支付卡行业数据安全标准是一套范围广泛的行业指导方针, 为每个接受支付卡的企业制定要求(和可能的处罚). 可以预见的是,他们是很多错误信息、误解和神话的主题.
让我们来澄清六个最常见的误解,并深入了解如何做到这一点 PCI合规性规定 真正的工作.
误解1:PCI是一种法律
一点也不. 这些标准由支付卡行业安全标准委员会维护, 由各大信用卡品牌于2006年成立的独立实体. 美国.S. 政府不参与该标准及其执行. 这是行业自律, 所以你不会因为不遵守PCI DSS而进监狱——但你可能会失去处理支付卡的能力.
误解2:PCI不适用于我
如果你的组织, 商店, 或传输支付卡数据, 那么PCI DSS适用于你, 简单明了. 虽然有不同的商家级别指定不同的报告方法, 从零售巨头到当地咖啡店,每个人都必须遵守PCI标准.
误解3:信用卡品牌对商家有利
许多商家不了解PCI罚款的机制. 我们知道政府没有参与其中,但究竟是谁对商人进行罚款? 卡片品牌? PCI安全标准委员会? 事实上,PCI合规性是由商家的收单银行强制执行的. 这意味着罚款也要由收购银行评估.
他们为什么要费心监督你的合规性? 因为如果你的安全措施不达标,他们是(第一个)被牵连的人. 你看到, 对于不合规的商家,他们将受到信用卡品牌的罚款, 如果你遭遇违规并被发现不合规,也会受到处罚. 这就是为什么您需要提供的报告级别由您的收单银行决定的原因, 他们很可能会把不合规的成本转嫁给你.
误解4:PCI是IT部门的问题
乍一看, 网络安全合规似乎是一个纯粹的技术问题,是IT人员要处理的问题. 但非技术人员也会犯技术错误, 网络攻击者越来越多地通过人工渠道侵入敏感数据,比如毫无戒心的客户服务代表. 每个接触支付卡数据的人都需要接受PCI合规方面的培训.
误解5:做正确的事就足够了
将所有正确的安全措施放在适当的位置是PCI的核心, 但这还不足以证明合规. 您可以将其称为必要条件,但不是充分条件—完全符合PCI安全标准, 您必须有适当的文档,证明您的所有安全措施都已到位并经过了测试.
迷思6:你可以完全外包PCI责任
一些企业认为,既然他们雇佣了第三方供应商提供某些IT服务, PCI不再适用于他们. 但安全标准委员会已经明确表示,事实并非如此, 说商家不能完全免除自己对合规的责任. 说清楚点,你 可以 聘请第三方合作伙伴提供PCI安全解决方案, 并帮助您确保PCI合规. 这些伙伴关系可能非常有价值.
但是这里有一个重要的区别:您不能签字放弃对PCI要求的所有责任—您应该对任何提供此类服务的人持怀疑态度. 此外, 如果你用了一个伙伴, 确保你清楚地定义了每一方的责任 PCI遵从性 在你们的合同协议中, 一定要让伴侣负责,让他们定期做他们该做的事. 无论您是自己处理PCI安全义务还是与第三方合作, 提高对PCI DSS的警惕是组织安全的关键组成部分.
LBMC审查遵从性工作, 是否可以通过测试来确保遵从性,并帮助您的团队制定一个行动计划来纠正遵从性. 进一步了解明升体育app下载 PCI合规性服务.