Shoplazza, ведущая мировая платформа электронной коммерции, объявляет о своей недавней сертификации по стандарту безопасности данных индустрии платежных карт (PCI DSS) v4.0.1, новейшей обязательной системе безопасности, регулирующей защиту данных платежных карт. Сертификация проводится в связи с официальным выходом PCI DSS v3.2.1 из обращения 31 марта 2024 года, в результате чего v4.0.1 остается единственным действующим стандартом для организаций, работающих с информацией о платежных картах.
Shoplazza устанавливает эталон соответствия требованиям безопасности платежей
Благодаря полному соответствию стандарту PCI DSS v4.0.1, Shoplazza подтверждает, что ее инфраструктура и процессы отвечают самым высоким мировым стандартам защиты данных о держателях карт. Сертификация очень важна для обеспечения бесперебойной интеграции с такими платежными провайдерами, как PayPal, поскольку несоблюдение требований PCI DSS приводит к ограничению или прекращению действия привилегий на обработку платежей.
"Принятие стандарта PCI DSS v4.0.1 - это не факультатив, а деловая необходимость в современном цифровом ландшафте", - говорит Элисон, главный операционный директор Shoplazza. "Внедряя новейшие средства контроля безопасности, мы позволяем продавцам работать без перебоев, зная, что их платежные системы соответствуют строгим требованиям основных карточных сетей и платежных провайдеров".
Что такое PCI DSS v4.0.1?
PCI DSS, разработанный Советом по стандартам безопасности индустрии платежных карт (PCI SSC), - это всемирно признанная система, предназначенная для предотвращения мошенничества с платежными картами, утечек данных и кражи личных данных. Обновление v4.0.1, выпущенное в июне 2024 года, содержит основные цели и усовершенствования, в том числе:
-
Продолжать удовлетворять потребности индустрии платежей в безопасности
-
Продвижение безопасности как непрерывного процесса
-
Повышение гибкости для организаций, использующих различные подходы к обеспечению безопасности
-
Усовершенствовать методы проверки и вспомогательные процедуры
Кроме того, она также отвечает на технические вызовы и вызовы безопасности
-
Облачные среды и безопасность API: Новые требования предусматривают специальные средства контроля для защиты облачной инфраструктуры и усиления мер безопасности API.
-
Расширенный фишинг и вредоносное ПО: Усиленные меры защиты включены для противодействия все более изощренным схемам фишинга и атакам вредоносных программ.
-
Шифрование и управление ключами: Стандарт предусматривает использование более надежных протоколов шифрования и более строгих методов управления ключами для защиты конфиденциальных платежных данных.
Ключевые обновления: PCI DSS v4.0 по сравнению с v3.2.1
Чтобы лучше подготовиться, в следующей таблице приведены три ключевых различия между PCI DSS v3.2.1 и обновленной версией v4.0.1.
|
Аспект
|
PCI DSS v3.2.1
(полностью отменен к 31 марта 2024 года)
|
PCI DSS v4.0 ( полностью вступает в силу к 31 марта 2025 года)
|
|
Рамки соответствия
|
Определенный подход: Это метод по умолчанию, требующий от организаций следовать подробным процедурам контроля и тестирования, установленным PCI SSC, допуская компенсирующие элементы контроля только в тех случаях, когда это оправдано.
|
Индивидуальный подход: Он позволяет организациям использовать инновационные технологии (например, динамическое шифрование, "облачную" безопасность) для достижения целей безопасности. Однако требуется целевой анализ рисков для каждого индивидуального контроля и предоставление документации по оценке.
|
|
Политика в отношении паролей
|
Минимум 7 символов и необходимость смены в течение 90 дней
|
Минимальная длина увеличена до 12 символов (8, если действуют системные ограничения). Внедряется механизм динамического анализа безопасности учетных записей, и нет необходимости менять пароли/парольные фразы хотя бы раз в 90 дней.
|
|
Многофакторная аутентификация (MFA)
|
В частности, Требование 8.3 предписывает MFA для удаленного доступа к сети (пользователей, администраторов или третьих лиц), осуществляемого извне корпоративной сети.
|
MFA обязательна для всех учетных записей, имеющих доступ к средам данных держателей карт (CDE), включая административные и системные учетные записи, что повышает безопасность аутентификации.
|
Риски несоблюдения требований: почему соблюдение требований имеет значение
Несоблюдение требований PCI DSS v4.0.1 подвергает предприятия серьезным рискам:
-
Нарушения безопасности: Устаревшие системы уязвимы для современных угроз, таких как электронное мошенничество и фишинг, которые ежегодно обходятся мировому бизнесу в триллионы убытков. Например, по прогнозам
Statista's Market Insights, глобальные расходы на киберпреступления вырастут с 9,22 триллиона долларов в 2024 году до 13,82 триллиона долларов к 2028 году.
-
Штрафы со стороны регулирующих органов: Организации, не соблюдающие требования, сталкиваются с ограничениями на обработку транзакций, штрафами или даже потерей привилегий на обработку платежей.
-
Нарушение работы бизнеса: Неспособность соответствовать стандартам PCI DSS может помешать партнерству с глобальными платежными провайдерами и эквайрерами, ограничивая расширение рынка.
Как Shoplazza упрощает соблюдение требований для продавцов?
Соответствие Shoplazza стандарту PCI DSS v4.0.1 освобождает продавцов от бремени независимой сертификации. Используя платформу, продавцы могут:
-
Сосредоточиться на развитии бизнеса, в то время как Shoplazza управляет сквозной безопасностью платежей.
-
Легко интегрироваться с такими поставщиками платежей, как PayPal, зная, что весь поток транзакций соответствует требованиям PCI.
-
Получить доступ к надежным функциям безопасности, включая шифрованную передачу данных, мониторинг мошенничества в режиме реального времени и автоматическое управление уязвимостями.
Следующие шаги для продавцов
Поскольку стандарт PCI DSS v3.2.1 выходит из употребления 31 марта 2024 года, а v4.0.1 становится полностью обязательным к 31 марта 2025 года, продавцам необходимо уделить первоочередное внимание соблюдению требований. Сертифицированная платформа Shoplazza предлагает готовое решение для компаний, которым нужна безопасная и соответствующая требованиям обработка платежей без сложностей, связанных с самостоятельным внедрением.
Быстрые ссылки на официальные документы PCI DSS