaga chiqqan
3.22016 yil aprel2018 yil 31 dekabrdan nafaqaga chiqqan
3.2.12018 yil may

Talablar

PCI Data Security Standard "nazorat maqsadlari" deb nomlangan oltita mantiqiy bog'liq guruhga bo'lingan muvofiqlikning o'n ikkita talabini belgilaydi. Olti guruh:[6]

  1. Xavfsiz tarmoq va tizimlarni yaratish va saqlash
  2. Karta egalari to'g'risidagi ma'lumotlarni himoya qiling
  3. Zaifliklarni boshqarish dasturini olib boring
  4. Kirish uchun kuchli choralarni amalga oshirish
  5. Tarmoqlarni muntazam ravishda kuzatib boring va sinab ko'ring
  6. Axborot xavfsizligi siyosatini olib boring

PCI DSS-ning har bir versiyasi (To'lov kartalari sanoatining xavfsizligi standarti) ushbu oltita talabni bir nechta sub-talablarga turlicha ajratdi, ammo o'n ikkita yuqori darajadagi talablar standart paydo bo'lganidan beri o'zgarmadi. Har bir talab / pastki talab qo'shimcha ravishda uch qismga bo'linadi.[2][reklama manbai?]

  1. Talab deklaratsiyasi: talabning asosiy tavsifini belgilaydi. PCI DSS-ni tasdiqlash talablarning to'g'ri bajarilishi bo'yicha amalga oshiriladi.
  2. Sinov jarayonlari: to'g'ri bajarilishini tasdiqlash uchun baholovchi tomonidan amalga oshiriladigan jarayonlar va metodikalar.
  3. Yo'riqnoma: Talabning asosiy maqsadi va talabni to'g'ri belgilashga yordam beradigan tegishli tarkibni tushuntiradi.

Xavfsiz tarmoq va tizimlarni yaratish va saqlashga qo'yiladigan o'n ikkita talabni quyidagicha umumlashtirish mumkin:[7][reklama manbai?]

  1. Karta egalari ma'lumotlarini himoya qilish uchun xavfsizlik devori konfiguratsiyasini o'rnatish va saqlash. Xavfsizlik devorining maqsadi - barcha tarmoq trafigini skanerlash, ishonchsiz tarmoqlarning tizimga kirishini bloklash.
  2. Tizim parollari va boshqa xavfsizlik parametrlari uchun sotuvchi tomonidan taqdim etilgan standartlarni o'zgartirish. Ushbu parollar ommaviy ma'lumotlar orqali osongina topiladi va zararli shaxslar tomonidan tizimlarga ruxsatsiz kirishda foydalanishlari mumkin.
  3. Saqlangan karta egalarining ma'lumotlarini himoya qilish. Shifrlash, xeshlash, maskalash va qisqartirish karta egasi ma'lumotlarini himoya qilish uchun ishlatiladi.
  4. Karta egalari ma'lumotlarini ochiq, ochiq tarmoqlar orqali uzatishni shifrlash. Kuchli shifrlash, shu jumladan faqat ishonchli kalitlardan va sertifikatlardan foydalanish zararli shaxslarning xakerlik hujumiga uchrash xavfini kamaytiradi.
  5. Barcha tizimlarni zararli dasturlardan himoya qilish va antivirus dasturlarini muntazam yangilab turish. Zararli dastur Internetga kirish, xodimlarning elektron pochtasi, mobil qurilmalar yoki saqlash qurilmalari kabi ko'plab usullar bilan tarmoqqa kirishi mumkin. Zamonaviy viruslarga qarshi dastur yoki zararli dasturlarga qarshi qo'shimcha dastur zararli dasturlardan foydalanish xavfini kamaytiradi.
  6. Xavfsiz tizimlar va ilovalarni ishlab chiqish va saqlash. Tizimlar va ilovalardagi zaifliklar vijdonsiz shaxslarga imtiyozli kirishga imkon beradi. Xavfsizlikni tuzatish va karta egalari ma'lumotlarining ekspluatatsiyasi va buzilishining oldini olish uchun darhol xavfsizlik yamoqlarini o'rnatish kerak.
  7. Faqat vakolatli xodimlarga karta egasi ma'lumotlariga kirishni cheklash. Kartalar egalari ma'lumotlariga kirishni "bilish kerak" tamoyili bilan cheklash uchun tizimlar va jarayonlardan foydalanish kerak.
  8. Tizim tarkibiy qismlariga kirishni aniqlash va tasdiqlash. Tizim tarkibiy qismlaridan foydalanish huquqiga ega bo'lgan har bir kishiga muhim ma'lumotlar tizimlariga kirish uchun javobgarlikni ta'minlaydigan noyob identifikator (ID) berilishi kerak.
  9. Karta egalari ma'lumotlariga jismoniy kirishni cheklash. Ma'lumotlarga ruxsatsiz kirish yoki olib tashlashni oldini olish uchun karta egalari ma'lumotlariga yoki ushbu ma'lumotlarga ega bo'lgan tizimlarga jismoniy kirish xavfsiz bo'lishi kerak.
  10. Karta egalari ma'lumotlari va tarmoq manbalariga kirishni kuzatish va monitoring qilish. Ma'lumotlarning buzilishining oldini olish, aniqlash yoki minimallashtirish uchun juda muhim bo'lgan foydalanuvchi faoliyatini kuzatib borish uchun tizimga kirish mexanizmlari mavjud bo'lishi kerak.
  11. Xavfsizlik tizimlari va jarayonlarini muntazam ravishda sinovdan o'tkazish. Yangi zaifliklar doimiy ravishda topiladi. Yomon niyatli shaxslar foydalanishi mumkin bo'lgan zaif tomonlarni aniqlash uchun tizimlar, jarayonlar va dasturiy ta'minotni tez-tez sinab ko'rish kerak.
  12. Barcha xodimlar uchun axborot xavfsizligi siyosatini olib borish. Kuchli xavfsizlik siyosati xodimlarga ma'lumotlarning sezgirligini va ularni himoya qilish uchun javobgarligini tushunishni o'z ichiga oladi.

Yangilanishlar va qo'shimcha ma'lumotlar

PCI SSC (To'lov kartalari sanoatining xavfsizlik standartlari bo'yicha kengash) turli talablarni aniqlashtirish uchun bir nechta qo'shimcha ma'lumotlarni e'lon qildi. Ushbu hujjatlar quyidagilarni o'z ichiga oladi [2][reklama manbai?]

  • Axborot qo'shimchasi: Talab 11.3 Penetratsiyani sinash
  • Ma'lumot uchun qo'shimcha: talab 6.6 Kodni ko'rib chiqish va dastur xavfsizlik devorlari aniqlandi
  • PCI DSS-da harakat qilish - Talablarning niyatini tushunish
  • "Axborot qo'shimchasi: PCI DSS simsiz yo'riqnomasi" (PDF). 2011 yil 26 avgust.
  • EMV muhitida PCI DSS qo'llanilishi [8][reklama manbai?]
  • PCI DSS uchun ustuvor yondashuv
  • Birinchi o'ringa qo'yilgan yondashuv vositasi
  • PCI DSS tezkor ma'lumotnomasi
  • PCI DSS virtualizatsiyasi bo'yicha ko'rsatmalar
  • PCI DSS tokenizatsiya bo'yicha ko'rsatmalar
  • PCI DSS 2.0 Xatarlarni baholash bo'yicha ko'rsatmalar
  • PCI DSS va PA-DSS o'zgarishlari uchun hayot aylanishi
  • PCI DSS hajmini aniqlash va segmentatsiyalash bo'yicha qo'llanma

Muvofiqlik darajasi

PCI DSS standartlariga bo'ysunadigan barcha kompaniyalar PCIga mos kelishi kerak. PCI muvofiqligining to'rtta darajasi mavjud va ular sizning yiliga qancha ishlov berishingizga, shuningdek to'lov markalari tomonidan baholanadigan xavf darajasi haqidagi boshqa tafsilotlarga asoslangan.[9]

Yuqori darajadagi darajalar quyidagilar:

  • 1-daraja - har yili 6 milliondan ortiq operatsiyalar
  • 2-daraja - har yili 1 dan 6 milliongacha operatsiyalar
  • 3-daraja - Har yili 20000 dan 1 milliongacha tranzaktsiyalar
  • 4-daraja - har yili 20000 dan kam bitim

Har bir karta chiqaruvchisi muvofiqlik darajalari jadvalini yuritadi.[10][11]

Muvofiqlikni tasdiqlash

Muvofiqlikni tasdiqlash PCI DSS tomonidan tavsiya etilgan qoidalarga muvofiq xavfsizlik nazorati va protseduralari to'g'ri bajarilganligini baholash va tasdiqlashni o'z ichiga oladi. Muxtasar qilib aytganda, PCI DSS, xavfsizlikni tekshirish / sinov protseduralari muvofiqlikni tasdiqlash vositasi sifatida o'zaro bog'liqdir. PCI DSS baholash quyidagi sub'ektlarga ega.[12][reklama manbai?][13]

Malakali xavfsizlik bo'yicha baholovchi (QSA)

Asosiy maqola: Malakali xavfsizlik bo'yicha baholovchi

Xavfsizlikning malakali baholovchisi - bu PCI xavfsizlik standartlari kengashi tomonidan taqdim etilgan sertifikatga ega bo'lgan shaxs. Ushbu sertifikatlangan shaxs savdogarlarni To'lov kartalari sanoatining xavfsizlik xavfsizligi standartiga (PCI DSS) muvofiqligini tekshirishi mumkin. QSA - bu PCI SSC tomonidan tashkilot protseduralarida muvofiqlikni tasdiqlash uchun sertifikatlangan mustaqil guruhlar / tashkilotlar. Tasdiq faqat QSA ning PCI DSS baholarini bajarish uchun majburiy bo'lgan barcha alohida shartlarga moyilligini belgilaydi.[12][reklama manbai?][13]

Ichki xavfsizlikni baholovchi (ISA)

Asosiy maqola: Ichki xavfsizlikni baholovchi (ISA)

Ichki xavfsizlik bo'yicha baholovchi - bu homiy tashkilot uchun PCI xavfsizlik standartlari kompaniyasidan sertifikat olgan shaxs. Ushbu sertifikatlangan shaxs o'z tashkilotlari uchun PCI-ni o'z-o'zini baholash imkoniyatiga ega. Ushbu ISA dasturi 2-darajali savdogarlarga yangi Mastercard muvofiqligini tasdiqlash talablariga javob berishga yordam berish uchun ishlab chiqilgan.[14] ISA sertifikati ishchiga o'z assotsiatsiyasini ichki baholashni amalga oshirishga va PCI DSSga muvofiq xavfsizlik echimlari / boshqaruvini taklif qilishga imkon beradi. ISA PCI SSC tomonidan tasdiqlanishi uchun tashkilot tomonidan qo'llab-quvvatlanganligi sababli, ular QSA bilan hamkorlik va ishtirok etish uchun mas'uldirlar.[12][reklama manbai?][13]

Muvofiqlik to'g'risidagi hisobot (ROC)

Muvofiqlik to'g'risidagi hisobot - bu PCI DSS (Payment Card Industry Data Security Standard) auditidan o'tgan barcha 1-darajali savdogarlar Visa savdogarlari tomonidan to'ldirilishi kerak bo'lgan shakl. ROC formasi tekshirilayotgan savdogarning PCI DSS standartiga muvofiqligini tekshirish uchun ishlatiladi. ROC, kartalar egalarini firibgarliklar / firibgarlardan himoya qilish uchun tashkilot tomonidan siyosat, strategiya, yondashuvlar va ish oqimlari tegishli ravishda amalga oshirilishini / ishlab chiqilishini tasdiqlaydi kartochkalarga asoslangan biznes operatsiyalar. PCI SSC saytida mavjud bo'lgan "ROC hisobot shablonlari" shablonida ROC haqida batafsil ko'rsatmalar mavjud.[12][reklama manbai?][13]

O'z-o'zini baholash uchun savolnoma (SAQ)

PCI DSS o'z-o'zini baholash bo'yicha so'rovnomalar (SAQ) savdogarlar va xizmat ko'rsatuvchi provayderlarga o'zlarining PCI DSS o'zlarini baholash natijalari to'g'risida hisobot berishda yordam berish uchun mo'ljallangan tekshirish vositalaridir.

O'z-o'zini baholash uchun so'rovnoma - savdogarlar har yili to'ldirishlari va o'zlarining tranzaktsiyalar bankiga topshirishlari shart bo'lgan anketalar to'plami. SAQning yana bir tarkibiy qismi - bu muvofiqlikni tasdiqlash (AOC), bu erda har bir SAQ savoliga ichki PCI DSS o'zini o'zi baholash asosida javob beriladi. Har bir SAQ savoliga ha yoki yo'q alternativasi bilan javob berish kerak. Agar savolga "yo'q" degan tegishli javob berilgan bo'lsa, unda assotsiatsiya o'zining kelgusida amalga oshiriladigan jihatlarini ta'kidlab o'tishi kerak.[12][reklama manbai?][13]

Muvofiqlikni tasdiqlash bilan muvofiqligi

PCI DSS karta egalari ma'lumotlarini qayta ishlaydigan, saqlaydigan yoki uzatuvchi barcha tashkilotlar tomonidan amalga oshirilishi kerak bo'lsa-da, PCI DSS muvofiqligini rasmiy tasdiqlash barcha tashkilotlar uchun majburiy emas. Ayni paytda ikkalasi ham Viza va MasterCard savdogarlar va xizmat ko'rsatuvchi provayderlarning PCI DSS-ga muvofiq tasdiqlanishini talab qilish. Visa shuningdek, malakali savdogarlarga yillik PCI DSS tasdiqlash bahosini to'xtatishga imkon beradigan Technology Innovation Program (TIP) deb nomlangan muqobil dasturni taklif etadi. Ushbu savdogarlar, agar ulardan foydalanish kabi soxta firibgarlikka qarshi muqobil choralarni ko'rsalar, tegishli EMV yoki Nuqta-nuqtali shifrlash.

Bank-emitentlardan PCI DSS tekshiruvidan o'tishi talab qilinmaydi, ammo ular hali ham PCI DSS-ga mos keladigan tarzda maxfiy ma'lumotlarni ta'minlashi kerak. Ekvayer-banklar PCI DSS-ga rioya qilishlari va shuningdek, ularning muvofiqligini tekshirish orqali tasdiqlashlari shart.

Xavfsizlik buzilgan taqdirda, buzilish paytida PCI DSS talablariga javob bermaydigan har qanday buzilgan tashkilot jarima kabi qo'shimcha karta sxemasi jarimalariga tortiladi.

Qonunchilik

Federal qonunchilikda PCI DSS-ga muvofiqlik talab qilinmaydi Qo'shma Shtatlar. Biroq, AQShning ayrim shtatlarining qonunlari PCI DSS-ga to'g'ridan-to'g'ri murojaat qiladi yoki unga tenglashtirilgan qoidalarni belgilaydi. Huquqshunos olimlar Edvard Mors va Vasant Ravalning ta'kidlashicha, PCI DSS-ni qonunchilikka muvofiqlashtirish orqali kartalar tarmoqlari firibgarlikning tashqi narxini kartochkalar emitentlaridan savdogarlarga qayta taqsimlagan.[15]

2007 yilda MINNESOTA tranzaksiya avtorizatsiya qilinganidan keyin 48 soatdan keyin to'lov kartalari ma'lumotlarining ayrim turlarini saqlashni taqiqlovchi qonunni qabul qildi.[16][17]

2009 yilda Nevada shtat qonunchiligiga ushbu davlatda ish olib boradigan savdogarlarning amaldagi PCI DSS ga muvofiqligini talab qiladigan standartni kiritdi va mos keladigan tashkilotlarni javobgarlikdan xalos qildi. Nevada qonuni, shuningdek savdogarlarga boshqa tasdiqlangan xavfsizlik standartlari bo'yicha javobgarlikdan qochishga imkon beradi.[18][15]

2010 yilda Vashington ham ushbu standartni davlat qonunchiligiga kiritdi. Nevada qonunchiligidan farqli o'laroq, sub'ektlardan PCI DSS talablari bajarilishi talab qilinmaydi, ammo ma'lumotlar buzilgan taqdirda, javobgarlardan himoya qilinadi.[19][15]

Karta egalari ma'lumotlarini himoya qilish uchun xavflarni boshqarish

PCI DSS-ning 3-talabiga binoan savdogarlar va moliya institutlari o'z mijozlarining maxfiy ma'lumotlarini kuchli kriptografiya bilan himoya qilishlarini so'rashadi. Mos kelmaydigan echimlar tekshiruvdan o'tmaydi.[3] Odatda xatarlarni boshqarish dastur 3 bosqichda tuzilishi mumkin:[20][reklama manbai?]

  1. Barcha ma'lum bo'lgan xatarlarni aniqlang va ularni xatarlar reestriga yozing / tavsiflang. Masalan, apparat xavfsizligi modullari Kriptografiyada ishlatiladigan (HSM) kalitlarni boshqarish Jismoniy yoki mantiqiy ravishda, agar xavf tug'dirsa, jarayon o'z xavf-xatarlarini keltirib chiqarishi mumkin. HSM tizimlari tizimda ishonchning ildizini yaratadi. Biroq, ehtimol kam bo'lsa-da, agar HSM buzilgan bo'lsa, bu butun tizimni buzishi mumkin.
  2. Xatarlarni boshqarish dasturini ishlab chiqish barcha aniqlangan xatarlarni tahlil qilishdan iborat. Ushbu tahlilga qaysi xavfni aniqlash uchun sifatli va miqdoriy usullar aralashmasi kiritilishi kerak davolash usullari xatarlar ehtimolini kamaytirish uchun ishlatilishi kerak. Masalan, tashkilot bulutli HSM-dan foydalanish joyida foydalanadigan jismoniy qurilmaga nisbatan xavfini tahlil qilishi mumkin.
  3. Ilgari o'tkazilgan tavakkalchilik tahliliga javoban xatarlarni davolash. Masalan, bulutli HSM-da saqlangan mijozlar ma'lumotlarini himoya qilish uchun turli xil muolajalarni qo'llash, shu bilan birga HSM-ning xavfsizligini jismoniy va mantiqiy ravishda ta'minlash, bunda nazoratni amalga oshirish yoki xavfning maqbul darajasini saqlab qolish uchun sug'urta olish mumkin.

Doimiy monitoring va ko'rib chiqish PCI DSS kriptografiya xavfini kamaytirish jarayonining bir qismidir. Bunga parvarishlash jadvallari va xavfsizlikning zaif tomonlari aniqlanganda oldindan belgilangan eskalatsiya va tiklash tartiblari kiradi.[20]

Qarama-qarshiliklar va tanqidlar

Visa va Mastercard talablarga javob bermaganlik uchun jarimalar soladi.[21][reklama manbai?]

Aytish joizki, Yuta shtatidagi Park Siti shahridagi Cisero's Ristorante va Nightclub egalari Stiven va Teodora "Sissi" Makkomb, sud ekspertizasining ikkita firmasi sodir bo'lganligi sababli dalil topa olmaganligi uchun jarimaga tortildi:

"PCI tizimi kartochka kompaniyalari uchun jarimalar va jarimalar orqali foyda olish tizimiga qaraganda kamroq mijoz kartalari ma'lumotlarini himoyalash tizimidir. Visa va MasterCard savdogarlarga umuman firibgarlik yo'qotilmasa ham jarima soladi, chunki bu jarimalar "ular uchun foydalidir". "[22]

Maykl Do'konlaridagi CIO Maykl Jons AQSh Kongressining kichik qo'mitasi oldida PCI DSS bo'yicha ko'rsatma berdi:

"(... PCI DSS talablari ...) ularning talqinida ham, ijro etilishida ham juda qimmat, bajarilishni chalkashtirib yuboradi va pirovardida sub'ektivdir. Odatda, faqat o'n ikkita" talablar "mavjud. PCI muvofiqligi.Haqiqatda 220 dan ortiq sub-talablar mavjud, ulardan ba'zilari chakana sotuvchiga ajoyib yuk va ularning aksariyati talqin qilinishi kerak."[23]

Boshqalar PCI DSS xavfsizlik muammolarini to'liq yo'q qilish uchun minimal standartlar etarli bo'lmasa ham, barcha korxonalarni IT xavfsizligiga ko'proq e'tibor qaratish uchun qadamdir, deb ta'kidlashdi. Masalan, Bryus Shnayer PCI DSS foydasiga gapirdi:

"Nizom - SOX, HIPAA, GLBA, kredit kartalar sanoatining PCI-si, har xil ma'lumotlarni oshkor qilish to'g'risidagi qonunlar, Evropadagi ma'lumotlarni himoya qilish to'g'risidagi qonun, nima bo'lishidan qat'i nazar, bu soha kompaniyalarni engib o'tgan eng yaxshi tayoq bo'ldi. Va u ishlaydi. Tartibga solish kompaniyalarni xavfsizlikni yanada jiddiy qabul qilishga majbur qiladi va ko'proq mahsulot va xizmatlarni sotadi. "[24]

PCI Kengashi Bosh menejeri Bob Russo ning e'tirozlariga javob berdi Milliy chakana savdo federatsiyasi:

"[PCI - bu tuzilgan] aralashma ... o'ziga xoslik va yuqori darajadagi kontseptsiyalar [manfaatdor tomonlarga o'zlarining atrof-muhit doirasida maqsadga muvofiq keladigan xavfsizlikni boshqarish vositalarini aniqlash uchun malakali xavfsizlik baholovchilari (QSA) bilan ishlash imkoniyati va moslashuvchanligi. PCI standartlari. "[25]

Muvofiqlik va murosaga kelish

Visa kompaniyasining bosh xatar bo'yicha xodimi Ellen Rishining so'zlariga ko'ra (2018):

"... buzilish paytida PCI DSS-ga mos keladigan biron bir buzilgan shaxs hali topilmadi."[26]

2008 yilda buzilgan Heartland to'lov tizimlari, PCI DSS-ga muvofiq tashkilot tomonidan tasdiqlangan, natijada yuz million karta raqami buzilgan. Xuddi shu vaqt atrofida Birodarlar Hannaford va TJX kompaniyalari, shuningdek PCI DSS-ga muvofiq deb tasdiqlangan, taxmin qilingan muvofiqlashtirilgan sa'y-harakatlar natijasida xuddi shunday buzilgan Albert "Segvec" Gonsales va noma'lum ikki rus xakerlari.[27]

Baholashlar savdogarlar va xizmat ko'rsatuvchi provayderlarning PCI DSS-ga muvofiqligini ma'lum bir vaqtda tekshiradi va namuna olish metodologiyasidan tez-tez foydalanib, vakolat tizimlari va jarayonlari orqali namoyish etilishi mumkin. Savdogar va xizmat ko'rsatuvchi provayderning javobgarligi har yili ham tasdiqlash / baholash tsikli davomida, hamda barcha tizimlar va jarayonlar bo'yicha har doim ham ularga muvofiqligini ta'minlash, namoyish etish va saqlashdir. Ushbu buzilishlar uchun savdogar va xizmat ko'rsatuvchi provayderning yozma standartga muvofiqligi buzilishi aybdor bo'lishi mumkin bo'lsa-da, Hannaford Brothers o'zining PCI DSS muvofiqligini tasdiqlashni ikki oylik kelishuv to'g'risida xabardor qilinganidan bir kun o'tib olgan edi. uning ichki tizimlari. Baholovchi tomonidan buni aniqlanmaganligi, muvofiqlikni nomuvofiq tekshirish standartning xavfsizligini buzishiga olib keladi.[iqtibos kerak]

Boshqa tanqidlar shundan iboratki, muvofiqlikni tekshirish faqat 1-3 darajali savdogarlar uchun talab qilinadi va karta markasi va ekvayeriga qarab 4-daraja uchun ixtiyoriy bo'lishi mumkin. Visa-ning savdogarlar uchun muvofiqligini tasdiqlash tafsilotlarida 4-darajadagi savdogarlarning muvofiqligini tasdiqlash talablari ekvayer tomonidan belgilanishi, Visa-ning 4-darajali savdogarlari "har yili Visa elektron tijorat operatsiyalarini 20000 dan kam qayta ishlaydigan savdogarlar va har yili 1 milliongacha bo'lgan Visa operatsiyalarini amalga oshiradigan boshqa barcha savdogarlar" deb ko'rsatilgan. . Shu bilan birga, 2005 yildan 2007 yilgacha bo'lgan davrda to'lov kartalarining 80% dan ziyod murosasi 4-darajali savdogarlarga ta'sir ko'rsatdi; ular bitimlarning 32 foizini bajaradilar.[28]

Shuningdek qarang

Adabiyotlar

  1. ^ "PCI DSS muvofiqligi to'g'risida bilishingiz kerak bo'lgan narsa: Buyuk Britaniyaning xarajatlari va nazorat ro'yxati". Olingan 18 dekabr, 2018.
  2. ^ a b v d e Mehmud, Osim. "PCI DSS-ga kirish". Kriptomatik. Olingan 4 sentyabr, 2018.
  3. ^ a b PCI xavfsizlik standartlari bo'yicha kengash. "To'lov kartalari sanoati (PCI) ma'lumotlar xavfsizligi bo'yicha standart talablar va xavfsizlikni baholash protseduralari 3.2.1-may, 2018 yil" (PDF). PCI xavfsizlik standartlari bo'yicha kengashi, MChJ.
  4. ^ Liu, Jing; Syao, Yang; Chen, Xui; Ozdemir, Suat; Dodle, Srinivas; Singh, Vikas (2010). "To'lov kartalari sanoatining ma'lumotlar xavfsizligi standartini o'rganish". IEEE Communications Surveys & Tutorials. 12: 287–303.
  5. ^ "Hujjatlar kutubxonasi". PCI xavfsizlik standartlari bo'yicha kengash. Olingan 12-noyabr, 2020.
  6. ^ "PCI DSS tezkor ma'lumotnomasi" (PDF). Olingan 12-noyabr, 2020.
  7. ^ Tyorner, Tong. "Xavfsiz tarmoq va tizimlarni yaratish va saqlash uchun PCI DSS talablari". Utimako. Olingan 19 oktyabr, 2018.
  8. ^ Mehmud, Osim. "PCI DSS-ga mos keladigan EMV kartalari uchun PKI". Kriptomatik. Olingan 4 sentyabr, 2018.
  9. ^ "Rasmiy PCI xavfsizlik standartlari kengashining sayti - PCI muvofiqligini tekshiring, ma'lumot xavfsizligi va kredit karta xavfsizligi standartlarini yuklab oling". www.pcisecuritystandards.org.
  10. ^ "Viza Evropada".
  11. ^ "Savdogarlar bilishi kerak bo'lgan narsalar | To'lov ma'lumotlarini qayta ishlash va xavfsiz operatsiyalar | Mastercard". www.mastercard.us.
  12. ^ a b v d e Mehmud, Osim. "PCI DSS muvofiqligini tasdiqlash". Kriptomatik. Olingan 4 sentyabr, 2018.
  13. ^ a b v d e PCI xavfsizlik standartlari bo'yicha kengash. "To'lov kartalari sanoatida (PCI) ma'lumotlar xavfsizligi standart talablari va xavfsizlikni baholash protseduralari 3.2 versiyasi". (PDF). PCI xavfsizlik standartlari bo'yicha kengashi, MChJ. Olingan 4 sentyabr, 2018.
  14. ^ "Sizga kerak bo'lmagan PCI sertifikati uchun to'lashdan saqlaning". FierceRetail. 2010 yil 12-may. Olingan 26 mart, 2018.
  15. ^ a b v Edvard A. Morse; Vasant Raval, Qonun asosida xususiy buyurtma: to'lov kartalarini xavfsizlik choralari orqali iste'molchilar huquqlarini himoya qilishga erishish DePaul Business & Commercial Law Journal 10, yo'q. 2 (2012 yil qish): 213-266
  16. ^ Jeyms T. Graves, Minnesota shtatining PCI qonuni: Ma'lumotlar xavfsizligining qonuniy majburiyatiga o'tish yo'lidagi kichik qadam " Uilyam Mitchell 34-sonli qonunni ko'rib chiqish, yo'q. 3 (2008): 1115-1146
  17. ^ MINN. STAT. § 325E.64
  18. ^ Hech qachon. REV. STAT. § 603A.215
  19. ^ 2010 yil yuvish. Sessiya Qonunlar 1055, § 3.
  20. ^ a b Mxember, Silas. "PCI DSS bilan bog'liq kriptografiya-xatarlarni qanday kamaytirish mumkin". Kriptomatik. Olingan 1 oktyabr, 2018.
  21. ^ "Mos kelmaslik uchun jarimalar". PCI DSS muvofiqligi. 2015 yil 25-fevral. Olingan 9-noyabr, 2018.
  22. ^ Zetter, Kim (2012 yil 11-yanvar). "Kredit karta kompaniyasining xavfsizlik standartlari va jarimalari bo'yicha kamdan-kam qonuniy kurashlar". Simli. Olingan 30 mart, 2019.
  23. ^ "To'lov kartalari sanoatining standartlari kiberjinoyatchilikni kamaytiradimi? Milliy xavfsizlik bo'yicha qo'mitaning paydo bo'layotgan tahdidlar, kiberxavfsizlik va fan va texnologiyalar bo'yicha kichik qo'mitasi, Vakillar Palatasi, Yuz o'n birinchi Kongress, Birinchi sessiya, 2009 yil 31 mart". GPO. 2009 yil 31 mart. Olingan 30 mart, 2019. Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
  24. ^ "Bryus Shnayer xavfsizlik bo'yicha o'n yillik tendentsiyani aks ettiradi". Shnayer xavfsizlik to'g'risida. 2008 yil 15-yanvar. Olingan 8 mart, 2019.
  25. ^ "PCI muvofiqligi sizning xavfsizlik tashabbusingizga zararli bo'lishi mumkinmi?". www.brighttalk.com. Olingan 9 oktyabr, 2020.
  26. ^ Vijayan, Jaykumar (2009 yil 19 mart). "PCI xavfsizlik standarti buzilganidan keyin tanqid noto'g'ri qo'yilgan, deydi Visa exec". Computerworld. Olingan 4 sentyabr, 2018.
  27. ^ Salim, Hamid M. (2014). Kiber xavfsizlik: tizimni o'ylash va kiber xavfsizlik xavfini boshqarish tizim nazariyasi yondashuvi (Tezis tezisi). Massachusets texnologiya instituti.
  28. ^ "Heartland to'lov tizimlari 2008 yilgi ma'lumotlarning buzilishidan kelib chiqadigan uchinchi hisob-kitob shartnomasini imzolaydi". Maxfiylik to'g'risidagi qonun blogi. 2010 yil 24 may. Olingan 10 oktyabr, 2020.

Tashqi havolalar