Hyväksytkö yrityksesi luotto- tai maksumaksut? Jos näin on, on todennäköistä, että sinun on noudatettava maksukorttialan tietoturvastandardia (PCI DSS).
PCI DSS luo minimi tietoturvatoimenpiteitä organisaatioille ympäri maailmaa, jotka pitävät, käsittelevät tai vaihtavat kortinhaltijan tietoja kaikista suurimmista korttimerkkeistä. Standardit tarkistetaan kahden vuoden välein, ja niitä tarkistettiin viimeksi lokakuussa 2010.
$config[code] not foundNational Retail Federationin ja First Datain tekemän tutkimuksen mukaan 86 prosenttia pienistä ja keskisuurista yrityksistä vastaajista ilmoitti olevansa huolissaan siitä, että asiakkaiden korttitiedot ovat turvallisia ja että korttitietojen turvallisuus on tärkeää heidän liiketoiminnalleen. Mutta vaikka suurin osa (66 prosenttia) on tietoinen PCI DSS: stä, vain 49 prosenttia oli suorittanut vaaditun itsearvioinnin tutkimuksen aikana.
Kortinhaltijoiden tietojen suojaaminen voi tuntua kalliilta ja hieman ylivoimaiselta pienyritysten omistajille, joista useimmat käyttävät jo paljon hattuja. Rikkomisen taloudelliset ja maineelliset kustannukset voivat kuitenkin olla merkittäviä - joissakin tapauksissa vaarantavat yrityksesi kokonaan.
Mutta mistä aloittaa? Toivottavasti jo rajoitat fyysistä pääsyä kortinhaltijan tietoihin ja pidätte virustorjuntaohjelmistoa ajan tasalla. Seuraavassa on muita tapoja, joilla voit lisätä merkittävästi tietoturvaa hallitsemalla sääntöjen noudattamisesta aiheutuvia kustannuksia:
Salaa arkaluonteiset tiedot Todennäköisesti ainoa tärkein toimenpide, jonka yritys voi toteuttaa kortinhaltijan tietojen suojaamiseksi, on korttitietojen salaaminen heti kortin pyyhkäisyn jälkeen myyntipisteessä. Tietojen tulisi pysyä salatussa tilassa, kun se lähetetään maksuprosessorille.
Tämä vaihe tarkoittaa, että tapahtumaa ei koskaan lähetetä pelkkänä tekstikehyksenä kehysreleessä, puhelinverkkoyhteydessä tai Internet-yhteydessä, jossa on mahdollista, että petostajat voivat siepata. Jos tiedot siphonoidaan, kun se on salattu, varkaille on käytännössä hyödytöntä. Vähennä “CDE” Jokainen tietokonejärjestelmä, arkistokaappi ja sovellus, joka käyttää tai tallentaa arkaluonteisia korttitietoja, myös salattuja tietoja, on osa koko kortinhaltijan tietokeskusta (CDE) ja PCI DSS -yhteensopivuuden puitteissa. Toisin sanoen, mitä enemmän paikkoja sinulla on tietoja, sitä enemmän paikkoja sinun täytyy huolehtia suojaamisesta.
Rajoita - ja jopa pienennä - CDE: n laajuutta rajoittamalla kortinhaltijan tietojen käyttöä vain sellaisiin sovelluksiin, jotka liittyvät suoraan maksuihin (esim. Tapahtumien todentaminen, päivittäiset maksut ja palautukset). Embrace Tokenization Tokenisointi on "kerrostettu" täydennys salaukseen. Kortinhaltijan tiedot lähetetään keskitetylle ja erittäin turvalliselle palvelimelle (holville) valtuutuksen jälkeen, ja satunnainen yksilöllinen numero (merkki) luodaan ja palautetaan yrityksen järjestelmiin käytettäväksi missä tahansa kortinhaltijan tietoja käytetään normaalisti.
Merkki on kortille ominainen ja sitä voidaan edelleen käyttää palautusten käsittelyyn, kulutustottumusten ja muiden liiketoimintojen seurantaan, mutta numerolla itsessään ei ole arvoa petoksille. Tämä voi dramaattisesti vähentää mahdollisen tietosuojan rikkomista. Tokenointi voi myös auttaa vähentämään CDE: n laajuutta, koska kortinhaltijan tietoja ei ole. Yritykset, jotka korvaavat kortinhaltijan tietoja rahakkeilla kaikilla yrityksissään sovelluksillaan, voivat merkittävästi vähentää CDE: n laajuutta ja vähentää PCI-DSS-vaatimusten noudattamista ja vuosittaisia arviointeja / neljännesvuosittaisia tarkistuksia. Työskentele kolmannen osapuolen kanssa Toinen tapa pienentää PCI-vaatimusten mukaista ympäristöä on luovuttaa korttitietojen tallentamiseen liittyvä vastuu (ja vastuu) kolmannen osapuolen palveluntarjoajalle. Esimerkiksi yritys voi lähettää salattuja korttitietoja maksuprosessorille valtuutusta varten, ja kun valtuutettu vastaus palautetaan, yritykselle lähetetään myös tokenoitu numero.
Tämä lähestymistapa kertoo salauksen ja tokenisoinnin samalla kun kutistetaan yrityksen CDE: n pienin mahdollinen jalanjälki: POS-järjestelmä, jossa on live-kortin tiedot. Nosta kätesi Yrityksillä on velvollisuus suojella asiakkaiden tietoja, mutta sinun ei tarvitse tehdä sitä yksin. Keskustele maksupalveluntarjoajan kanssa ratkaisuista ja asiantuntijoista, jotka voivat auttaa yritystäsi saamaan ja pysymään vaatimusten mukaisena. Muista, että PCI DSS on vähimmäisstandardi, ja oikean kumppanin löytäminen voi auttaa sinua tekemään älykkäitä päätöksiä siitä, miten parhaiten turvataan asiakkaasi - ja mahdollisesti yrityksesi.
1