随着COVID-19大流行继续在世界范围内扩散,想要维持业务运营并遵守有关个人流动的新政府法规的公司已广泛采用远程工作模式。尽管对于某些类型的工作和部门而言,这没有什么大问题,但其他人则面临着不遵守数据保护法规和行业标准的危险。

的 支付卡行业数据安全标准 (PCI DSS)长期以来一直被认为是远程工作的障碍,因为在不受控制的环境(例如员工住所)中很难实现合规性。 PCI DSS是一组12个安全要求,可帮助企业保护其支付系统免受持卡人数据的泄露,欺诈和盗窃。其中包括需要实施强大的访问控制措施,保护持卡人数据并维护信息安全策略。

尽管没有法律约束力,但PCI DSS在全球范围内被金融机构(尤其是银行)作为通用标准采用,并且处理,存储或传输来自世界上最大的信用卡计划(美国运通,Discover,JCB)的信用卡信息的所有公司都需要使用PCI DSS ,万事达和Visa。

违规的代价很高:组织每月面临高达100,000美元的罚款,交易费用增加,而且与银行终止关系的风险也很大。更糟糕的是,他们会发现自己处于恐惧中 比赛 (商人警报以控制高风险)列表,以确保不再允许他们再次处理卡付款。

COVID-19大流行期间的PCI DSS合规性

PCI安全标准委员会已经认识到当今世界各地公司所面临的特殊情况,并发布了 指导 远程工作,同时强调需要维持安全做法以保护此时的支付卡数据。但是,这些远程工作的最佳实践并不能替代PCI DSS要求,而是在员工在家工作时支持公司达到合规性。

根据指南,确保持续合规的最佳方法之一是在组织内部建立和维护安全文化。这可以通过一个安全意识计划来实现,该计划将企业的安全策略和过程告知员工,并帮助他们了解其对于数据安全性和合规性的重要性。如果公司在持续的健康危机之前符合PCI DSS标准,那么他们应该已经有这样的计划,因为它是PCI DSS要求12.6的一部分。

在远程工作的情况下,对员工进行告知和教育的需求增加了:必须使他们意识到从在家到办公室工作所带来的风险。 符合PCI DSS 以及他们需要采取哪些措施来确保支持支付卡数据处理的系统,流程和设备的持续安全性。

尽管在办公室外这可能是一个挑战,但是员工必须知道最基本的要求是,用于处理帐户数据的任何系统都必须得到安全维护,并且任何未经授权的个人都不能访问。这意味着要保护员工免受外界干扰和任何粗心大意,并阻止他们实际进入工作地点。因此,员工应保持家庭办公空间,其他家庭成员不能进入。

保护流程

员工在远程工作和处理卡付款的物理空间必须得到有效监控,并始终对其进行访问进行控制。锁定家庭办公空间是一种单向方式,员工可以防止物理访问任何处理帐户数据的系统。但是,也必须实施多因素身份验证过程,以确保如果有人可以物理访问家庭办公空间,他们仍然将无法访问帐户数据。

数据传输也可以通过以下方式控制 数据丢失防护(DLP)工具 允许公司通过预定义的策略监控信用卡信息的传输,并通过不安全的出口点(例如文件共享服务或即时消息传递应用程序)阻止其信息传输,员工可能会在远程工作时倾向于使用这些信息。

还必须安全地存储任何打印的帐户数据,最好是在锁和钥匙下,并且在不再需要时将其粉碎或破坏。

限制数据暴露

员工应仅使用公司认可的硬件:笔记本电脑,电话或可移动设备。这样,公司可以保持对支持支付处理的系统和技术的控制。组织可以通过DLP应用程序确保没有未经授权的设备连接到工作计算机 设备控制策略 在终结点计算机上是否限制了USB和外围设备端口的连接。

还建议远程使用的所有公司计算机都安装最新的防火墙,公司防病毒解决方案和安全补丁。这些安全控件需要以用户无法禁用它们的方式进行配置。

资源://www.endpointprotector.com/blog/pci-dss-compliance-and-remote-work/