PCI DSS
Стандарт безпеки даних індустрії платіжних карток вимагає, щоб кожна організація, яка обробляє, зберігає або передає дані власників карток, підтримувала формальну програму обізнаності щодо безпеки. Roleplays перетворює цю вимогу на вимірне та захопливе навчання.
Що таке PCI DSS?
Стандарт безпеки даних індустрії платіжних карток (PCI DSS) це глобальний стандарт інформаційної безпеки, розроблений радою PCI Security Standards Council, заснованою компаніями Visa, Mastercard, American Express, Discover та JCB. Наразі у версії 4.0.1, PCI DSS визначає технічні та операційні вимоги до захисту даних власників карток упродовж усього життєвого циклу платежу.
PCI DSS застосовується до будь-якої організації, яка приймає, обробляє, зберігає або передає інформацію про кредитні картки. Це включає продавців усіх розмірів, платіжні процесори, еквайрів, емітентів та постачальників послуг. На практиці це означає, що оператори кол-центрів, які приймають номери карток телефоном, працівники роздрібної торгівлі, які обробляють транзакції, та ІТ-команди, які керують платіжною інфраструктурою, усі входять до сфери дії.
Недотримання може призвести до штрафів від $5,000 до $100,000 на місяць від карткових брендів, підвищення комісій за транзакції, втрати можливості обробляти карткові платежі та значної репутаційної шкоди після витоку. Стандарт не є необов'язковим, він забезпечується контрактними зобов'язаннями між продавцями та їхніми банками-еквайрами.
Хто повинен дотримуватися
- Кол-центри, які обробляють дані платіжних карток
- Роздрібні та електронні комерційні підприємства
- Банки, фінтехи та платіжні процесори
- Постачальники SaaS у платіжній екосистемі
Наслідки недотримання
- Штрафи до $100,000 на місяць за кожен картковий бренд
- Підвищення комісій за обробку транзакцій
- Відкликання привілеїв на обробку карток
- Відповідальність за шахрайські транзакції після витоку
Вимоги до навчання
Вимога 12.6 PCI DSS v4.0 встановлює обов'язкове навчання з обізнаності щодо безпеки для всього персоналу з доступом до середовищ даних власників карток.
Вимога 12.6, Програма обізнаності щодо безпеки
Необхідно запровадити формальну програму обізнаності щодо безпеки, щоб ознайомити весь персонал із політикою та процедурами безпеки даних власників карток. Це виходить за межі простого документа політики, організації повинні активно навчати працівників про загрози, належне поводження з даними та їхні індивідуальні обов'язки щодо захисту даних власників карток.
Що перевіряють аудитори QSA: що задокументована програма існує, схвалена керівництвом та охоплює весь персонал, а не лише ІТ-фахівців. Програма повинна враховувати поточні загрози та бути адаптованою до конкретного середовища даних власників карток організації.
Вимога 12.6.1, Формальна програма обізнаності
Програма обізнаності щодо безпеки має переглядатися щонайменше раз на 12 місяців та оновлюватися за потреби для врахування нових загроз та вразливостей. Програма повинна включати кілька методів інформування про обізнаність та навчання персоналу, наприклад, плакати, листи, зустрічі, вебнавчання або симуляції фішингових вправ.
Що перевіряють аудитори QSA: документацію, яка показує, що програма була переглянута та оновлена протягом останніх 12 місяців, із доказами використання кількох каналів комунікації.
Вимога 12.6.2, Щорічне навчання
Персонал повинен проходити навчання з обізнаності щодо безпеки щонайменше раз на 12 місяців. Нові співробітники повинні пройти навчання під час адаптації. Це мінімальна частота, організації з вищим рівнем ризику або вищою плинністю кадрів повинні розглянути частіші цикли навчання.
Що перевіряють аудитори QSA: записи про завершення навчання для всього персоналу у сфері дії протягом останніх 12 місяців, а також докази того, що нові співробітники пройшли навчання перед отриманням доступу до даних власників карток.
Вимога 12.6.3, Підтвердження працівником
Персонал повинен щонайменше раз на 12 місяців підтверджувати, що прочитав та зрозумів політику та процедури обізнаності щодо безпеки. Ця вимога гарантує, що працівники не просто пасивно зараховані, а активно взаємодіють зі змістом. Простого прапорця недостатньо, підтвердження повинно демонструвати змістовну взаємодію.
Що перевіряють аудитори QSA: підписані або електронно зафіксовані підтвердження від усього персоналу у сфері дії, датовані за останні 12 місяців. Аудитори шукають докази того, що підтвердження прив'язане до фактичного завершення навчання, а не лише окремий підпис.
Як допомагає Roleplays
Замініть слайди реалістичними симуляціями, які перевіряють реальну поведінку, а потім задокументуйте все, що потрібно вашому QSA.
Сценарії, специфічні для PCI
Готові симуляції для найпоширеніших режимів збоїв PCI: дзвінки соціальної інженерії з проханням надати номери карток, фішингові листи, націлені на платіжні системи, проникнення слідом за іншими до захищених зон та неналежне зберігання даних карток. Сценарії оновлюються в міру розвитку ландшафту загроз, задовольняючи вимогу 12.6.1 щодо щорічного перегляду.
Навчання з маскування даних
Навчіть операторів ніколи не зачитувати повні номери карток, використовувати належні методи маскування (показуючи лише останні чотири цифри) та розпізнавати, коли абонент намагається отримати більше даних, ніж потрібно. Симульовані абоненти перевіряють, чи дотримуються оператори протоколів маскування під тиском.
Оцінювання поведінки оператора
Багатокритеріальне оцінювання на основі ШІ оцінює кожного оператора за обізнаністю щодо безпеки, дотриманням правил поводження з даними, опором соціальній інженерії та належними процедурами ескалації. Результати відповідають конкретним вимогам PCI DSS, надаючи докази компетентності, яких очікують аудитори QSA, понад прості записи відвідуваності.
Документація відповідності
Кожна навчальна сесія створює записи з відмітками часу, включно з ідентифікацією учасника, навчальним контентом, тривалістю, оцінками та статусом завершення. Експортуйте звіти про відповідність, які показують, що 100% персоналу у сфері дії пройшли навчання протягом 12-місячного вікна, саме те, чого вимагає вимога 12.6.2.
Захист від соціальної інженерії
Симульовані зловмисники використовують реальні тактики соціальної інженерії: прикриття під ІТ-підтримку, маніпуляції на основі терміновості, видавання себе за керівництво та багатоетапні атаки з прикриттям. Оператори навчаються розпізнавати та протистояти цим тактикам у безпечному середовищі перед тим, як зіткнутися з ними на практиці.
Вбудоване підтвердження
Завершення симуляції є підтвердженням. На відміну від пасивних форм із прапорцями, кожна завершена сесія доводить, що працівник активно взаємодіяв із контентом безпеки. Записи про завершення сесії слугують підтвердженнями за вимогою 12.6.3, із повними відмітками часу та даними про результативність як докази.
Поширені запитання
Чи задовольняє Roleplays вимогу PCI DSS 12.6.2 щодо щорічного навчання?
Так. Платформа відстежує дати завершення навчання для кожного працівника та генерує звіти, що показують статус відповідності у всій вашій організації. Ви можете налаштувати щорічні або частіші цикли навчання, налаштувати автоматичні нагадування про майбутні терміни та експортувати докази завершення у форматах, яких очікують аудитори QSA.
Чи можемо ми створювати сценарії, специфічні для нашого середовища кол-центру?
Безумовно. Окрім готових сценаріїв PCI, ви можете створювати власні симуляції, що відображають ваші конкретні потоки дзвінків, платіжні процеси та ландшафт загроз. Наприклад, симулюйте абонента, який просить оператора зачитати повний номер картки для "перевірки", або атаку з прикриттям, де хтось видає себе за ваш ІТ-відділ.
Як платформа обробляє вимогу 12.6.3 щодо підтвердження?
Кожна завершена симуляція слугує активним підтвердженням. На відміну від пасивного прапорця, завершення навчальної сесії доводить, що працівник взаємодіяв із контентом безпеки, зрозумів представлені сценарії та продемонстрував компетентність через свої відповіді. Записи сесій містять відмітки часу, тривалість та оцінки результативності, набагато сильніший доказ, ніж підписана форма.
Чи оновлюється навчальний контент у міру появи нових загроз?
Так. Вимога 12.6.1 PCI DSS вимагає, щоб програма обізнаності щодо безпеки переглядалася та оновлювалася щонайменше щорічно. Roleplays постійно оновлює свою бібліотеку сценаріїв, щоб відображати поточні загрози, методи вішингу, соціальну інженерію на основі ШІ, нові схеми фішингу. Ваш QSA може перевірити, що навчальний контент відображає поточний ландшафт загроз.
Чи може Roleplays повністю замінити наше наявне навчання з обізнаності щодо безпеки?
Roleplays може слугувати вашим основним інструментом навчання з обізнаності щодо безпеки PCI, охоплюючи всі підвимоги 12.6. Багато організацій використовують його разом зі своєю наявною LMS, Roleplays обробляє інтерактивний компонент на основі симуляцій, тоді як LMS керує розповсюдженням та відстеженням документів політики. API платформи дає змогу інтегруватися з більшістю систем керування навчанням.
Досягніть відповідності швидше.
Замініть щорічні слайди симуляціями, які дійсно перевіряють поведінку щодо безпеки. Виконуйте кожну підвимогу PCI DSS 12.6 з документованими доказами.