האם אתה מקבל את תשלומי האשראי או החיוב בעסק שלך? אם כן, רוב הסיכויים שעליך לעמוד בתקן האבטחה של נתוני כרטיס התשלום (PCI DSS).
PCI DSS קובע אמצעי אבטחה מינימליים לארגונים ברחבי העולם המחזיקים, מעבדים או מעבירים מידע של מחזיקי כרטיסי אשראי מכל אחד מהמותגים הגדולים של הכרטיס. הסטנדרטים נבדקים אחת לשנתיים, והם תוקנו לאחרונה באוקטובר 2010.
$config[code] not foundעל פי מחקר של הפדרציה הקמעונאית הלאומית ונתונים ראשונים, 86 אחוזים מהמשיבים לעסקים קטנים ובינוניים אמרו כי חשוב להם לשמור על אבטחת פרטי כרטיס האשראי ולהרגיש את אבטחת נתוני הכרטיס חשוב לעסק שלהם. אבל בעוד שרובם (66%) מודעים ל- PCI DSS, רק 49% השלימו הערכה עצמית נדרשת בזמן הסקר.
הגנה על הנתונים cardholder נראה יקר קצת מכריע לבעלי עסקים קטנים, רובם כבר ללבוש כובעים רבים. עם זאת, עלויות כספיות מוניטין של הפרה יכול להיות משמעותי - במקרים מסוימים לסכן את העסק שלך לגמרי.
אבל היכן להתחיל? אני מקווה שאתה כבר להגביל גישה פיזית למידע cardholder ולשמור תוכנות אנטי וירוס מעודכן. להלן דרכים נוספות להגדלת אבטחת הנתונים באופן משמעותי בעת ניהול עלויות התאימות:
הצפנת נתונים רגישים סביר להניח כי המדד החשוב ביותר כי העסק יכול לנקוט כדי להגן על מידע הכרטיס הוא להצפין נתונים כרטיס מיד לאחר הכרטיס הוא סחב בנקודת המכירה. המידע צריך להישאר במצב מוצפן בזמן שהוא מועבר למעבד התשלומים.
צעד זה אומר העסקה לעולם לא מועבר בטקסט רגיל ממסגרת המסגרת, חיוג או חיבור לאינטרנט, שם הפוטנציאל קיים יירוט על ידי הרמאים. אם הנתונים מקבלים siphoned את זה פעם הוא מוצפן, זה כמעט חסר תועלת גנבים. הפחתת "CDE" כל מערכת מחשב, ארון תיוק ויישום המשתמש או מאחסן נתוני כרטיס רגישים, כולל נתונים מוצפנים, הוא חלק מסביבת הנתונים הכוללת של מחזיקי הכרטיס (CDE) ובתחום תאימות ה- PCI DSS. במילים אחרות, יותר מקומות יש לך נתונים, יותר מקומות אתה צריך לדאוג להגנה.
הגבל - ואפילו התכווץ - את היקף ה- CDE שלך על ידי הגבלת השימוש בנתונים של מחזיקי כרטיס רק ליישומים הקשורים ישירות לתשלומים (למשל, אימות עסקאות, התנחלויות יומיות וחיוב חוזר). לחבק את הטוקניזציה Tokenization הוא משלים "מרובד" הצפנה. נתוני כרטיס האשראי נשלחים לשרת מרכזי ומאובטחת לאחר אישור, ומספר אקראי ייחודי (האסימון) נוצר ומוחזר למערכות העסקיות לשימוש בכל מקום שבו נעשה שימוש בנתוני הכרטיס.
האסימון הוא ספציפי לכרטיס ועדיין ניתן להשתמש בו כדי לעבד תשואות, לעקוב אחר הרגלי ההוצאות ופונקציות עסקיות אחרות, אבל המספר עצמו אין ערך עבור הרמאים. זה יכול להפחית באופן דרמטי את ההשפעה של הפרת נתונים פוטנציאליים. Tokenization יכול גם לעזור להפחית את היקף CDE כי אין נתונים מחזיק הכרטיס הנוכחי. עסקים המחליפים את נתוני מחזיקי הכרטיס עם אסימונים בכל היישומים הארגוניים שלהם יכולים להפחית באופן משמעותי את היקף ה- CDE שלהם, ולאחר מכן להפחית את היקף ועלות תאימות ה- PCI DSS והערכות שנתיות / סריקות רבעוניות. עבודה עם צד שלישי דרך נוספת לכווץ את הסביבה הכפופה לתאימות PCI היא למסור את האחריות (ואת האחריות) לאחסון נתוני כרטיסים לספק שירות של ספק חיצוני. לדוגמה, עסק יכול לשלוח נתוני כרטיס מוצפן למעבד התשלומים עבור הרשאה, וכאשר יוחזר לתגובה המורשית, נשלח גם מספר מקושר לעסק.
גישה זו שכבות הצפנה ו tokenization גם בעת התכווצות של CDE העסק על טביעת הרגל הקטן ביותר האפשרי: מערכת קופה המחזיקה, נתוני אישור מראש כרטיס חי. תרים את היד עסקים יש אחריות להגן על הנתונים של הלקוחות שלהם, אבל אתה לא צריך לעשות את זה לבד. שוחח עם ספק התשלומים שלך על פתרונות ומומחים שיכולים לסייע לעסק שלך לקבל ולהישאר תואם. זכור, PCI DSS הוא תקן מינימלי, ומציאת השותף הנכון (ים) יכול לעזור לך לקבל החלטות חכמות על איך להגן בצורה הטובה ביותר על הלקוחות שלך - ואת פוטנציאל העסק שלך.
1