I-save ang Pera, Panganib sa Lessen sa Pinasimple PCI Compliance

Anonim

Tinatanggap mo ba ang mga pagbabayad ng credit o debit sa iyong negosyo? Kung gayon, malamang na kailangan mong sumunod sa Payment Card Industry Data Security Standard (PCI DSS).

Ang PCI DSS ay nagtatatag ng pinakamaliit na sukat sa seguridad ng data para sa mga organisasyon sa buong mundo na nagtataglay, nagpaproseso o nagpapalit ng impormasyon ng cardholder mula sa alinman sa mga pangunahing tatak ng card. Ang mga pamantayan ay susuriin tuwing dalawang taon, at kamakailan ay binago noong Oktubre 2010.

$config[code] not found

Ayon sa isang pag-aaral ng National Retail Federation at Unang Data, 86 porsiyento ng mga maliit at mid-sized na mga respondent sa negosyo ang nag-aalala tungkol sa pagpapanatili ng impormasyon ng customer card at pakiramdam ng mahalagang impormasyon sa card ay mahalaga sa kanilang negosyo. Subalit samantalang ang karamihan (66 porsiyento) ay may kamalayan sa PCI DSS, 49 porsiyento lamang ang nakakumpleto ng kinakailangang pagtatasa sa sarili sa panahon ng survey.

Ang pagpoprotekta sa data ng cardholder ay maaaring mukhang mahal at medyo napakalaki sa mga maliit na may-ari ng negosyo, na karamihan sa kanila ay nagsusuot ng maraming mga sumbrero. Gayunpaman, ang pinansiyal at reputational na mga gastos ng isang paglabag ay maaaring maging makabuluhan - sa ilang mga kaso jeopardizing iyong negosyo nang sama-sama.

Ngunit kung saan magsisimula? Sana ay nililimitahan mo ang pisikal na pag-access sa impormasyon ng cardholder at panatilihing napapanahon ang software ng anti-virus. Narito ang mga karagdagang paraan na maaari mong dagdagan ang dagdag na seguridad ng data habang pinamamahalaan ang mga gastos sa pagsunod:

I-encrypt ang Sensitibong Data Marahil ang solong pinakamahalagang panukala na maaaring gawin ng isang negosyo upang maprotektahan ang impormasyon ng cardholder ay i-encrypt ang data ng card kaagad pagkatapos na ang card ay swiped sa punto ng pagbebenta. Ang impormasyon ay dapat manatili sa isang naka-encrypt na estado habang ito ay ipinadala sa processor ng pagbabayad.

Ang hakbang na ito ay nangangahulugan na ang transaksyon ay hindi naipadala sa plain text sa frame relay, dial-up o koneksyon sa Internet, kung saan ang mga potensyal na umiiral para sa pagharang ng mga fraudsters. Kung ang data ay makakakuha ng siphon off kapag ito ay naka-encrypt, ito ay halos walang silbi sa mga magnanakaw.

Bawasan ang Iyong "CDE" Ang bawat computer system, filing cabinet at application na gumagamit o nag-iimbak ng sensitibong data ng card, kabilang ang naka-encrypt na data, ay bahagi ng pangkalahatang data ng kapaligiran ng cardholder (CDE) at sa saklaw ng pagsunod sa PCI DSS. Sa ibang salita, ang higit pang mga lugar na mayroon kang data, ang higit pang mga lugar na kailangan mong mag-alala tungkol sa pagprotekta.

Limitado - at kahit na pag-urong - ang saklaw ng iyong CDE sa pamamagitan ng paghihigpit sa paggamit ng data ng cardholder sa mga application na iyon lamang na nauugnay sa mga pagbabayad (hal., Authentication ng transaksyon, pang-araw-araw na pag-aayos at chargeback).

Maghanda ng Tokenization Ang Tokenization ay isang "layered" na pandagdag sa pag-encrypt. Ang data ng cardholder ay ipinadala sa isang sentralisadong at lubos na secure na server (vault) pagkatapos ng awtorisasyon, at isang random na natatanging numero (token) ay binuo at ibabalik sa mga sistema ng negosyo 'para gamitin kung saan ang normal na paggamit ng cardholder data.

Ang token ay tiyak sa card at maaari pa ring magamit upang iproseso ang mga pagbalik, subaybayan ang mga gawi sa paggasta at iba pang mga function ng negosyo, ngunit ang numero mismo ay walang halaga para sa mga manloloko. Maaari itong makabuluhang bawasan ang epekto ng isang potensyal na paglabag sa data.

Ang Tokenization ay maaari ring makatulong na mabawasan ang saklaw ng CDE dahil walang data cardholder na naroroon. Ang mga negosyo na nagpapalit ng data ng cardholder na may mga token sa lahat ng kanilang mga application ng enterprise ay maaaring makabuluhang bawasan ang saklaw ng kanilang CDE, at pagkatapos ay bawasan ang saklaw at gastos ng PCI DSS na pagsunod at taunang mga pagsusuri / quarterly na pag-scan.

Magtrabaho sa isang Third Party Ang isa pang paraan upang paliitin ang kapaligiran na napapailalim sa pagsunod sa PCI ay upang ibigay ang responsibilidad (at pananagutan) para sa pagtatago ng data ng card sa isang third-party service provider. Halimbawa, ang isang negosyo ay maaaring magpadala ng naka-encrypt na data ng card sa processor ng pagbabayad para sa awtorisasyon, at kapag ang awtorisadong tugon ay ibinalik, ang isang tokenized na numero ay ipinapadala din sa negosyo.

Ang diskarte sa pag-encrypt at tokenization na ito ay lumalawak din sa CDE ng negosyo sa pinakamaliit na posibleng bakas ng paa: ang sistema ng POS na nagtataglay ng live, data ng pre-authorization card.

Itaas ang iyong kamay May pananagutan ang mga negosyo na protektahan ang data ng kanilang mga customer, ngunit hindi mo kailangang gawin ito nang mag-isa. Makipag-usap sa iyong provider ng pagbabayad tungkol sa mga solusyon at mga eksperto na makakatulong sa iyong negosyo na makakuha at manatiling sumusunod. Tandaan, ang PCI DSS ay isang minimum na pamantayan, at ang paghahanap ng tamang (mga) kasosyo ay makakatulong sa iyo na gumawa ng mga matalinong desisyon kung paano pinakamahusay na pangalagaan ang iyong mga customer - at potensyal na iyong negosyo.

1