Compliment PCI
El compliment de la indústria de targetes de pagament (PCI) fa referència a les normes tècniques i operatives que han de seguir les empreses per garantir que les dades de la targeta de crèdit proporcionades pels titulars de la targeta estiguin protegides. El compliment de PCI és aplicat pel Consell de normes PCI i totes les empreses que emmagatzemen, processen o transmeten dades de la targeta de crèdit de forma electrònica han de seguir les directrius de compliment.
DESCOMPLIMENT DE LA COMPRESSIÓ PCI
Les normes de compliment de la indústria de targetes de pagament (PCI) requereixen que els comerciants i altres empreses gestionin la informació de la targeta de crèdit de forma segura que ajudi a reduir la probabilitat que els titulars de la targeta robin dades financeres sensibles. Si els comerciants no gestionen adequadament la informació de la targeta de crèdit, la informació de la targeta podria ser piratejada i usada per fer compres fraudulentes. A més, es podria utilitzar informació sensible sobre el titular de la targeta en el frau d'identitat.
Ser compatible amb PCI significa adherir-se constantment a un conjunt de directrius establertes per les empreses que emeten targetes de crèdit. Les directrius descriuen una sèrie de passos que els processadors de targetes de crèdit han de seguir contínuament. A les empreses se'ls demana que avaluin la seva infraestructura de tecnologia de la informació, els processos comercials i els procediments de maneig de targetes de crèdit per ajudar a identificar possibles amenaces que puguin comprometre les dades de la targeta de crèdit. A continuació, se’ls demana a les empreses que s’abordin de qualsevol problema en la seguretat i que eviti emmagatzemar informació sensible dels titulars de la targeta, com ara la seguretat social i els números del carnet de conduir, sempre que sigui possible. Les empreses han de proporcionar informes de compliment a les marques de targetes amb què treballen, com ara American Express i VISA.
Totes les empreses que processen informació de targeta de crèdit han de mantenir el compliment de PCI, independentment de la seva mida o el nombre de transaccions amb targeta de crèdit que processin. Totes les empreses es divideixen en nivells de comerciant en funció del nombre de transaccions que es processin durant un període especificat. El compliment de PCI es regeix pel Consell de Normes de Seguretat de la Indústria de Pagaments, una organització creada el 2006 amb la finalitat de gestionar la seguretat de les targetes de crèdit. Els requisits, coneguts com els estàndards de seguretat de dades de la indústria de pagament de targetes (PCI DSS), són gestionats per les principals empreses de targetes de crèdit, entre elles, VISA, American Express, Discover i MasterCard, entre d’altres.
Compliment PCI i incompliments de dades
Molts dels incompliments de dades més importants de la història poden haver estat evitats si els comerciants afectats o les institucions financeres fossin compatibles amb PCI. A continuació, es detallen algunes de les claus de l’informe de seguretat de pagaments de Verizon 2017, un estudi detallat del compliment de DSS PCI:
- Les organitzacions minoristes van demostrar la sostenibilitat de compliment de PCI més baixa a totes les indústries clau.
- La indústria de serveis de TI va assolir el màxim compliment total de tots els grups principals de la indústria estudiat.
- El 77 per cent de les empreses es van avaluar després d'una incomplència de dades que no complia el requisit número PCI: instal·lar i mantenir una configuració de tallafoc.
- L'estudi mostra una correlació "demostrable" entre empreses actualitzades en els estàndards PCI i empreses que s'han defensat amb èxit contra les amenaces cibernètiques.
- El nombre d'empreses que compleixen el 100% per PCI creix considerablement cada any.