PCI DSS
Maksekaarditoostuse andmeturbe standard nouab igalt organisatsioonilt, kes tootleb, salvestab voi edastab kaardiomaniku andmeid, ametliku turvateadlikkuse programmi hoidmist. Roleplays muudab selle noude motedetavaks ja kaasahaaravaks koolituseks.
Mis on PCI DSS?
Maksekaarditoostuse andmeturbe standard (PCI DSS) on globaalne infoturbe standard, mille on valja tootanud PCI Security Standards Council, mille asutasid Visa, Mastercard, American Express, Discover ja JCB. Praegu versioonis 4.0.1 maaratleb PCI DSS tehnilised ja toimimisnouded kaardiomaniku andmete kaitsmiseks kogu makse elutsukli jooksul.
PCI DSS kehtib igale organisatsioonile, mis vastu votab, tootleb, salvestab voi edastab krediitkaardi teavet. See holmab koigi suuruste kauplejaid, maksetootlejaid, omandajaid, valjastajaid ja teenusepakkujaid. Praktikas tahendab see, et kontaktkeskuse agendid, kes votavad kaardinumbreid telefoni teel, jaekaubanduse tootajad, kes tootlevad tehinguid, ja IT-meeskonnad, kes haldavad maksetaristut, on koik korraldusalas.
Mittevastavus voib kaasa tuua kaardibrandide trahve vahemikus 5000 kuni 100 000 dollarit kuus, korgemaid tehingutasusid, kaardimaksete tootlemise voime kaotuse ja olulist mainekahju parast rikkumist. Standard ei ole valikuline, seda joustatakse kauplejate ja nende omandavate pankade vaheliste lepinguliste kohustuste kaudu.
Kes peab vastavust jargima
- Kontaktkeskused, mis kaitlevad maksekaardi andmeid
- Jae- ja e-kaubanduse ettevotted
- Pangad, fintech-ettevotted ja maksetootlejad
- SaaS-pakkujad makse okosusteemis
Mittevastavuse tagajarjed
- Trahvid kuni 100 000 dollarit kuus kaardibrandi kohta
- Korgemad tehingute tootlemise tasud
- Kaarditootlemise oiguste tuhistamine
- Vastutus petturlike tehingute eest parast rikkumist
Koolitusnouded
PCI DSS v4.0 nouet 12.6 kehtestab kohustusliku turvateadlikkuse koolituse kogu personalile, kellel on juurdepaas kaardiomaniku andmete keskkondadele.
Nue 12.6, turvateadlikkuse programm
Tuleb rakendada ametlik turvateadlikkuse programm, et teha kogu personal teadlikuks kaardiomaniku andmeturbe poliitikast ja protseduuridest. See laheb kaugemale lihtsast poliitikadokumendist, organisatsioonid peavad aktiivselt harima tootajaid ohtude, oige andmekasitluse ja nende individuaalse vastutuse osas kaardiomaniku andmete kaitsmisel.
Mida QSA audiitorid kontrollivad: et dokumenteeritud programm on olemas, juhtkonna poolt heaks kiidetud ja katab kogu personali, mitte ainult IT-tootajaid. Programm peab kasitlema praeguseid ohte ja olema kohandatud organisatsiooni konkreetsele kaardiomaniku andmete keskkonnale.
Nue 12.6.1, ametlik teadlikkuse programm
Turvateadlikkuse programm tuleb ule vaadata vahemalt kord 12 kuu jooksul ja vajadusel uuendada, et kasitleda uusi ohte ja haavatavusi. Programm peab sisaldama mitut meetodit teadlikkuse edastamiseks ja personali harimiseks, naiteks plakatid, kirjad, koosolekud, veebipohine koolitus voi simuleeritud andmepuugi harjutused.
Mida QSA audiitorid kontrollivad: dokumentatsioon, mis naitab, et programm vaadati ule ja uuendati viimase 12 kuu jooksul, koos toenditega mitme suhtluskanali kasutamise kohta.
Nue 12.6.2, iga-aastane koolitus
Personal peab saama turvateadlikkuse koolitust vahemalt kord 12 kuu jooksul. Uued tootajad peavad koolituse labima toolevormistamise ajal. See on miinimumsagedus, korgema riskiga voi suurema tootajate voolavusega organisatsioonid peaksid kaaluma sagedasemaid koolitustsukleid.
Mida QSA audiitorid kontrollivad: koolituse labimise andmed kogu korraldusalas oleva personali kohta viimase 12 kuu jooksul, samuti toendid, et uued tootajad said koolituse enne kaardiomaniku andmetele juurdepaasu saamist.
Nue 12.6.3, tootaja kinnitus
Personal peab vahemalt kord 12 kuu jooksul kinnitama, et on lugenud ja moistnud turvateadlikkuse poliitikat ja protseduure. See nue tagab, et tootajaid ei registreerita passiivselt, vaid nad tegelevad sisuga aktiivselt. Lihtsast markeruudust ei piisa, kinnitus peab demonstreerima motedetavat kaasatust.
Mida QSA audiitorid kontrollivad: allkirjastatud voi elektrooniliselt salvestatud kinnitused kogu korraldusalas oleva personali kohta, dateeritud viimase 12 kuu jooksul. Audiitorid otsivad toendeid, et kinnitus on seotud tegeliku koolituse labimisega, mitte lihtsalt eraldiseisva allkirjaga.
Kuidas Roleplays aitab
Asenda slaidiesitlused realistlike simulatsioonidega, mis testivad tegelikku kaitumist, ja dokumenteeri seejarel koik, mida sinu QSA vajab.
PCI-poised stsenaariumid
Eelnevalt loodud simulatsioonid koige tavalisemate PCI rikete jaoks: sotsiaalse manipuleerimise koned, mis kusivad kaardinumbreid, andmepuugimeilid, mis sihivad maksesusteeme, sabasoit turvalistele aladele ja kaardiandmete ebakorrektne salvestamine. Stsenaariume uuendatakse ohumaastiku arenedes, taites noude 12.6.1 iga-aastase ulevaate nouet.
Andmemaskeerimise koolitus
Treeni agente, et nad ei loeks kunagi ette taielikke kaardinumbreid, kasutaksid oigeid maskeerimistehnikaid (naidates ainult viimast nelja numbrit) ja tunneksid ara, kui helistaja uritab valja meelitada rohkem andmeid kui vaja. Simuleeritud helistajad testivad, kas agendid jargivad maskeerimisprotokolle surve all.
Agendi kaitumise hindamine
Mitmekriteeriumiline tehisintellekti hindamine hindab iga agenti turvateadlikkuse, andmekasitluse vastavuse, sotsiaalse manipuleerimise vastupanu ja oigete eskaleerimisprotseduuride osas. Tulemused vastavad konkreetsetele PCI DSS nouetele, andes padevustoendid, mida QSA audiitorid eeldavad kaugemale lihtsatest kohalkaimise andmetest.
Vastavusdokumentatsioon
Iga koolitusseanss loob ajatempliga kirjeid, sealhulgas osaleja andmed, koolituse sisu, kestus, hindamistulemused ja labimise staatus. Ekspordi vastavusaruandeid, mis naitavad, et 100 protsenti korraldusalas olevast personalist on koolitatud 12 kuu jooksul, tapselt seda, mida nue 12.6.2 noeab.
Sotsiaalse manipuleerimise kaitse
Simuleeritud rundajad kasutavad reaalse maailma sotsiaalse manipuleerimise taktikaid: IT-toena esinemine, kiireloomulisusel pohinev manipuleerimine, autoriteedi jaljendamine ja mitmeastmelised ettekaande-runnakud. Agendid opivad neid taktikaid ara tundma ja neile vastu seisma turvalises keskkonnas enne nendega kokku puutumist tootmises.
Sisseehitatud kinnitus
Simulatsiooni labimine on kinnitus. Erinevalt passiivsetest markeruudu vormidest toestab iga labitud seanss, et tootaja tegeles aktiivselt turvasisuga. Seansi labimise kirjed toimivad nue 12.6.3 kinnitustena, koos taielike ajatemplite ja sooritusandmetega toenditena.
Korduma kippuvad kusimused
Kas Roleplays taidab PCI DSS noude 12.6.2 iga-aastase koolituse jaoks?
Jah. Platvorm jalgib iga tootaja koolituse labimise kuupaevi ja loob aruandeid, mis naitavad vastavuse staatust kogu organisatsioonis. Saad seadistada iga-aastased voi sagedasemad koolitustsuklid, panna paika automaatsed meeldetuletused eelseisvate tahtaegade jaoks ja eksportida labimise toendeid vormingutes, mida QSA audiitorid eeldavad.
Kas saame luua stsenaariume, mis on spetsiifilised meie kontaktkeskuse keskkonnale?
Kindlasti. Lisaks eelnevalt loodud PCI stsenaariumidele saad luua kohandatud simulatsioone, mis peegeldavad sinu konkreetseid konevooge, makseprotsesse ja ohumaastikku. Naiteks simuleeri helistajat, kes palub agendil "kontrollimiseks" oma taielik kaardinumber ette lugeda, voi ettekaande-runnakut, kus keegi esineb sinu IT-osakonnana.
Kuidas platvorm kaitleb nue 12.6.3 kinnituse nouet?
Iga labitud simulatsioon toimib aktiivse kinnitusena. Erinevalt passiivsest markeruudust toestab koolitusseansi labimine, et tootaja tegeles turvasisuga, moistis esitatud stsenaariume ja demonstreeris padevust oma vastuste kaudu. Seansi kirjed sisaldavad ajatempleid, kestust ja sooritushindeid, palju tugevamad toendid kui allkirjastatud vorm.
Kas koolitussisu uuendatakse uute ohtude ilmnemisel?
Jah. PCI DSS nue 12.6.1 noeab, et turvateadlikkuse programm vaadatakse ule ja uuendatakse vahemalt kord aastas. Roleplays uuendab pidevalt oma stsenaariumiteeki, et peegeldada praeguseid ohte, haalepuugi tehnikaid, tehisintellektil pohinevat sotsiaalset manipuleerimist ja uusi andmepuugimustreid. Sinu QSA saab kontrollida, et koolitussisu peegeldab praegust ohumaastikku.
Kas Roleplays saab taielikult asendada meie olemasoleva turvateadlikkuse koolituse?
Roleplays saab olla sinu peamine PCI turvateadlikkuse koolitustooriist, kattes koik nue 12.6 alamnouded. Paljud organisatsioonid kasutavad seda koos olemasoleva oppehaldussusteemiga (LMS), Roleplays kaitleb interaktiivset, simulatsioonipohist komponenti, samal ajal kui LMS haldab poliitikadokumentide jaotamist ja jalgimist. Platvormi API voimaldab integreerimist enamiku oppehaldussusteemidega.
Saavuta vastavus kiiremini.
Asenda iga-aastased slaidiesitlused simulatsioonidega, mis tegelikult testivad turvakaitumist. Taida iga PCI DSS 12.6 alamnue dokumenteeritud toenditega.