PCI DSS
Стандарт безопасности данных индустрии платежных карт требует, чтобы каждая организация, которая обрабатывает, хранит или передает данные держателей карт, поддерживала формальную программу осведомленности о безопасности. Roleplays превращает это требование в измеримое и увлекательное обучение.
Что такое PCI DSS?
Стандарт безопасности данных индустрии платежных карт (PCI DSS) это глобальный стандарт информационной безопасности, разработанный Советом по стандартам безопасности PCI, основанным Visa, Mastercard, American Express, Discover и JCB. В настоящее время в версии 4.0.1, PCI DSS определяет технические и операционные требования к защите данных держателей карт на протяжении всего платежного цикла.
PCI DSS применяется к любой организации, которая принимает, обрабатывает, хранит или передает информацию о кредитных картах. Это касается мерчантов всех размеров, платежных процессоров, эквайеров, эмитентов и поставщиков услуг. На практике это означает, что операторы колл-центров, которые принимают номера карт по телефону, сотрудники ритейла, которые обрабатывают транзакции, и ИТ-команды, которые управляют платежной инфраструктурой, все находятся в зоне действия стандарта.
Несоблюдение может привести к штрафам в размере от 5 000 до 100 000 долларов в месяц от карточных брендов, повышению комиссий за транзакции, потере возможности обрабатывать карточные платежи и значительному репутационному ущербу после утечки. Стандарт не является необязательным, он обеспечивается контрактными обязательствами между мерчантами и их банками-эквайерами.
Кто должен соблюдать
- Колл-центры, обрабатывающие данные платежных карт
- Розничная торговля и электронная коммерция
- Банки, финтех-компании и платежные процессоры
- SaaS-провайдеры в платежной экосистеме
Последствия несоблюдения
- Штрафы до 100 000 долларов в месяц на карточный бренд
- Повышенные комиссии за обработку транзакций
- Отзыв права на обработку карточных платежей
- Ответственность за мошеннические транзакции после утечки
Требования к обучению
Требование 12.6 PCI DSS v4.0 устанавливает обязательное обучение осведомленности о безопасности для всего персонала, имеющего доступ к средам данных держателей карт.
Требование 12.6, программа осведомленности о безопасности
Должна быть внедрена формальная программа осведомленности о безопасности, чтобы весь персонал был осведомлен о политике и процедурах безопасности данных держателей карт. Это выходит за рамки простого документа политики, организации должны активно обучать сотрудников угрозам, надлежащему обращению с данными и их индивидуальной ответственности за защиту данных держателей карт.
Что проверяют аудиторы QSA: Что существует задокументированная программа, утвержденная руководством, и охватывающая весь персонал, а не только ИТ-сотрудников. Программа должна учитывать текущие угрозы и быть адаптирована к конкретной среде данных держателей карт организации.
Требование 12.6.1, формальная программа осведомленности
Программа осведомленности о безопасности должна пересматриваться не реже одного раза в 12 месяцев и обновляться по мере необходимости для учета новых угроз и уязвимостей. Программа должна включать несколько методов донесения осведомленности и обучения персонала, например, плакаты, письма, собрания, веб-обучение или имитированные фишинговые упражнения.
Что проверяют аудиторы QSA: Документацию, показывающую, что программа пересматривалась и обновлялась в течение последних 12 месяцев, с доказательствами использования нескольких каналов коммуникации.
Требование 12.6.2, ежегодное обучение
Персонал должен проходить обучение осведомленности о безопасности не реже одного раза в 12 месяцев. Новые сотрудники должны пройти обучение при приеме на работу. Это минимальная частота, организации с более высоким риском или большой текучестью кадров должны рассмотреть более частые циклы обучения.
Что проверяют аудиторы QSA: Записи о завершении обучения для всего персонала в зоне действия за последние 12 месяцев, а также доказательства того, что новые сотрудники прошли обучение до получения доступа к данным держателей карт.
Требование 12.6.3, подтверждение сотрудника
Персонал должен подтверждать не реже одного раза в 12 месяцев, что он прочитал и понял политику и процедуры осведомленности о безопасности. Это требование гарантирует, что сотрудники не зачислены пассивно, а активно взаимодействуют с содержанием. Простой флажок недостаточен, подтверждение должно демонстрировать значимое взаимодействие.
Что проверяют аудиторы QSA: Подписанные или электронно записанные подтверждения от всего персонала в зоне действия, датированные в течение последних 12 месяцев. Аудиторы ищут доказательства того, что подтверждение связано с фактическим завершением обучения, а не просто отдельной подписью.
Как помогает Roleplays
Замените слайды реалистичными симуляциями, которые проверяют реальное поведение, а затем документируйте все, что нужно вашему QSA.
Сценарии, специфичные для PCI
Готовые симуляции для самых частых сценариев нарушений PCI: звонки с социальной инженерией с запросом номеров карт, фишинговые письма, нацеленные на платежные системы, проход в защищенные зоны вслед за сотрудником и ненадлежащее хранение данных карт. Сценарии обновляются по мере развития ландшафта угроз, удовлетворяя требованию ежегодного пересмотра 12.6.1.
Обучение маскированию данных
Обучайте операторов никогда не зачитывать полные номера карт, использовать надлежащие методы маскирования (показывая только последние четыре цифры) и распознавать, когда звонящий пытается выманить больше данных, чем необходимо. Имитированные звонящие проверяют, соблюдают ли операторы протоколы маскирования под давлением.
Оценка поведения операторов
Многокритериальная оценка на базе ИИ оценивает каждого оператора по осведомленности о безопасности, соблюдению правил обработки данных, устойчивости к социальной инженерии и надлежащим процедурам эскалации. Результаты сопоставляются с конкретными требованиями PCI DSS, предоставляя доказательства компетенций, которые ожидают аудиторы QSA сверх простых записей о посещаемости.
Документация соответствия
Каждая учебная сессия генерирует записи с отметками времени, включая идентификацию участника, содержание обучения, продолжительность, оценки и статус завершения. Экспортируйте отчеты о соответствии, показывающие, что 100% персонала в зоне действия прошли обучение в течение 12-месячного окна, в точности как требует 12.6.2.
Защита от социальной инженерии
Имитированные злоумышленники используют реальные тактики социальной инженерии: выдача себя за ИТ-поддержку, манипуляция на основе срочности, имитация полномочий и многошаговые атаки с предлогом. Операторы учатся распознавать и противостоять этим тактикам в безопасной среде, прежде чем столкнуться с ними в реальной работе.
Встроенное подтверждение
Завершение симуляции и есть подтверждение. В отличие от пассивных форм с флажками, каждая завершенная сессия доказывает, что сотрудник активно взаимодействовал с содержанием о безопасности. Записи о завершении сессий служат подтверждениями по 12.6.3, с полными отметками времени и данными о результатах в качестве доказательства.
Часто задаваемые вопросы
Удовлетворяет ли Roleplays требованию 12.6.2 PCI DSS по ежегодному обучению?
Да. Платформа отслеживает даты завершения обучения для каждого сотрудника и генерирует отчеты, показывающие статус соответствия по всей организации. Вы можете настроить ежегодные или более частые циклы обучения, установить автоматические напоминания о предстоящих сроках и экспортировать доказательства завершения в форматах, которые ожидают аудиторы QSA.
Можем ли мы создавать сценарии, специфичные для нашей среды колл-центра?
Безусловно. Помимо готовых сценариев PCI, вы можете создавать индивидуальные симуляции, отражающие ваши конкретные потоки звонков, платежные процессы и ландшафт угроз. Например, имитировать звонящего, просящего оператора зачитать полный номер карты для "проверки", или атаку с предлогом, когда кто-то выдает себя за ваш ИТ-отдел.
Как платформа обрабатывает требование 12.6.3 о подтверждении?
Каждая завершенная симуляция служит активным подтверждением. В отличие от пассивного флажка, завершение учебной сессии доказывает, что сотрудник взаимодействовал с содержанием о безопасности, понял представленные сценарии и продемонстрировал компетенцию через свои ответы. Записи сессий включают отметки времени, продолжительность и оценки результатов, гораздо более сильное доказательство, чем подписанная форма.
Обновляется ли учебный контент по мере появления новых угроз?
Да. Требование 12.6.1 PCI DSS требует пересмотра и обновления программы осведомленности о безопасности не реже одного раза в год. Roleplays непрерывно обновляет свою библиотеку сценариев, чтобы отражать текущие угрозы, методы вишинга, социальную инженерию на базе ИИ, новые схемы фишинга. Ваш QSA может убедиться, что учебный контент отражает текущий ландшафт угроз.
Может ли Roleplays полностью заменить наше существующее обучение осведомленности о безопасности?
Roleplays может служить вашим основным инструментом обучения осведомленности о безопасности PCI, охватывая все подтребования 12.6. Многие организации используют его наряду со своей существующей LMS, Roleplays обрабатывает интерактивный компонент на основе симуляций, а LMS управляет распространением и отслеживанием документов политики. API платформы обеспечивает интеграцию с большинством систем управления обучением.
Достигайте соответствия быстрее.
Замените ежегодные слайды симуляциями, которые действительно проверяют поведение в области безопасности. Выполните каждое подтребование PCI DSS 12.6 с задокументированными доказательствами.