Ietaupiet naudu, maziniet risku, vienkāršojot PCI atbilstību

Anonim

Vai jūs pieņemat kredīta vai debeta maksājumus jūsu uzņēmumā? Ja tā, tad ir iespējams, ka jums ir jāievēro Maksājumu karšu nozares datu drošības standarts (PCI DSS).

PCI DSS nosaka minimālos datu drošības pasākumus organizācijām visā pasaulē, kas glabā, apstrādā vai apmainās ar karšu īpašnieka informāciju no jebkura no galvenajiem karšu zīmoliem. Standarti tiek pārskatīti reizi divos gados, un jaunākie grozījumi tika veikti 2010. gada oktobrī.

$config[code] not found

Saskaņā ar Nacionālās mazumtirdzniecības federācijas un First Data pētījumu, 86 procenti mazo un vidējo uzņēmumu respondentu teica, ka rūpējas par to, lai klienta karšu informācija būtu droša, un jūt, ka karšu datu drošība ir svarīga viņu uzņēmējdarbībai. Bet, lai gan lielākā daļa (66 procenti) ir informēti par PCI DSS, tikai 49 procenti aptaujas laikā bija pabeiguši nepieciešamo pašnovērtējumu.

Aizsargājot kartes īpašniekus, mazo uzņēmumu īpašnieki var izrādīties dārgi un nedaudz pārliecinoši, no kuriem lielākā daļa jau valkā daudzas cepures. Tomēr pārkāpuma finansiālās un reputācijas izmaksas var būt ievērojamas - dažos gadījumos apdraudot jūsu uzņēmumu kopumā.

Bet kur sākt? Cerams, ka jūs jau ierobežojat fizisko piekļuvi karšu īpašnieka informācijai un atjaunināt antivīrusu programmatūru. Šeit ir norādīti papildu veidi, kā jūs varat ievērojami palielināt datu drošību, vienlaikus pārvaldot atbilstības izmaksas:

Šifrēt jutīgus datus Iespējams, ka vissvarīgākais pasākums, ko uzņēmums var veikt, lai aizsargātu kartes turētāja informāciju, ir šifrēt kartes datus tūlīt pēc tam, kad karte ir izlaista pārdošanas vietā. Informācijai jāpaliek šifrētā stāvoklī, kamēr tā tiek nosūtīta maksājumu procesoram.

Šis solis nozīmē, ka darījums nekad netiek nosūtīts vienkāršā tekstā rāmja relejā, iezvanpieejas vai interneta savienojumā, kur pastāv iespēja, ka krāpnieki pārtver pārtveršanu. Ja dati tiek sifonēti, kad tie ir šifrēti, zagļiem tas ir praktiski bezjēdzīgi.

Samaziniet „CDE” Katra datorsistēma, kartotēka un lietojumprogramma, kas izmanto vai uzglabā jutīgus kartes datus, ieskaitot šifrētos datus, ir daļa no kopējās kartes turētāja datu vides (CDE) un PCI DSS atbilstības ietvaros. Citiem vārdiem sakot, jo vairāk vietas jums ir dati, jo vairāk vietas jums jāuztraucas par aizsardzību.

Ierobežojiet un pat samaziniet CDE darbības jomu, ierobežojot karšu turētāja datu izmantošanu tikai tiem pieteikumiem, kas tieši attiecas uz maksājumiem (piemēram, darījumu autentifikācija, ikdienas norēķini un atmaksājumi).

Aptveriet tokenizāciju Tokenizācija ir „slāņveida” papildinājums šifrēšanai. Kartes lietotāja dati tiek nosūtīti uz centralizētu un ļoti drošu serveri (glabātuvē) pēc autorizācijas, un izlases unikāls numurs (marķieris) tiek ģenerēts un atgriezts biznesa sistēmās lietošanai, kur parasti tiek izmantoti kartes turētāja dati.

Žetons ir specifisks kartei, un to joprojām var izmantot, lai apstrādātu atdevi, izsekotu izdevumu paradumus un citas uzņēmējdarbības funkcijas, taču skaitam nav nozīmes krāpniekiem. Tas var ievērojami samazināt iespējamā datu pārkāpuma ietekmi.

Tokenizācija var arī palīdzēt samazināt CDE darbības jomu, jo nav kartes turētāja datu. Uzņēmumi, kas visās uzņēmuma lietojumprogrammās aizvieto kartes turētāja datus ar žetoniem, var ievērojami samazināt savu CDE darbības jomu un pēc tam samazināt PCI DSS atbilstības un ikgadējo novērtējumu / ceturkšņa skenēšanas apjomu un izmaksas.

Darbs ar trešo personu Vēl viens veids, kā samazināt PCI atbilstību, ir nodot atbildību (un atbildību) par karšu datu glabāšanu trešās puses pakalpojumu sniedzējam. Piemēram, uzņēmums var nosūtīt šifrētus karšu datus maksājumu apstrādātājam, lai saņemtu atļauju, un, atdodot pilnvaroto atbildi, uzņēmumam tiek nosūtīts arī simbolisks numurs.

Šī pieeja slāpē šifrēšanu un tokenizāciju, vienlaikus samazinot uzņēmuma CDE pēc iespējas mazākā nospiedumā: POS sistēma, kurā ir dati par karšu, pirms atļaujas piešķiršanas.

Paceliet roku Uzņēmumiem ir pienākums aizsargāt savu klientu datus, bet jums tas nav jādara atsevišķi. Runājiet ar savu maksājumu pakalpojumu sniedzēju par risinājumiem un ekspertiem, kas var palīdzēt jūsu uzņēmumam saņemt un uzturēt atbilstību. Atcerieties, ka PCI DSS ir minimālais standarts, un pareizā (-o) partnera (-u) meklēšana var palīdzēt pieņemt gudrus lēmumus par to, kā vislabāk aizsargāt jūsu klientus - un, iespējams, jūsu biznesu.

1