เหตุใดการรับรอง PCI จึงมีความสำคัญสำหรับเครื่องมือสื่อสารทางธุรกิจของคุณ

ดูเหมือนว่าเราอยู่ในจุดที่การรักษาความปลอดภัยของข้อมูลได้กลายเป็นสิ่งที่คิดภายหลังสำหรับองค์กรจำนวนมาก กลายเป็นข่าวประจำที่จะได้ยินเกี่ยวกับการละเมิดข้อมูลใหม่และชื่อบางส่วนที่ได้รับผลกระทบจะทำให้คุณประหลาดใจจริงๆ เฉพาะในปี 2018 เพียงปีเดียว องค์กรต่างๆ เช่น Macy's, Adidas, Delta, Panera Bread และแม้แต่ Amazon รายงานว่าข้อมูลลูกค้าถูกละเมิด

ไม่ว่าธุรกิจของคุณจะมีขนาดเท่าหรือในอุตสาหกรรมที่ให้บริการ การรักษาความปลอดภัยเป็นสิ่งที่ขาดไม่ได้ในสภาพแวดล้อมทางดิจิทัลในปัจจุบัน น่าเสียดายที่ผู้มุ่งร้ายออกไปที่นั่น และพัฒนาวิธีการใหม่ๆ ในการดักจับและขายข้อมูลลูกค้าอย่างต่อเนื่อง

แน่นอนว่าสิ่งนี้นำไปสู่ผลเสียอย่างใหญ่หลวงสำหรับลูกค้าเหล่านั้น และองค์กรก็ละเมิดเช่นกัน การขาดความไว้วางใจและผลทางการเงินที่อาจเกิดขึ้นไม่จำเป็นต้องเป็นทางเลือกที่ดีไปกว่าการลงทุนในการรักษาความปลอดภัยข้อมูลขององค์กรของคุณอย่างเหมาะสม

เมื่อพูดถึง Contact Centers หรือธุรกิจใดๆ ที่เกี่ยวข้องกับการชำระเงินทางโทรศัพท์หรือ Business VoIP องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่ากระบวนการ แอปพลิเคชัน ข้อมูล และซอฟต์แวร์ของตนเป็นไปตามมาตรฐานความปลอดภัย PCI ทั่วโลก

การปฏิบัติตามมาตรฐานความปลอดภัย PCI คืออะไร?

แม้ว่ามาตรฐานการรักษาความปลอดภัยของ PCI จะไม่ถูกกำหนดโดยกฎหมายหรือข้อบังคับที่เป็นทางการ แต่ PCI Security Standards Council (PCI SSC) ได้กลายเป็น "ฟอรัมระดับโลก" เพื่ออำนวยความสะดวกในการพัฒนา เพิ่มประสิทธิภาพ และเผยแพร่มาตรฐานความปลอดภัยตามที่ตกลงกันไว้สำหรับการชำระเงิน ความปลอดภัยของบัญชี — ก่อตั้งโดย American Express, Discover Financial Services, JCB International, MasterCard และ Visa Inc.

PCI SSC เป็นสภาความปลอดภัยที่เข้าถึงได้ทั่วโลก แนวคิดก็คือ อุตสาหกรรมสามารถรวมตัวกันภายในสภานี้เพื่อพัฒนาและกำหนดชุดข้อบังคับและมาตรฐานความปลอดภัย เพื่อปกป้องข้อมูลบัญชีการชำระเงิน เช่น ข้อมูลบัตรเครดิตและข้อมูลลูกค้าที่ละเอียดอ่อน เช่น หมายเลขประกันสังคม

PCI SSC ได้กำหนดมาตรฐานการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของ PCI เพื่อให้มั่นใจว่าองค์กรต่างๆ จะปฏิบัติตามกฎระเบียบที่ตกลงร่วมกัน เพื่อปกป้องข้อมูลการชำระเงินด้วยบัตรเครดิตของลูกค้าและข้อมูลที่มีความละเอียดอ่อน

ธุรกิจที่สอดคล้องกับ PCI ต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยที่ตกลงกันไว้ และต้องได้รับการประเมินประจำปีเพื่อให้แน่ใจว่ามีการปฏิบัติตามอย่างต่อเนื่อง ในท้ายที่สุด หากองค์กรของคุณเกี่ยวข้องกับข้อมูลรูปแบบการชำระเงินใดๆ การปฏิบัติตาม PCI ก็เกือบจะมีความจำเป็น

เนื่องจากไม่มีกฎหมายที่บังคับใช้การปฏิบัติตาม PCI องค์กรที่ไม่ตรงตามข้อกำหนดจะไม่ต้องเผชิญกับผลทางกฎหมายทุกรูปแบบ อย่างไรก็ตาม หาก เกิดการละเมิดข้อมูล องค์กรอาจได้รับผลทางการเงินจากทั้ง PCI SSC ตลอดจนลูกค้าและลูกค้าที่ได้รับผลกระทบจากการละเมิด

จุดรับรอง PCI คืออะไร?

ในท้ายที่สุด การปฏิบัติตาม PCI ภายในองค์กรนั้นไม่เพียงแต่ปกป้องข้อมูลลูกค้าและผู้ใช้เท่านั้น แต่องค์กรยังได้รับการปกป้องจากผลกระทบทางการเงินที่รุนแรงและผลที่ตามมาอีกด้วย

เป้าหมายหลักของการปฏิบัติตาม PCI คือการตั้งมาตรฐานสากลสำหรับองค์กรต่างๆ ที่จะตกลงและปฏิบัติตาม เพื่อที่จะตอบโต้การละเมิดข้อมูลจำนวนมากในช่วงไม่กี่ปีที่ผ่านมา ตาม PCI SSC:

• “การละเมิดหรือการขโมยข้อมูลผู้ถือบัตรส่งผลกระทบต่อระบบนิเวศของบัตรชำระเงินทั้งหมด ตั้งแต่ลูกค้าไปจนถึงสถาบันการชำระเงิน ไปจนถึงองค์กรที่ได้รับการชำระเงิน”
• เมื่อข้อมูลลูกค้ารั่วไหล หมดความเชื่อถือกับผู้ค้าและสถาบันการเงินเหล่านั้นอย่างรวดเร็ว
• หากข้อมูลของพวกเขาถูกใช้อย่างไม่ประสงค์ดี ลูกค้าก็อาจประสบปัญหาทางการเงินได้เช่นกัน เครดิตอาจได้รับผลกระทบในทางลบ และอาจเป็นเรื่องยากที่จะควบคุมข้อมูลได้อย่างเต็มที่อีกครั้งเมื่อถูกละเมิด
• เมื่อพ่อค้าและสถาบันการเงินสูญเสียความน่าเชื่อถือ ในที่สุดพวกเขาจะสูญเสียธุรกิจ ลูกค้าจะพาธุรกิจของตนไปที่อื่นหากพวกเขาไม่เชื่อว่าข้อมูลของตนจะปลอดภัยและได้รับการคุ้มครอง

หากองค์กรของคุณประสบกับการละเมิดข้อมูล และไม่ได้ดำเนินการตามขั้นตอนที่เหมาะสมเพื่อป้องกันการโจมตีหรือจัดทำแผนการกู้คืน อาจมีฟันเฟืองและผลที่ตามมาที่สำคัญบางประการ แม้จะไม่มีข้อบังคับทางกฎหมายก็ตาม

แน่นอนว่าองค์กรจะทำให้ลูกค้าสูญเสียความมั่นใจและเลือกทำธุรกิจที่อื่นซึ่งส่งผลให้ยอดขายและรายได้ลดลง ธุรกิจอาจต้องเสียค่าใช้จ่ายในการออกบัตรชำระเงินใหม่หรือขาดทุนจากการฉ้อโกง และสิ่งต่างๆ จะยิ่งยากขึ้นในอนาคตเท่านั้น

หลังจากการละเมิดข้อมูล องค์กรต่างๆ จะต้องเผชิญกับต้นทุนการปฏิบัติตามกฎระเบียบที่สูงขึ้น ค่าใช้จ่ายทางกฎหมายและการชำระหนี้ที่อาจเกิดขึ้น ค่าปรับและค่าปรับ และการยกเลิกความสามารถในการรับบัตรชำระเงิน ในท้ายที่สุด การละเมิดข้อมูลอาจทำให้ธุรกิจต้องปิดประตูไปตลอดกาล

ความต้องการความปลอดภัยในยุคดิจิทัล

เมื่อองค์กรเปลี่ยนการสื่อสารและกระบวนการไปสู่ระบบคลาวด์ รวมถึงการจัดเก็บข้อมูล (โดยเฉพาะข้อมูลลูกค้า เช่น ข้อมูล CRM) การรักษาความปลอดภัยกลายเป็นข้อกังวลที่ใหญ่ยิ่งกว่า

ข้อมูลจำนวนมากโดยทั่วไปมีกำไรมากสำหรับผู้มุ่งร้ายที่แสวงหาผลกำไรจากข้อมูลนี้ อย่างไรก็ตาม เมื่อข้อมูลถูกเก็บถาวรและใช้เฉพาะภายในและในสถานที่เท่านั้น ผู้โจมตีจะเข้าถึงข้อมูลนี้ได้ยากขึ้นมาก อย่างไรก็ตาม ในขณะที่เราเริ่มย้ายการจัดเก็บข้อมูลหลักและกระบวนการทางธุรกิจของเราไปยังระบบคลาวด์ เราได้เริ่มแนะนำความจำเป็นใหม่สำหรับการรักษาความปลอดภัย

เนื่องจากขณะนี้ข้อมูลไม่ได้ถูกจัดเก็บไว้ในไซต์ แต่อยู่ในระบบคลาวด์ ข้อมูลนี้จึงต้องได้รับการปกป้องในหลายด้าน องค์กรของคุณต้องตรวจสอบให้แน่ใจว่าข้อมูลอยู่ในมือที่ดีและผู้ให้บริการเครื่องมือใดก็ตามที่คุณใช้ (แพลตฟอร์ม Business VoIP, CRM หรือ Cloud Contact Center) รับรองว่าข้อมูลบนเซิร์ฟเวอร์ของพวกเขาได้รับการปกป้องและปลอดภัย

นอกเหนือจากข้อมูลที่ไม่อยู่ในมือของคุณแล้ว ข้อมูลจะถูกส่งผ่านอินเทอร์เน็ต และแชร์บนอุปกรณ์ขององค์กรของคุณ ข้อมูลจะต้องได้รับการเข้ารหัสในการส่ง เช่นเดียวกับการป้องกันบนปลายทางส่วนบุคคลเหล่านั้นด้วย เนื่องจากซอฟต์แวร์ระบบคลาวด์ทำให้เราเป็นมือถือได้มากขึ้น มีจุดสิ้นสุดและอุปกรณ์ที่เชื่อมต่อกับเครือข่ายและแพลตฟอร์มมากกว่าที่เคยเป็นมา และอุปกรณ์เหล่านี้ทุกเครื่องเป็นจุดอ่อนที่มีโอกาสถูกโจมตี

เนื่องจากข้อมูลมีการส่ง แบ่งปัน จัดเก็บ แก้ไข เก็บถาวร และย้ายข้อมูลอย่างต่อเนื่อง จึงเกิดจุดอ่อนอีกมากมายในกระบวนการที่สามารถขโมยข้อมูลนั้นได้ ดังนั้นในยุคของโซลูชันระบบคลาวด์และการค้าดิจิทัล ความจำเป็นในการรักษาความปลอดภัย อยู่ในระดับใหม่

การปฏิบัติตาม PCI ในศูนย์การติดต่อ

แม้ว่าองค์กรใดๆ ที่เกี่ยวข้องกับข้อมูลการชำระเงินของลูกค้าควรพยายามบังคับใช้การปฏิบัติตาม PCI แต่ Call Center และ Contact Centers จะต้องระมัดระวังเป็นพิเศษ เนื่องจากธุรกิจของพวกเขาเกือบทั้งหมดเกี่ยวข้องกับการรวบรวมข้อมูลบัญชีการชำระเงินจากลูกค้าและลูกค้า Contact Center จึงมีความเสี่ยงสูงที่จะถูกโจมตีจากการโจมตีที่มุ่งร้าย

ศูนย์การติดต่อติดต่อกับลูกค้าและลูกค้าทางโทรศัพท์อย่างต่อเนื่อง และล่าสุดผ่านการแชทออนไลน์หรือแม้แต่ข้อความ SMS ทุกครั้งที่ลูกค้าหรือลูกค้าส่งรูปแบบการชำระเงินหรือข้อมูลระบุตัวตนใดๆ ไปยังตัวแทน ข้อมูลนั้นจะต้องได้รับการรักษาความปลอดภัย

เนื่องจากศูนย์การติดต่อโดยเฉพาะยังใช้แพลตฟอร์มคลาวด์จำนวนมากขึ้นเพื่อจัดเก็บและเข้าถึงข้อมูลนี้ ตั้งแต่โซลูชัน CRM ไปจนถึงซอฟต์แวร์ Call Center ไปจนถึงเครื่องมือ Business VoIP บางครั้งก็เพิ่มเข้าไปในปัญญาประดิษฐ์และการเพิ่มประสิทธิภาพแรงงาน ปลายที่ต้องผูกเข้าด้วยกัน

ข้อกังวลหลักสองข้อที่ Contact Center ควรเน้น ได้แก่:

• การรักษาความปลอดภัยข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต ค่อนข้างตรงไปตรงมา ผู้ที่ไม่ได้รับอนุญาตให้เข้าถึงข้อมูลจะไม่สามารถทำได้ นี่เป็นขั้นตอนแรกในการสร้างความมั่นใจแม้กระทั่งระดับพื้นฐานของความปลอดภัยของข้อมูล แน่นอนว่าสิ่งนี้เริ่มต้นด้วยหลักปฏิบัติด้านความปลอดภัยที่เรียบง่าย เช่น ให้รหัสผ่านแก่ผู้ดูแลระบบเท่านั้น เปลี่ยนรหัสผ่านเป็นประจำ ใช้วิธีการตรวจสอบทางกายภาพ และรักษาความปลอดภัยอุปกรณ์และจุดเชื่อมต่อทั้งหมด
• ลูกค้าไว้วางใจ . แง่มุมที่สำคัญขององค์กรใด ๆ ก็คือสายสัมพันธ์แห่งความไว้วางใจระหว่างลูกค้าและธุรกิจ ลูกค้าชั่งน้ำหนักประสบการณ์ของตนกับองค์กรเป็นอย่างมาก และจะเลือกทำธุรกิจกับผู้ที่มอบประสบการณ์ที่ดีที่สุด เมื่อต้องจัดการกับเงินทุนจำนวนใดๆ หรือแม้แต่ข้อมูลที่ละเอียดอ่อน (คิดว่า HIPAA) ลูกค้าต้องการทราบว่าข้อมูลของตนได้รับการคุ้มครองและจะไม่ได้รับอันตรายจากการทำธุรกิจกับองค์กรของคุณ

แน่นอนว่าข้อกังวลทั้งสองนี้ไปด้วยกัน เมื่อข้อมูลของลูกค้าไม่ปลอดภัยและถูกละเมิด พวกเขาจะสูญเสียความไว้วางใจในธุรกิจของคุณในที่สุด เพื่อให้แน่ใจว่าข้อมูลมีความปลอดภัยคือการทำให้แน่ใจว่าลูกค้าจะยังคงไว้วางใจธุรกิจของคุณ

ในท้ายที่สุด การป้องกันการละเมิดรูปแบบใดๆ และสร้างความมั่นใจให้กับลูกค้าของคุณว่าข้อมูลของพวกเขาปลอดภัยสามารถช่วยสร้างความไว้วางใจได้อย่างมาก ศูนย์การติดต่อซึ่งมีชุดข้อมูลจำนวนมากและการโต้ตอบจำนวนมากในแต่ละวัน จะต้องระมัดระวังเป็นพิเศษเป็นพิเศษ และควรตรวจสอบให้แน่ใจว่ามีการปฏิบัติตาม PCI ในทุกขั้นตอนของกระบวนการ

การปฏิบัติตาม PCI ในธุรกิจ VoIP

เมื่อพูดถึง VoIP โดยทั่วไปแล้ว PCI DSS “ไม่ได้อ้างอิงถึงการใช้ VoIP อย่างชัดเจน” อย่างไรก็ตาม นี่ไม่ได้หมายความว่าเพียงเพราะองค์กรของคุณกำลังใช้บริการ Business VoIP นั้นชัดเจนอยู่แล้ว อันที่จริง PCI DSS มีส่วนคำถามที่พบบ่อยซึ่งเน้นการใช้ VoIP โดยเฉพาะ

ถึงตอนนี้จะดูยุ่งยากเล็กน้อย แต่เราจะพยายามสรุปสิ่งที่คุณจำเป็นต้องรู้ การปฏิบัติตาม PCI สำหรับ VoIP มีข้อมูลเชิงลึกเล็กน้อยและครอบคลุมถึงการกำหนดรูปแบบต่างๆ ของการส่งสัญญาณ (ภายในหรือภายนอก) ตลอดจนแหล่งที่มาของการส่งสัญญาณเหล่านี้

Takeaway ที่สำคัญคือ:

เพื่อให้เป็นไปตามข้อกำหนดของ PCI องค์กรต้องตรวจสอบให้แน่ใจว่าข้อมูลอินเทอร์เน็ตรูปแบบใด ๆ หรือการรับส่งข้อมูลเครือข่าย IP ที่มีข้อมูลบัญชีการชำระเงินรูปแบบใด ๆ นั้นได้รับการรักษาความปลอดภัย พูดง่ายๆ ก็คือ ข้อมูลบัญชีการชำระเงินที่โอนผ่าน "การรับส่งข้อมูล VoIP ที่มีข้อมูลบัญชีบัตรชำระเงินอยู่ในขอบเขตสำหรับการควบคุม PCI DSS ที่เกี่ยวข้อง"

เนื่องจาก VoIP ส่งเสียงของคุณผ่านอินเทอร์เน็ตเป็นแพ็กเก็ตข้อมูล ข้อมูลนั้นจึงอยู่ภายใต้มาตรฐานความปลอดภัยที่สอดคล้องกับ PCI เนื่องจากขณะนี้ข้อมูลกำลังถ่ายโอนผ่านและเก็บไว้ในเครือข่ายขององค์กรของคุณ

แต่เรื่องราวไม่ได้จบเพียงแค่นั้น เมื่อพูดถึงแหล่งที่มาของการโทร VoIP จะยุ่งยากเล็กน้อย และวิธีการถ่ายโอนข้อมูลนั้น:

• การส่งข้อมูลภายใน – การรับส่งข้อมูล VoIP ที่มีข้อมูลบัญชีบัตรชำระเงินที่แชร์ภายในเครือข่ายองค์กรของคุณต้องเป็นไปตามมาตรฐาน PCI ข้อมูลใดๆ ที่จัดเก็บ ประมวลผล หรือส่งภายในเครือข่ายขององค์กรต้องสอดคล้องกับการปฏิบัติตาม
• การส่งข้อมูลภายนอก – เมื่อเอนทิตีโอนข้อมูลบัตรชำระเงินไปยังธุรกิจอื่น (เช่น ผู้ให้บริการหรือผู้ประมวลผลการชำระเงิน) ระบบและเครือข่ายของเอนทิตีที่ใช้สำหรับการส่งข้อมูลเหล่านั้นต้องเป็นไปตามข้อกำหนด หมายความว่า หากธุรกิจของคุณโทรผ่าน VoIP เพื่อส่งข้อมูลการชำระเงินไปยังธุรกิจหรือหน่วยงานอื่น การเชื่อมต่อนั้นจะต้องปลอดภัยและเป็นไปตามมาตรฐาน PCI
• การส่งสัญญาณจากภายนอกไปยัง/จากผู้ถือบัตร – เมื่อใช้ VoIP สำหรับการส่งข้อมูลบัญชีบัตรชำระเงินระหว่างผู้ถือบัตรกับองค์กร ระบบของธุรกิจและเครือข่ายที่ใช้สำหรับการส่งสัญญาณต้องเป็นไปตามข้อกำหนด

นี่เป็นเพียงบางส่วนเท่านั้น PCI SSC ให้รายละเอียดในสถานการณ์ที่แตกต่างกันเหล่านี้ อย่างไรก็ตาม วิธีที่ง่ายที่สุดในการรับประกันว่าการสื่อสาร VoIP ของคุณเป็นไปตามมาตรฐาน PCI คือ การปฏิบัติต่อการโทรทั้งหมด ไม่ว่าต้นทางหรือปลายทาง ควรปลอดภัยที่สุดเท่าที่จะเป็นไปได้เพื่อให้เป็นไปตามข้อกำหนดของ PCI

หากคุณต้องการอ่านเพิ่มเติม คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับการปฏิบัติตาม VoIP และข้อบังคับและสถานการณ์เฉพาะที่เว็บไซต์ของ PCI SCC

ธุรกิจของคุณสามารถปฏิบัติตาม PCI ได้อย่างไร?

ตอนนี้เราได้กำหนดเหตุผลที่ธุรกิจของคุณควรปฏิบัติตามมาตรฐานการปฏิบัติตามที่กำหนดโดย PCI SSC แล้ว เราจะชี้องค์กรของคุณไปในทิศทางที่ถูกต้องในการเริ่มต้นกระบวนการ ในที่สุดการรักษาความปลอดภัยไม่ใช่เรื่องง่าย และจะต้องใช้การวิจัยและการเปรียบเทียบจำนวนมากเพื่อทำความเข้าใจทิศทางที่เหมาะสมอย่างแท้จริง

PCI SSC เสนอรายการข้อกำหนดพื้นฐานและเป้าหมายที่เกี่ยวข้องอย่างเป็นธรรม เพื่อช่วยให้องค์กรเริ่มต้นได้:

ความปลอดภัยต้องถือเป็นการลงทุน ใช้จ่ายตอนนี้เพื่อประหยัดในภายหลัง ใช้จ่ายตอนนี้เพื่อปกป้ององค์กร ข้อมูล และลูกค้าของคุณ เพื่อหลีกเลี่ยงผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูล หากเกิดขึ้น หากไม่มีการรักษาความปลอดภัยที่เหมาะสม ธุรกิจก็สามารถเกิดขึ้นได้อย่างแท้จริงดังที่เราได้เห็นในแบบเรียลไทม์ จนถึงตอนนี้ เรายังไม่เห็นการร้องเรียนด้านความปลอดภัยใดๆ สำหรับ inContact

I. ตรวจสอบให้แน่ใจว่าโซลูชั่นและแพลตฟอร์มเป็นไปตามมาตรฐาน PCI

ดังที่ได้กล่าวไปแล้ว ในยุคของแพลตฟอร์มระบบคลาวด์ ข้อมูลส่วนใหญ่ที่เราเข้าถึงและใช้งานไม่ได้ถูกจัดเก็บไว้ในเซิร์ฟเวอร์ของเรา หรือทางกายภาพอยู่ในตำแหน่งเดียวกับที่เราทำงาน ด้วยการใช้แพลตฟอร์ม CRM, Contact Center และ Business VoIP โดยเฉพาะ ข้อมูลลูกค้าและลูกค้าจะถูกเก็บไว้ในศูนย์ข้อมูลของผู้ขาย และเข้าถึงได้ทางอินเทอร์เน็ต

ดังนั้นจึงเป็นเรื่องสำคัญอย่างยิ่งที่ Contact Center อย่างน้อยต้องแน่ใจว่าเครื่องมือที่ใช้ และแพลตฟอร์มที่สมัครใช้งาน จะรับรองการปฏิบัติตาม PCI ในระดับหนึ่ง นี่เป็นกระบวนการเดียวกับที่อุตสาหกรรมอื่นๆ ใช้ เช่น โรงพยาบาลจะใช้เฉพาะโซลูชันที่สอดคล้องกับ HIPAA เท่านั้น

เพียงเพื่อเน้นชื่อที่สำคัญบางชื่อ:

• Vonage Advanced Contact Center
• Nextiva
• 8×8
• Five9
• เจเนซิส
• ทวิลิโอ
• Nice InContact
• RingCentral

ครั้งที่สอง ปฏิบัติตามคู่มือ PCI SSC เพื่อให้แน่ใจว่าเป็นไปตามข้อกำหนด

ขออภัย ข้อกำหนดเฉพาะสำหรับสถาบันการเงินและแบรนด์บัตรชำระเงินต่างๆ จะแตกต่างกันไปตามแต่ละกรณี แต่ละองค์กรจะมีกฎระเบียบและข้อกำหนดเฉพาะของตนเองสำหรับการปฏิบัติตาม PCI

“ การตรวจสอบการปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูล PCI ถูกกำหนดโดยแบรนด์การชำระเงินแต่ละราย ทุกคนตกลงที่จะรวม PCI Data Security Standard เป็นส่วนหนึ่งของข้อกำหนดทางเทคนิคสำหรับโปรแกรมการปฏิบัติตามความปลอดภัยของข้อมูลแต่ละโปรแกรม แบรนด์การชำระเงินยังยอมรับผู้ประเมินความปลอดภัยที่ผ่านการรับรองและผู้จำหน่ายการสแกนที่ผ่านการรับรองซึ่งผ่านการรับรองโดยสภามาตรฐานความปลอดภัย PCI”

ด้วยเหตุนี้ PCI SSC จึงให้โครงร่างคร่าวๆ ของกระบวนการสามขั้นตอนที่เกิดขึ้นเพื่อให้แน่ใจว่ามีการปฏิบัติตาม

1. ประเมิน

ประเมินระบบและกระบวนการขององค์กรของคุณที่เกี่ยวข้องกับข้อมูลโดยระบุข้อมูลผู้ถือบัตร พิจารณารายการทรัพย์สินไอทีตลอดจนกระบวนการทางธุรกิจสำหรับการประมวลผลบัตรชำระเงิน และวิเคราะห์จุดอ่อนใดๆ ภายในระบบเหล่านี้

ซึ่งสามารถทำได้ผ่านการกำหนดขอบเขต ซึ่งเป็นกระบวนการที่องค์กรระบุส่วนประกอบระบบทั้งหมดที่อยู่ในหรือเชื่อมต่อกับสภาพแวดล้อมข้อมูลของผู้ถือบัตร

การกำหนดขอบเขตควรเป็นกระบวนการประจำปีเพื่อให้แน่ใจว่ามีการตรวจสอบและบำรุงรักษาตามปกติ วิธีที่ดีที่สุดในการป้องกันการรั่วซึมใดๆ ที่อาจเกิดขึ้นคือการปิดรูใดๆ ที่มีการรั่วไหลในเชิงรุก

องค์กรสามารถจ้างผู้ประเมินความปลอดภัยที่ผ่านการรับรองได้จริง ตาม PCI SSC " ผู้ประเมินความปลอดภัยที่ผ่านการรับรอง คือ บริษัท รักษาความปลอดภัยข้อมูลที่ผ่านการรับรองโดยสภา PCI เพื่อดำเนินการประเมิน PCI Data Security Standard ในสถานที่" ผู้ประเมินเหล่านี้จะตรวจสอบข้อมูลทางเทคนิค ใช้วิจารณญาณที่เป็นอิสระเพื่อยืนยันการปฏิบัติตามมาตรฐาน ให้การสนับสนุนและคำแนะนำระหว่างการปฏิบัติตามกระบวนการ และสร้างรายงานขั้นสุดท้ายเพื่อส่งไปยัง PCI SSC

2. การแก้ไข

หลังจากขั้นตอนการประเมิน องค์กรของคุณควรมีความชัดเจนในสิ่งที่ต้องทำเพื่อปิดช่องโหว่ที่อาจเกิดขึ้นในเครือข่าย และเตรียมระบบสำหรับการปฏิบัติตาม PCI อย่างสมบูรณ์ แม้ว่าจะหมายถึงการแก้ไขจุดอ่อนที่พบ แต่ PCI SSC ยังแนะนำให้กำจัดการจัดเก็บข้อมูลผู้ถือบัตรออกจากบริการขององค์กร ศูนย์ข้อมูล และบันทึก เว้นแต่จำเป็นอย่างยิ่งต่อการดำเนินธุรกิจ

3. รายงาน

เมื่อการประเมินเสร็จสิ้น และองค์กรดำเนินการตามขั้นตอนที่จำเป็นเพื่อแก้ไขปัญหาใดๆ และเพิ่มความปลอดภัย จะต้องปฏิบัติตามและส่งรายงานไปยังธนาคารและแบรนด์บัตรที่เหมาะสม

อีกครั้ง ขึ้นอยู่กับข้อกำหนดของแบรนด์นั้นๆ องค์กรอาจต้องยื่นเรื่องบ่อยขึ้นหรือทำตามขั้นตอนเฉพาะ ตัวอย่างเช่น บางยี่ห้อต้องการให้องค์กรยื่นเรื่องรายไตรมาส

บรรทัดล่าง

น่าเสียดาย ที่ธุรกิจและบุคคลจำนวนมากเกินไปมองว่าการรักษาความปลอดภัยเป็นผลที่ตามมาภายหลังหรือเป็นกระบวนการที่เกิดขึ้นเพียงครั้งเดียว อย่างไรก็ตาม ความจริงก็คือการรักษาข้อมูลและการสื่อสารของเราให้ปลอดภัยไม่เคยมีความสำคัญมากไปกว่านี้ ด้วยความเสี่ยงและการโจมตีใหม่ๆ ที่ปรากฏขึ้นทุกวัน และชุดข้อมูลที่ใหญ่ขึ้นมีกำไรมากขึ้นเรื่อยๆ สำหรับผู้มุ่งร้าย โอกาสในการเกิดผลร้ายที่สำคัญมีเพิ่มขึ้นเรื่อยๆ

มาตรฐานความปลอดภัยของข้อมูล PCI ช่วยให้มั่นใจว่าองค์กรต่างๆ จะไม่เพียงแต่ใช้มาตรการรักษาความปลอดภัยเท่านั้น แต่ยังรักษาและเพิ่มประสิทธิภาพมาตรการเหล่านี้อย่างเหมาะสมอีกด้วยเมื่อเวลาผ่านไป ด้วยผู้นำในอุตสาหกรรมที่ทำงานร่วมกันเพื่อกำหนดระดับการปฏิบัติตามมาตรฐาน องค์กรต่างๆ สามารถช่วยให้ทำงานสู่ยุคดิจิทัลที่ปลอดภัยยิ่งขึ้นได้

การดูแลให้องค์กรของคุณใช้เครื่องมือที่สอดคล้องกับ PCI และปฏิบัติตามข้อกำหนดของ PCI ในกรณีที่จำเป็น ถือเป็นสถานการณ์ที่เป็นประโยชน์สำหรับทั้งธุรกิจและลูกค้า การรักษาข้อมูลให้ปลอดภัย องค์กรสามารถรักษาความไว้วางใจของลูกค้า และในที่สุดธุรกิจของพวกเขา