Elfogadja-e a cégnél hitel- vagy betéti kifizetéseket? Ha igen, akkor meg kell felelnie a Fizetési Kártya Ipari Adatbiztonsági Szabványnak (PCI DSS).
A PCI DSS minimális adatbiztonsági intézkedéseket hoz létre a világ minden tájáról érkező szervezetek számára, amelyek a kártyatulajdonosok információit tartják fenn, feldolgozzák vagy kicserélik bármelyik nagyobb kártya márkából. A szabványokat kétévente felülvizsgálják, és legutóbb 2010 októberében felülvizsgálták.
$config[code] not foundAz Országos Kiskereskedelmi Szövetség és az First Data tanulmánya szerint a kis- és középvállalkozások 86 százaléka azt mondta, hogy érdekli, hogy az ügyfélkártya-információk biztonságosak legyenek, és úgy érzik, hogy a kártya adatbiztonsága fontos az üzleti tevékenységük szempontjából. De míg a legtöbb (66 százalék) tudatában van a PCI DSS-nek, mindössze 49 százaléka végezte el a felmérés idején szükséges önértékelést.
A kártyatulajdonos-adatok védelme költségesnek és kicsit túlnyomónak tűnhet a kisvállalkozások tulajdonosai számára, akiknek többsége már sok kalapot visel. Ugyanakkor a jogsértés pénzügyi és hírnevének költségei jelentősek lehetnek - egyes esetekben veszélyeztetik a vállalkozást.
De hol kezdjem? Remélhetőleg már korlátozza a kártyatulajdonos információkhoz való fizikai hozzáférést, és naprakészen tartja a víruskereső szoftvert. Az alábbiakban további módszerek állnak rendelkezésre, amelyekkel jelentősen megnövelheti az adatbiztonságot a megfelelőségi költségek kezelése közben:
Érzékeny adatok titkosítása Valószínűleg az egyetlen legfontosabb intézkedés, amelyet a vállalkozás képes a kártyatulajdonosok információinak védelmére, az, hogy a kártya adatait azonnal le kell titkosítani, miután a kártyát az eladási ponton lebontották. Az információnak titkosított állapotban kell maradnia, amíg a fizetési processzorhoz továbbítja.
Ez a lépés azt jelenti, hogy a tranzakció soha nem kerül átadásra egyszerű szövegben a keret relé, dial-up vagy internet kapcsolat, ahol a potenciál létezik a lehallgatás a csalók. Ha az adatok titkosítva kerülnek le, akkor a tolvajok számára gyakorlatilag haszontalan. Csökkentse a „CDE” -et Minden olyan számítógépes rendszer, iratszekrény és alkalmazás, amely érzékeny kártyadatokat, köztük a titkosított adatokat használ vagy tárol, a teljes kártyatulajdonos adatkörnyezetének (CDE) részét képezi és a PCI DSS megfelelésének keretein belül. Más szóval, minél több helyen van adataid, annál több helyen kell aggódnod a védelem miatt.
Korlátozza - és akár csökkenti - a CDE alkalmazási körét úgy, hogy korlátozza a kártyatulajdonos-adatok használatát csak azokhoz a alkalmazásokhoz, amelyek közvetlenül a fizetésekhez kapcsolódnak (pl. Tranzakciós hitelesítés, napi elszámolások és visszafizetések). Tokenizálás ölelése A tokenizáció a titkosítás „réteges” kiegészítője. A kártyabirtokos adatait az engedélyezés után a központosított és rendkívül biztonságos kiszolgálóra (boltozatra) küldjük, és véletlenszerű egyedi számot (a token) generálunk és visszaküldünk az üzleti rendszerekhez, ahol a kártyatulajdonos adatait általában használjuk.
A token a kártyára jellemző, és továbbra is használható a visszatérések feldolgozására, a kiadási szokások és egyéb üzleti funkciók feldolgozására, de a számnak nincs értéke a csalók számára. Ez drasztikusan csökkentheti a potenciális adatszegés hatását. A tokenizáció segíthet a CDE hatókörének csökkentésében is, mivel nincsenek kártyatulajdonos adatok. Azok a vállalkozások, amelyek a kártyatulajdonos adatait tokenekkel helyettesítik minden vállalati alkalmazásukban, jelentősen csökkenthetik a CDE alkalmazási körét, és ezután csökkenthetik a PCI DSS megfelelés és az éves felmérések / negyedéves ellenőrzések terjedelmét és költségeit. Munka egy harmadik féllel Egy másik módja annak, hogy a PCI-nek való megfelelés alá eső környezetet csökkentsük, hogy átadják a felelősséget (és felelősséget) a kártyaadatok tárolásáért egy harmadik fél szolgáltatójához. Például egy vállalkozás titkosított kártyaadatokat küldhet a fizetési processzornak az engedélyezésre, és ha az engedélyezett válasz visszaadódik, egy tokenizált számot is küld a vállalkozásnak.
Ez a megközelítés a titkosítást és a tokenizációt rétegezi, miközben csökkenti az üzleti CDE-t a lehető legkisebb lábnyomra: az élő, előre engedélyező kártya adatait tároló POS rendszert. Emeld fel a kezed A vállalkozások felelőssége, hogy megvédjék ügyfeleik adatait, de nem kell egyedül csinálni. Beszéljen a fizetési szolgáltatójával az olyan megoldásokról és szakértőkről, amelyek segíthetnek a vállalkozásnak abban, hogy megfeleljenek a megfelelőnek. Ne feledje, hogy a PCI DSS minimumkövetelmény, és a megfelelő partner (ek) megtalálása segít abban, hogy intelligens döntéseket hozzon arról, hogyan lehet a legjobban megvédeni ügyfeleit - és esetleg az üzleti tevékenységét.
1