Спестете пари, намалете риска чрез опростяване на PCI съответствието

Anonim

Приемате ли кредитни или дебитни плащания в бизнеса си? Ако е така, шансовете са, че трябва да спазвате стандарта за защита на данните за индустрията на платежните карти (PCI DSS).

PCI DSS установява минимални мерки за сигурност на данните за организации от цял ​​свят, които държат, обработват или обменят информация за притежателите на карти от някоя от основните марки на карти. Стандартите се преразглеждат на всеки две години и най-скоро бяха ревизирани през октомври 2010 г.

$config[code] not found

Според проучване на Националната федерация за търговия на дребно и First Data, 86% от респондентите от малкия и среден бизнес заявяват, че се интересуват от защитата на информацията за картата на клиентите и чувството, че сигурността им е важна за бизнеса им. Но докато повечето (66%) са запознати с PCI DSS, само 49% са завършили необходимата самооценка по време на проучването.

Защитата на данните на притежателите на карти може да изглежда скъпа и малко преобладаваща за собствениците на малък бизнес, повечето от които вече носят много шапки. Въпреки това финансовите и репутационните разходи на нарушението могат да бъдат значителни - в някои случаи изцяло застрашавате бизнеса ви.

Но откъде да започнем? Надяваме се, че вече сте ограничили физическия достъп до информацията за картодържателите и актуализирайте антивирусния софтуер. Допълнителни начини за повишаване на сигурността на данните при управление на разходите за съответствие:

Шифроване на чувствителни данни Вероятно най-важната мярка, която един бизнес може да предприеме, за да защити информацията на картодържателя, е да криптира данните за картите веднага след като картата бъде прехвърлена на мястото на продажба. Информацията трябва да остане в криптирано състояние, докато се предава на платежния процесор.

Тази стъпка означава, че транзакцията никога не се предава в обикновен текст в рамковото препредаване, комутируема връзка или интернет връзка, където съществува потенциал за прихващане от измамници. Ако данните се изтласкват след като бъдат криптирани, то е практически безполезно за крадците.

Намалете „CDE“ Всяка компютърна система, картотека и приложение, което използва или съхранява чувствителни данни от карти, включително криптирани данни, е част от общата среда за данни на картодържателя (CDE) и в рамките на PCI DSS съответствие. С други думи, колкото повече места имате, толкова повече места трябва да се притеснявате за защита.

Ограничете - и дори намалете - обхвата на Вашия CDE, като ограничите използването на данни за картодържателите само до приложенията, които се отнасят директно до плащанията (например удостоверяване на транзакции, ежедневни плащания и възстановяване на суми).

Тонизация на прегръдките Токенизацията е „пластово“ допълнение към криптирането. Данните от картодържателя се изпращат до централизиран и високо защитен сървър (хранилище) след упълномощаване, и произволен уникален номер (токенът) се генерира и се връща към бизнес системите за използване, където обикновено се използват данните на картодържателя.

Токенът е специфичен за картата и все още може да се използва за обработка на връщанията, проследяване на навиците на разходите и други бизнес функции, но самият номер няма стойност за измамниците. Това може значително да намали въздействието на потенциално нарушение на данните.

Токенизацията може също да спомогне за намаляване на обхвата на CDE, тъй като няма налични данни за картодържателя. Предприятията, които заменят данните на картодържателите с токени във всичките им корпоративни приложения, могат значително да намалят обхвата на своите CDE и впоследствие да намалят обхвата и разходите за съответствие на PCI DSS и годишни оценки / тримесечни сканирания.

Работете с трета страна Друг начин за свиване на средата, която е обект на PCI съответствие, е да се прехвърли отговорността (и отговорността) за съхраняване на данни от карти на трети доставчик на услуги. Например, бизнесът може да изпраща криптирани данни към процесора за плащания за упълномощаване, а когато се върне оторизираният отговор, на бизнеса се изпраща и токенизиран номер.

Този подход покрива шифроването и токенизацията, като същевременно свива бизнес CDE до възможно най-малък отпечатък: POS-системата, която съдържа живи данни за предварителна оторизация.

Вдигни ръка Предприятията носят отговорност да защитават данните на своите клиенти, но не е нужно да го правите сами. Говорете с вашия доставчик на плащания за решения и експерти, които могат да помогнат на вашия бизнес да се справи и да остане в съответствие. Не забравяйте, че PCI DSS е минимален стандарт и намирането на подходящия партньор или партньори може да ви помогне да вземете разумни решения за това как най-добре да защитите клиентите си и потенциално вашия бизнес.

1