Ar priimate kredito ar debeto mokėjimus savo versle? Jei taip, yra tikimybė, kad turite laikytis Mokėjimo kortelių pramonės duomenų apsaugos standarto (PCI DSS).
PCI DSS nustato minimalias duomenų saugumo priemones organizacijoms visame pasaulyje, turinčias, apdorojančias ar keičiantis kortelės turėtojo informaciją iš bet kurių pagrindinių kortelių prekių ženklų. Standartai peržiūrimi kas dvejus metus, o paskutiniai pakeitimai buvo atlikti 2010 m. Spalio mėn.
$config[code] not foundRemiantis Nacionalinės mažmeninės prekybos federacijos ir „First Data“ atliktu tyrimu, 86 proc. Mažų ir vidutinių verslo respondentų teigė, kad jie rūpinasi, kad kliento kortelės informacija būtų saugi ir kad jų duomenų saugumas yra svarbus jų verslui. Tačiau, nors dauguma (66 proc.) Žino apie PCI DSS, tik 49 proc. Apklausos metu atliko reikiamą savęs vertinimą.
Kortelės turėtojo duomenų apsauga gali atrodyti brangi ir šiek tiek didelė mažųjų įmonių savininkams, kurių dauguma jau dėvi daug skrybėlių. Tačiau finansinės ir reputacijos išlaidos, susijusios su pažeidimu, gali būti reikšmingos - kai kuriais atvejais tai gali kelti pavojų jūsų verslui.
Bet kur pradėti? Tikimės, kad jau apribosite fizinę prieigą prie kortelės turėtojo informacijos ir atnaujinsite antivirusinę programinę įrangą. Toliau pateikiami papildomi būdai, kaip galite žymiai padidinti duomenų saugumą, o valdyti atitikties išlaidas:
Šifruoti jautrius duomenis Tikriausiai vienintelė svarbiausia priemonė, kurią įmonė gali imtis, kad apsaugotų kortelės turėtojo informaciją, yra šifruoti kortelės duomenis iš karto po to, kai kortelė yra perkeliama į pardavimo vietą. Informacija turėtų būti saugoma užšifruotoje būsenoje, kai ji perduodama mokėjimo procesui.
Šis žingsnis reiškia, kad sandoris niekuomet neperduodamas paprastu tekstu rėmelių relės, telefono ryšio ar interneto ryšio, kur yra sukčiavimo galimybė, perėmimui. Jei duomenys užšifruoti, kai jie yra užšifruoti, vagims jie beveik nenaudingi. Sumažinkite „CDE“ Kiekviena kompiuterinė sistema, rinkmenų spinta ir programa, kuri naudoja ar saugo jautrius kortelės duomenis, įskaitant šifruotus duomenis, yra bendros kortelės turėtojo duomenų aplinkos (CDE) dalis ir pagal PCI DSS atitikimą. Kitaip tariant, kuo daugiau vietų turite duomenų, tuo daugiau vietų reikia nerimauti dėl apsaugos.
Apribokite ir net sumažinkite savo CDE taikymo sritį, apribodami kortelių turėtojo duomenų naudojimą tik toms programoms, kurios tiesiogiai susijusios su mokėjimais (pvz., Sandorių autentifikavimas, dienos atsiskaitymai ir apmokėjimai). Apskaičiuoti tokenizavimą Tokenizavimas yra „sluoksniuotas“ papildymas šifravimui. Kortelės turėtojo duomenys siunčiami į centralizuotą ir labai saugų serverį (saugyklą) po leidimo suteikimo, o atsitiktinis unikalus numeris (raktas) generuojamas ir grąžinamas į verslo sistemas naudoti visur, kur paprastai naudojami kortelės turėtojo duomenys.
Ženklas yra būdingas kortai ir vis dar gali būti naudojamas grąžinti, sekti išlaidų įpročius ir kitas verslo funkcijas, tačiau pats numeris neturi reikšmės sukčiai. Tai gali smarkiai sumažinti galimo duomenų pažeidimo poveikį. Tokenizavimas taip pat gali padėti sumažinti CDE apimtį, nes nėra kortelių turėtojo duomenų. Įmonės, pakeičiančios kortelės turėtojo duomenis žetonų visose jų verslo programose, gali žymiai sumažinti savo CDE apimtį, o vėliau sumažinti PCI DSS atitikties ir metinių įvertinimų / ketvirtinių patikrinimų apimtį ir kainą. Darbas su trečiąja šalimi Kitas būdas susilpninti aplinką, kuriai taikomas PCI, yra perduoti atsakomybę (ir atsakomybę) už kortelės duomenų saugojimą trečiosios šalies paslaugų teikėjui. Pavyzdžiui, įmonė gali siųsti užšifruotus kortelės duomenis mokėjimų procesoriui, kad gautų leidimą, ir kai grąžinamas įgaliotas atsakymas, verslui taip pat siunčiamas simbolinis numeris.
Šis požiūris slopina šifravimą ir tokenizavimą, taip pat mažina verslo CDE iki mažiausio galimo pėdsako: POS sistemos, kurioje yra gyvi, prieš leidimo išduodantys kortelės duomenys. Pakelk savo ranką Įmonės yra atsakingos už savo klientų duomenų apsaugą, tačiau jūs neturite to daryti vieni. Pasitarkite su savo mokėjimo paslaugų teikėju apie sprendimus ir ekspertus, kurie gali padėti jūsų verslui gauti ir laikytis reikalavimų. Atminkite, kad „PCI DSS“ yra minimalus standartas, o tinkamo (-ių) partnerio (-ių) paieška gali padėti jums priimti protingus sprendimus, kaip geriausiai apsaugoti klientus - ir galbūt jūsų verslą.
1