Czy akceptujesz płatności kredytowe lub debetowe w swojej firmie? Jeśli tak, to prawdopodobnie musisz przestrzegać standardu bezpieczeństwa danych w zakresie kart płatniczych (PCI DSS).
PCI DSS ustanawia minimalne środki bezpieczeństwa danych dla organizacji na całym świecie, które przechowują, przetwarzają lub wymieniają informacje o posiadaczach kart od jednej z głównych marek kart. Standardy są weryfikowane co dwa lata, a ostatnio zostały zmienione w październiku 2010 roku.
$config[code] not foundWedług badań przeprowadzonych przez National Retail Federation i First Data, 86 procent respondentów małych i średnich firm twierdzi, że zależy im na bezpieczeństwie danych karty klienta i czuje, że bezpieczeństwo danych karty jest ważne dla ich działalności. Ale podczas gdy większość (66 procent) wie o PCI DSS, tylko 49 procent ukończyło wymaganą samoocenę w czasie badania.
Ochrona danych posiadaczy kart może wydawać się droga i nieco przytłaczająca dla właścicieli małych firm, z których większość nosi już wiele czapek. Jednak finansowe i reputacyjne koszty naruszenia mogą być znaczące - w niektórych przypadkach całkowicie zagrażają Twojemu biznesowi.
Ale od czego zacząć? Mamy nadzieję, że już ograniczysz fizyczny dostęp do informacji o posiadaczach kart i aktualizujesz oprogramowanie antywirusowe. Oto dodatkowe sposoby na znaczne zwiększenie bezpieczeństwa danych przy jednoczesnym zarządzaniu kosztami zgodności:
Szyfruj poufne dane Prawdopodobnie najważniejszym środkiem, który firma może podjąć w celu ochrony informacji o posiadaczu karty, jest zaszyfrowanie danych karty natychmiast po jej wymianie w punkcie sprzedaży. Informacje powinny pozostać w stanie zaszyfrowanym, gdy są przesyłane do procesora płatności.
Ten krok oznacza, że transakcja nigdy nie jest transmitowana w postaci zwykłego tekstu w ramce przekazu, dial-up lub połączeniu z Internetem, gdzie istnieje potencjał do przechwycenia przez oszustów. Jeśli dane zostaną zignorowane po zaszyfrowaniu, są praktycznie bezużyteczne dla złodziei. Zredukuj swój "CDE" Każdy system komputerowy, szafka na dokumenty i aplikacja, która wykorzystuje lub przechowuje poufne dane karty, w tym zaszyfrowane dane, jest częścią ogólnego środowiska danych posiadacza karty (CDE) oraz w zakresie zgodności z PCI DSS. Innymi słowy, im więcej miejsc posiadasz danych, tym więcej miejsc musisz się martwić o ochronę.
Ograniczaj - a nawet zmniejszaj - zakres swojego CDE, ograniczając wykorzystanie danych posiadacza karty tylko do tych aplikacji bezpośrednio związanych z płatnościami (np. Uwierzytelnianie transakcji, codzienne rozliczenia i obciążenia zwrotne). Wykorzystaj proces tokenizacji Tokenizacja jest "warstwowym" uzupełnieniem szyfrowania. Dane posiadaczy kart są wysyłane do scentralizowanego i wysoce bezpiecznego serwera (przechowalni) po autoryzacji, a losowy unikalny numer (token) jest generowany i zwracany do systemów biznesowych do użycia wszędzie tam, gdzie dane posiadacza karty byłyby normalnie używane.
Token jest specyficzny dla karty i nadal może być używany do przetwarzania zwrotów, śledzenia zwyczajów związanych z wydatkami i innych funkcji biznesowych, ale sama liczba nie ma wartości dla oszustów. Może to dramatycznie zmniejszyć wpływ potencjalnego naruszenia bezpieczeństwa danych. Tokenizacja może również pomóc w ograniczeniu zakresu CDE, ponieważ nie ma danych o posiadaczu karty. Firmy, które zastępują dane posiadaczy kart z tokenami we wszystkich aplikacjach korporacyjnych, mogą znacząco zmniejszyć zakres ich CDE, a następnie zmniejszyć zakres i koszt zgodności PCI DSS i rocznych ocen / skanów kwartalnych. Pracuj z osobą trzecią Innym sposobem zmniejszenia środowiska, które podlega zgodności ze standardem PCI, jest przekazanie odpowiedzialności (i odpowiedzialności) za przechowywanie danych karty do zewnętrznego dostawcy usług. Na przykład firma może wysyłać dane zaszyfrowanej karty do procesora płatności w celu autoryzacji, a po zwróceniu autoryzowanej odpowiedzi do firmy wysyłany jest również tokenizowany numer.
Takie podejście zapewnia szyfrowanie i tokenizację, a jednocześnie zmniejsza CDE firmy do możliwie najmniejszego rozmiaru: system POS, który przechowuje bieżące dane karty przedautoryzacyjne. Podnieś rękę Firmy mają obowiązek chronić dane swoich klientów, ale nie musisz tego robić sam. Porozmawiaj z dostawcą usług płatniczych o rozwiązaniach i ekspertach, które pomogą Twojej firmie uzyskać zgodność z zasadami. Pamiętaj, że PCI DSS to minimalny standard, a znalezienie odpowiedniego partnera (ów) może pomóc w podejmowaniu mądrych decyzji dotyczących najlepszego zabezpieczenia klientów - i potencjalnie firmy.
1
