PCI FAQ
Welcome to PCI Compliance Guide.
klikkaa alla olevia linkkejä löytääksesi vastaukset usein kysyttyihin kysymyksiin.
Q1: | mikä on PCI? |
Q2: | Keihin PCI-DSS koskee? |
Q3: | Mistä löydän PCI-tietoturvastandardin (PCI DSS)? |
Q4: | mitkä ovat PCI-VAATIMUSTENMUKAISUUSTASOT ja miten ne määritetään? |
Q5: | mitä pienen ja keskisuuren yrityksen (tason 4 kauppias) on tehtävä täyttääkseen PCI DSS-vaatimukset? |
Q6: | miten luottokorttien ottaminen puhelimella toimii PCI: n kanssa? |
Q7: | jos hyväksyn Luottokortit vain puhelimessa, koskeeko PCI DSS minua edelleen? |
Q8: | Täytyykö kolmannen osapuolen suorittimia käyttävien organisaatioiden olla PCI DSS-yhteensopivia? |
Q9: | yritykselläni on useita toimipaikkoja, tarvitaanko jokaista toimipaikkaa PCI-vaatimustenmukaisuuden vahvistamiseksi? |
Q10: | teemme vain verkkokauppaa. Mitä SAQ: ta meidän pitäisi käyttää? |
Q11: | yritykseni ei tallenna luottokorttitietoja, joten PCI-vaatimustenmukaisuus ei koske meitä, eihän? |
Q12: | ovatko maksukorttitapahtumat PCI: n piirissä? |
Q13: | Olenko PCI-yhteensopiva, jos minulla on SSL-varmenne? |
Q14: | yritykseni haluaa tallentaa luottokorttitietoja. Mitä menetelmiä Voimme käyttää? |
Q15: | mitkä ovat seuraamukset noudattamatta jättämisestä? |
Q16: | mikä määritellään ”kortinhaltijan tiedoksi”? |
Q17: | mikä on ”kauppiaan” määritelmä? |
Q18: | mikä on palveluntarjoaja? |
Q19: | mikä on maksuhakemus? |
Q20: | mikä on maksuväylä? |
Q21: | mikä on PA-DSS? |
Q22: | Voiko kuluttajan kuitin kopioon tulostaa koko luottokortin numeron? |
Q23: | Tarvitsenko haavoittuvuuden skannausta vaatimustenmukaisuuden varmentamiseksi? |
Q24: | mikä on haavoittuvuuden skannaus? |
Q25: | kuinka usein minun pitää käydä haavoittuvuuden skannauksessa? |
Q26: | mitä jos yritykseni kieltäytyy yhteistyöstä? |
Q27: | jos pyöritän bisnestä kotoani käsin, olenko vakava hakkereiden kohde? |
Q28: | mitä minun pitäisi tehdä, jos olen vaarantunut? |
Q29: | onko valtioilla lakeja, jotka edellyttävät tietomurtoilmoituksia asianosaisille? |
Q1: Mikä PCI on?
A: Payment Card Industry Data Security Standard (PCI DSS) on joukko turvallisuusstandardeja, joiden tarkoituksena on varmistaa, että kaikki yritykset, jotka hyväksyvät, käsittelevät, tallentavat tai välittävät luottokorttitietoja, ylläpitävät suojattua ympäristöä.
Payment Card Industry Security Standards Council (PCI SSC) käynnistettiin 7.syyskuuta 2006 hallinnoimaan Maksukorttiteollisuuden (PCI) turvallisuusstandardien jatkuvaa kehitystä keskittyen maksutilin turvallisuuden parantamiseen koko tapahtumaprosessin ajan. PCI DSS: ää hallinnoi ja hallinnoi PCI SSC (www.pcisecuritystandards.org), riippumaton elin, jonka perustivat suuret maksukorttimerkit (Visa, MasterCard, American Express, Discover ja JCB.). On tärkeää huomata, että maksumerkit ja hankkijat ovat vastuussa noudattamisen valvonnasta, ei PCI-neuvosto. PCI DSS: n kopio on saatavilla täältä.
takaisin alkuun
Q2: Keihin PCI-DSS koskee?
A: PCI-DSS-järjestelmää sovelletaan kaikkiin organisaatioihin riippumatta tapahtumien koosta tai lukumäärästä, jotka hyväksyvät, lähettävät tai tallentavat kortinhaltijan tietoja.
takaisin huipulle
Q3: Mistä löydän PCI-tietoturvastandardin (PCI DSS)?
A: nykyiset PCI DSS-asiakirjat löytyvät PCI Security Standards Councilin verkkosivuilta.
takaisin alkuun
Q4: mitkä ovat PCI-vaatimustenmukaisuustasot ja miten ne määritetään?
A: kaikki kauppiaat putoavat 12 kuukauden aikana johonkin neljästä kauppiastasosta, jotka perustuvat Visa transaction volyymiin. Transaktiomäärä perustuu As: llä (DBA) toimivan kauppiaan (mukaan lukien luotto -, debit-ja prepaid-maksut) tekemien Visa-transaktioiden yhteenlaskettuun määrään. Jos kauppayhtiöllä on useampi kuin yksi DBA, viisumien hankkijoiden on otettava huomioon yrityksen tallentamien, käsittelemien tai välittämien liiketoimien yhteenlaskettu määrä vahvistustason määrittämiseksi. Jos Tietoja ei yhdistetä siten, että yritys ei säilytä, käsittele tai siirrä kortinhaltijan tietoja useiden DBAs-standardien puolesta, hankkijaosapuolet tarkastelevat edelleen DBA: n yksittäistä transaktiovolyymia validointitason määrittämiseksi.
Kauppiastasot Visan määritteleminä:
Kauppataso | kuvaus |
1 | mikä tahansa kauppias — hyväksymiskanavasta riippumatta — käsittelee yli 6m viisumitapahtumia vuodessa. Jokaisen kauppiaan, jonka Visa päättää oman harkintansa mukaan, on täytettävä tason 1 kauppiaan vaatimukset Viisumijärjestelmään kohdistuvien riskien minimoimiseksi. |
2 | mikä tahansa kauppias — vastaanottokanavasta riippumatta — käsittelee 1m-6M Viisumitapahtumia vuodessa. |
3 | mikä tahansa kauppias käsittelee 20 000-1 miljoonan viisumin verkkokauppaa vuodessa. |
4 | jokainen kauppias käsittelee alle 20 000 viisumien verkkokauppaa vuodessa, ja kaikki muut kauppiaat-hyväksymiskanavasta riippumatta — käsittelevät enintään 1 m Viisumitapahtumia vuodessa. |
takaisin alkuun
Q5: mitä pienen ja keskisuuren yrityksen (tason 4 kauppias) on tehtävä täyttääkseen PCI-DSS-vaatimukset?
A: täyttääkseen PCI: n vaatimukset kauppiaan on täytettävä seuraavat vaiheet:
- määritä, mitä itsearviointikyselyä yrityksesi tulisi käyttää vaatimustenmukaisuuden validointiin. Katso alla oleva kaavio, joka auttaa sinua valitsemaan. (Klikkaa kaavio suuremmaksi.)
- täytä itsearviointikysely sen sisältämien ohjeiden mukaan.
- Täydennä ja hanki näyttöä läpäisevästä haavoittuvuuden skannauksesta PCI SSC-hyväksytyllä Skannaustoimittajalla (ASV). Muistiinpanojen skannaus ei koske kaikkia kauppiaita. Sitä tarvitaan SAQ a-EP: lle, SAQ B-IP: lle, SAQ C: lle, SAQ D-Merchantille ja SAQ d-palveluntarjoajalle.
- täytä asiaankuuluva vaatimustenmukaisuustodistus kokonaisuudessaan (joka sijaitsee SAQ-työkalussa).
- toimita HANKKIJALLESI SAQ, todisteet läpimenevästä skannauksesta (tarvittaessa) ja todistus vaatimustenmukaisuudesta sekä muut pyydetyt asiakirjat.
Lue blogikirjoituksemme ”the PCI Basics / Quick Guide – What Do Small Merchants Need to Do to Achieve PCI Compliance?”
takaisin alkuun
Q6: miten luottokorttien ottaminen puhelimella toimii PCI: n kanssa?
A: seuraava viesti, ”miten luottokorttien ottaminen puhelimella toimii PCI: n kanssa?”selittää PCI compliance vastuut, kun luottokorttitietoja puhelimitse (esim. puhelinpalvelussa). Huomaa, että vaikka tämä viesti julkaistiin vuonna 2014, se on edelleen merkitystä nykyisen version PCI DSS.
takaisin huipulle
Q7: Jos hyväksyn Luottokortit vain puhelimitse, koskeeko PCI DSS edelleen minua?
A: Kyllä. Kaiken liiketoiminnan, joka tallentaa, käsittelee tai lähettää maksukortin haltijan tietoja, on oltava PCI-yhteensopiva.
takaisin alkuun
Q8: pitääkö kolmannen osapuolen suorittimia käyttävien organisaatioiden olla PCI DSS-yhteensopivia?
A: Kyllä. Pelkkä kolmannen osapuolen yrityksen käyttäminen ei sulje pois PCI-DSS-vaatimusten noudattamista. Se voi vähentää niiden altistumista riskeille ja siten vähentää ponnisteluja vaatimusten noudattamisen validoimiseksi. Kuitenkin, se ei tarkoita, että he voivat sivuuttaa PCI DSS.
takaisin huipulle
Q9: Yritykselläni on useita toimipaikkoja, vaaditaanko jokainen toimipaikka vahvistamaan PCI-vaatimustenmukaisuus?
A: Jos yrityksesi toimipaikat käsitellään samalla Verotunnuksella, sinun on yleensä validoitava kaikki toimipaikat kerran vuodessa. Ja, toimittaa neljännesvuosittain kulkee verkon skannaa PCI SSC hyväksytty skannaus myyjä (ASV) kunkin sijainnin, jos tarpeen.
takaisin alkuun
Q10: teemme vain verkkokauppaa. Mitä SAQ: ta meidän pitäisi käyttää?
A: se riippuu siitä, miten Ostoskorisi on perustettu. KS. PCI SAQ 3.1: E-Commerce Options Explained.
takaisin huipulle
Q11: Yhtiöni ei tallenna luottokorttitietoja, joten PCI ei koske meitä.
A: Jos hyväksyt luotto-tai pankkikortit maksuvälineenä, PCI-vaatimustenmukaisuus koskee sinua. Korttitietojen tallentaminen on riskialtista, joten jos et tallenna korttitietoja, turvalliseksi ja yhteensopivaksi tuleminen voi olla helpompaa.
takaisin alkuun
Q12: ovatko maksukorttitapahtumat PCI: n piirissä?
A: In-scope-kortit sisältävät debit -, credit – ja pre-paid-kortit, joissa on yksi PCI SSC-American Express -, Discover -, JCB -, MasterCard-ja Visa International-kortteihin osallistuvista Five card association/brand-logoista.
takaisin alkuun
Q13: Olenko PCI-yhteensopiva, jos minulla on SSL-varmenne?
A: Ei. SSL-varmenteet eivät suojaa www-palvelinta haitallisilta hyökkäyksiltä tai tunkeutumisilta. Korkean varmuuden SSL-varmenteet tarjoavat ensimmäisen tason asiakkaan turvallisuutta ja varmuutta, kuten alla, mutta PCI-vaatimustenmukaisuuden saavuttamiseksi on olemassa muita vaiheita. Katso kysymys ” Mitä pienten ja keskisuurten yritysten (Taso 4 kauppias) on tehtävä täyttääkseen PCI vaatimukset?”
- suojattu yhteys asiakkaan selaimen ja WWW-palvelimen välillä
- vahvistaa, että verkkosivuston operaattorit ovat laillinen, laillisesti vastuullinen organisaatio
Katso aiheeseen liittyvä blogikirjoitus ”PCI DSS v3.1 ja SSL: mitä sinun pitäisi tehdä nyt.”
takaisin alkuun
Q14: yritykseni haluaa tallentaa luottokorttitietoja. Mitä menetelmiä Voimme käyttää?
A: useimmat kauppiaat, jotka tarvitsevat luottokorttitietojen tallentamista, tekevät sen toistuvaa laskutusta varten. Paras tapa tallentaa luottokorttitietoja toistuvaa laskutusta varten on hyödyntää kolmannen osapuolen luottokorttiholvia ja tokenization tarjoajaa. Holvia hyödyntämällä korttitiedot poistetaan hallussapidosta ja sinulle annetaan takaisin ”token”, jota voidaan käyttää toistuvaan laskutukseen. Käyttämällä kolmatta osapuolta siirrät korttitietojen säilyttämisen riskin henkilölle, joka on erikoistunut siihen ja jolla on kaikki turvatarkastukset käytössä pitääkseen korttitiedot turvassa.
Jos sinun on tallennettava korttitiedot itse, itsearviointirajasi on erittäin korkea ja saatat tarvita QSA: ta (Pätevä Turvallisuusarvioija) tulemaan paikan päälle ja suorittamaan auditoinnin varmistaaksesi, että sinulla on kaikki PCI DSS-eritelmien edellyttämät hallintalaitteet.
katso aiheeseen liittyvä blogikirjoitus ”Voimmeko turvallisesti tallentaa korttitietoja toistuvaa laskutusta varten?”
takaisin alkuun
Q15: mitkä ovat seuraamukset noudattamatta jättämisestä?
A: maksubrändit voivat harkintansa mukaan sakottaa ostavalle pankille 5 000-100 000 dollaria kuukaudessa PCI: n noudattamisrikkomuksista. Pankit todennäköisesti välittävät sakon eteenpäin, kunnes se lopulta osuu kauppiaaseen. Lisäksi pankki todennäköisesti myös joko lopettaa suhteenne tai nostaa transaktiomaksuja. Rangaistuksista ei puhuta avoimesti eikä niistä kerrota laajasti julkisuudessa, mutta ne voivat olla pienyritykselle katastrofaalisia. On tärkeää tuntea kauppias tilin sopimuksen, jonka pitäisi hahmotella altistumista.
Lue lisää sääntöjen noudattamatta jättämisen rangaistuksista blogikirjoituksestamme ”miten PCI: n Noudattamispyrkimyksesi voivat lopulta säästää yrityksesi rahaa?”
takaisin huipulle
Q16: Mitä tarkoitetaan ”kortinhaltijan tiedoilla”?
A: PCI Security Standards Council (SSC) määrittelee ”kortinhaltijatiedon” koko ensisijaiseksi Tilinumeroksi (PAN) tai täydeksi tiliksi yhdessä jonkin seuraavan elementin kanssa:
- kortinhaltijan nimi
- vanhenemispäivä
- palvelukoodi
arkaluonteiset todennustiedot, jotka on myös suojattava, sisältävät täydelliset magneettijuovatiedot, CAV2, CVC2, CID, PINs, PIN blocks ja paljon muuta.
takaisin alkuun
Q17: mikä on ”kauppiaan” määritelmä?
A: PCI DSS: ssä kauppiaalla tarkoitetaan mitä tahansa tahoa, joka hyväksyy PCI SSC: n viiden jäsenen (American Express, Discover, JCB, MasterCard tai Visa) logoilla varustetut maksukortit maksuksi tavaroista ja/tai palveluista. Huomaa, että kauppias, joka hyväksyy maksukortit maksuna tavaroista ja/tai palveluista, voi olla myös palveluntarjoaja, jos myydyt palvelut johtavat kortinhaltijan tietojen tallentamiseen, käsittelyyn tai siirtämiseen muiden kauppiaiden tai palveluntarjoajien puolesta. ISP on esimerkiksi kauppias, joka hyväksyy maksukortit kuukausilaskutukseen, mutta on myös palveluntarjoaja, jos se isännöi kauppiaita asiakkaina. Lähde: PCI SSC
takaisin alkuun
Q18: mikä on palveluntarjoaja?
A: PCI SSC määrittelee palveluntarjoajan näin:
”liiketoimintayksikkö, joka ei ole maksubrändi ja joka osallistuu suoraan kortinhaltijan tietojen käsittelyyn, tallentamiseen tai siirtämiseen. Tämä koskee myös yrityksiä, jotka tarjoavat palveluja, jotka valvovat tai voivat vaikuttaa kortinhaltijan tietojen turvallisuuteen.”(Lähde: www.pcisecurity-standardit.org)
PCI SSC määrittelee ”kauppiaan palveluntuottajan” rooliksi ”kauppiaan, joka hyväksyy maksukortit maksuksi tavaroista ja / tai palveluista…jos myydyt palvelut johtavat kortinhaltijan tietojen tallentamiseen, käsittelyyn tai siirtämiseen muiden kauppiaiden tai palveluntarjoajien puolesta.”Lue lisää siitä, miten voit saavuttaa vaatimustenmukaisuuden palveluntarjoajana. Katso blogikirjoituksemme ” PCI Compliance and the Service Provider.”
takaisin alkuun
Q19: mikä on maksuhakemus?
A: Mikä on MAKSUHAKEMUS, koska se liittyy PCI-vaatimusten noudattamiseen? MAKSUSOVELLUKSELLA on PCI: ssä hyvin laaja merkitys. Maksusovellus on mitä tahansa, joka tallentaa, käsittelee tai välittää korttitietoja sähköisesti. Tämä tarkoittaa, että mitään myyntipisteen järjestelmä (esim., Verifone swipe terminals, ALOHA terminals, jne.) ravintolassa verkkosivustolle verkkokaupan ostoskori (esim.CreLoaded, osCommerce jne.) luokitellaan kaikki maksusovelluksiksi. Siksi mikä tahansa ohjelmisto, joka on suunniteltu koskemaan luottokorttitietoja, katsotaan maksusovellukseksi.
takaisin alkuun
Q20: mikä on maksuväylä?
A: Maksuportit yhdistävät kauppiaan pankkiin tai prosessoriin, joka toimii korttibrändien etupään yhteytenä. Niitä kutsutaan gateways, koska ne ottavat monia syötteitä useista eri sovelluksista ja reitittävät nämä syötteet asianmukaiseen pankkiin tai käsittelijään. Yhdyskäytävät kommunikoivat pankin tai prosessorin kanssa puhelinliittymien, verkkopohjaisten yhteyksien tai yksityisomistuksessa olevien kiinteiden yhteyksien avulla.
takaisin alkuun
Q21: mikä on PA-DSS?
A: PA-DSS viittaa maksusovelluksen Tietoturvastandardiin, jota ylläpitää PCI Security Standards Council (SSC) maksusovelluksen turvallisuuden kriittisen ongelman ratkaisemiseksi. PA-DSS-järjestelmän vaatimukset on suunniteltu varmistamaan, että myyjät tarjoavat tuotteita, jotka tukevat kauppiaiden pyrkimyksiä säilyttää PCI-DSS-vaatimusten noudattaminen ja poistaa arkaluonteisten kortinhaltijan tietojen tallentaminen.
PCI SSC hallinnoi ohjelmaa, jolla vahvistetaan maksusovellusten yhdenmukaisuus PA-DSS: n kanssa, sekä julkaisee ja ylläpitää luetteloa PA-DSS: n validoimista sovelluksista. Katso lisätietoja PCI-Suojausstandardeista. Myös nähdä blogikirjoitus kriittinen ero PCI DSS ja PA-DSS täällä.
takaisin alkuun
Q22: Voiko koko luottokortin numeron tulostaa kuluttajan kuitin kopioon?
A: PCI DSS-vaatimuksen 3.3 mukaan ”Maskipannu näytettäessä (ensimmäiset kuusi ja viimeiset neljä numeroa ovat näytettävien numeroiden enimmäismäärä).”Vaikka vaatimus ei kiellä koko kortin numeron tai viimeisen päivän tulostamista kuiteihin (joko kauppiaan kopio tai kuluttajan kopio), huomaa, että PCI DSS ei korvaa muita lakeja, jotka säätävät mitä voidaan tulostaa kuiteille (kuten Yhdysvaltain Fair and Accurate Credit Transactions Act (FACTA) tai muita sovellettavia lakeja).
Katso kursivoitu huomautus kohdassa PCI DSS requirement 3.3 ” Note: Tämä vaatimus ei korvaa voimassa olevia tiukempia vaatimuksia, jotka koskevat kortinhaltijan tietojen näyttämistä—esimerkiksi laillisia tai maksukorttimerkkiä koskevia vaatimuksia myyntipisteiden kuitteja varten. Kauppiaiden tallentamien paperikuitien on noudatettava PCI-DSS: ää, erityisesti vaatimusta 9 koskien fyysistä turvallisuutta”. Lähde: PCI SSC
takaisin alkuun
Q23: Tarvitsenko haavoittuvuuden skannauksen vahvistaakseni vaatimustenmukaisuuden?
A: Jos olet oikeutettu tiettyihin itsearviointikyselyihin (SAQs) tai tallennat sähköisesti kortinhaltijan tietojen Post-valtuutuksen, edellytetään PCI SSC-hyväksytyn Skannaustoimittajan (ASV) suorittamaa neljännesvuosittaista skannausta vaatimustenmukaisuuden ylläpitämiseksi. Jos olet oikeutettu johonkin seuraavista SAQs version 3.x PCI-DSS: stä, niin tarvitaan läpäisevä ASV-skannaus:
- SAQ a-EP
- SAQ B-IP
- SAQ C
- SAQ D-palveluntarjoaja
takaisin alkuun
Q24: mikä on haavoittuvuuden skannaus?
A: Haavoittuvuuden skannauksessa käytetään automaattista työkalua, joka tarkistaa kauppiaan tai palveluntarjoajan järjestelmät haavoittuvuuksien varalta. Työkalu suorittaa non-intrusiivisen skannauksen verkkojen ja verkkosovellusten etäkatselemiseksi kauppiaan tai palveluntarjoajan antamien ulkoisten Internet protocol (IP)-osoitteiden perusteella. Skannaus tunnistaa käyttöjärjestelmistä, palveluista ja laitteista haavoittuvuuksia, joiden avulla hakkerit voisivat kohdistaa kohteensa yhtiön yksityiseen verkkoon. Kuten hyväksytyt Skannaustoimittajat (ASV: t), kuten ControlScan, skannaus ei vaadi kauppiasta tai palveluntarjoajaa asentamaan mitään ohjelmistoja järjestelmiinsä, eikä palvelunestohyökkäyksiä tehdä. Lue lisää haavoittuvuuden skannaa täällä.
takaisin alkuun
Q25: kuinka usein minun pitää käydä haavoittuvuuden skannauksessa?
A: joka 90.päivä / kerran neljänneksessä edellä mainitut kriteerit täyttävien on tehtävä läpivalaisu. Kauppiaiden ja palveluntarjoajien olisi toimitettava vaatimustenmukaisuusasiakirjat (onnistuneet skannausraportit) hankkijaosapuolensa määrittämän aikataulun mukaisesti. Skannaukset on suoritettava PCI SSC: n hyväksymällä Skannaustoimittajalla (ASV), kuten ControlScan.
katso aiheeseen liittyvä blogikirjoitus ”Internal vs. External Vulnerability Scans: Why you Need Both.”
Back to Top
Q26: What if my business refuses to cooperation?
A: PCI ei sinänsä ole laki. Standardin loivat suuret korttimerkit Visa, MasterCard, Discover, AMEX ja JCB. Hankkijiensa / palveluntarjoajiensa harkinnan mukaan kauppiaille, jotka eivät noudata PCI DSS-järjestelmää, voidaan määrätä sakkoja, kortin vaihtokustannuksia, kalliita rikosteknisiä tarkastuksia, tuotemerkkivahinkoja jne., jos rikkomus tapahtuu.
pienen etukäteisponnistelun ja kustannukset PCI DSS: n noudattamiseksi auttavat suuresti vähentämään riskiä kohdata nämä äärimmäisen epämiellyttävät ja kalliit seuraukset. Lue, miten ControlScan auttaa yksinkertaistamaan PCI DSS: ää.
takaisin huipulle
Q27: jos pyöritän bisnestä kotoani käsin, olenko vakava hakkereiden kohde?
A: Kyllä. Kotikäyttäjät ovat todennäköisesti haavoittuvimpia yksinkertaisesti siksi, että he eivät yleensä ole hyvin suojattuja. Hyväksymällä ”polku vähiten vastarintaa” malli, tunkeutujat usein nolla-in kotikäyttäjille-usein hyödyntäen aina-laajakaistayhteyksiä ja tyypillisiä kotikäyttöön ohjelmia, kuten chat, Internet-pelit ja P2P tiedostonjakosovellukset. ControlScan skannauspalvelun avulla kotikäyttäjät ja verkon ylläpitäjät voivat tunnistaa ja korjata kaikki tietoturvahaavoittuvuudet työpöydällä tai kannettavassa tietokoneessa.
katso aiheeseen liittyvä blogikirjoitus ”5 Best Practices for Securing Your Small Biz.”
Back to Top
Q28: What should I do if I ’ m discovered?
A: vaikka monet maksukorttien tietomurrot ovat helposti estettävissä, niitä voi Ja tapahtuu edelleen kaikenkokoisille yrityksille.
Jos pieni – tai keskikokoinen yritys on havainnut, että sitä on rikottu, on monia hyviä resursseja auttaa sinua seuraavissa askeleissa. Suosittelemme seuraavia:
- Department of Justice, Best Practices for Victim Response and Reporting of Cyber Incidents
- PCI Council, Responding to a Data Breach – A How-to Guide for Incident Management
- Electronic Transactions Association (ETA), Data Breach Response: a Nine-Step Guide for Smaller Merchants
Back To Top
Q29: Do states have laws requiring data breach notification to the affected parties?
A: ehdottomasti. Kalifornia on katalysaattori tietomurroista ilmoittamisessa asianosaisille. Valtio pani rikkomusilmoituslakinsa täytäntöön vuonna 2003, ja nyt lähes jokaisella osavaltiolla on voimassa vastaava laki.
huhtikuuta 2017 alkaen NCSL.org raportit: neljäkymmentäkahdeksan valtiot, District of Columbia, Guam, Puerto Rico Ja Neitsytsaaret ovat säätäneet lainsäädäntöä, joka vaatii yksityisiä, valtion tai koulutusyksiköiden ilmoittaa yksityishenkilöille tietoturvaloukkauksista, joihin liittyy henkilökohtaisesti tunnistettavia tietoja.
takaisin huipulle
Leave a Reply