Ali v vašem podjetju sprejemate kreditna ali debetna plačila? Če je tako, je verjetno, da boste morali upoštevati Standard za varnost podatkov o industriji plačilnih kartic (PCI DSS).
PCI DSS vzpostavlja minimalne ukrepe za varnost podatkov za organizacije po vsem svetu, ki imajo, obdelujejo ali izmenjujejo informacije o imetnikih kartic iz katere koli glavne blagovne znamke kartic. Standardi se pregledajo vsaki dve leti in so bili nazadnje revidirani oktobra 2010.
$config[code] not foundGlede na študijo National Retail Federation in First Data je 86 odstotkov anketirancev malih in srednje velikih podjetij povedalo, da jim je vseeno, da bodo informacije o karticah kupcev varne in da je varnost podatkov kartice pomembna za njihovo poslovanje. Medtem ko se večina (66 odstotkov) zaveda, da je PCI DSS, je samo 49 odstotkov opravilo zahtevano samooceno v času raziskave.
Zaščita podatkov o imetnikih kartic se lahko zdi draga in malce prepričljiva lastnikom malih podjetij, od katerih jih večina že nosi veliko klobukov. Vendar pa so lahko finančni in ugledni stroški kršitve pomembni - v nekaterih primerih celo ogrožajo vaše poslovanje.
Toda kje začeti? Upajmo, da ste že omejili fizični dostop do informacij o imetniku kartice in posodabljali protivirusno programsko opremo. Tukaj je še več načinov, kako lahko bistveno povečate varnost podatkov in upravljate stroške usklajevanja:
Šifrirajte občutljive podatke Verjetno je najpomembnejši ukrep, ki ga lahko podjetje sprejme za zaščito podatkov o imetnikih kartice, šifriranje podatkov o kartici takoj, ko je kartica na prodajnem mestu. Med prenosom v procesor plačila morajo informacije ostati v šifriranem stanju.
Ta korak pomeni, da se transakcija nikoli ne prenese v navadnem besedilu v okvirski releji, klicni povezavi ali internetni povezavi, kjer obstaja možnost prestrezanja goljufov. Če se podatki šifrirajo, se tatovi praktično neuporabni. Zmanjšajte svoj »CDE« Vsak računalniški sistem, omarica za arhiviranje in aplikacija, ki uporablja ali shrani občutljive podatke o kartici, vključno s šifriranimi podatki, je del celotnega podatkovnega okolja imetnika kartice (CDE) in v okviru skladnosti s PCI DSS. Z drugimi besedami, več mest, kjer imate podatke, več mest, ki jih morate skrbeti za zaščito.
Omejite - in celo skrčite - obseg vašega CDE tako, da omejite uporabo podatkov o imetnikih kartice samo na tiste aplikacije, ki se neposredno nanašajo na plačila (npr. Preverjanje pristnosti transakcij, dnevne poravnave in vračila). Tokenizacija zajemanja Tokenizacija je »večplastna« dopolnitev šifriranja. Podatki o imetnikih kartice se po odobritvi pošljejo centraliziranemu in zelo varnemu strežniku (trezor), naključni posebni številki (žeton) pa se ustvari in vrne v poslovne sisteme, kjer se običajno uporabljajo podatki o imetniku kartice.
Žeton je specifičen za kartico in se lahko še vedno uporablja za obdelavo vračil, sledenje porabnim navadam in drugim poslovnim funkcijam, toda samo število nima vrednosti za goljufe. To lahko dramatično zmanjša vpliv morebitne kršitve podatkov. Tokenizacija lahko tudi pomaga zmanjšati obseg CDE, ker ni podatkov o imetnikih kartice. Podjetja, ki zamenjujejo podatke o imetnikih kartic z žetoni v vseh njihovih poslovnih aplikacijah, lahko znatno zmanjšajo obseg njihovega CDE in posledično zmanjšajo obseg in stroške skladnosti PCI DSS in letne ocene / četrtletne preglede. Delo s tretjo osebo Drug način za zmanjšanje okolja, ki je predmet PCI skladnosti, je prenos odgovornosti (in odgovornosti) za shranjevanje podatkov o kartici ponudniku storitev tretje osebe. Podjetje lahko na primer pošlje podatke o šifrirani kartici obdelovalcu plačil za avtorizacijo, in ko se vrne pooblaščeni odziv, se podjetju pošlje tudi žigosana številka.
Ta pristop širi šifriranje in označevanje, hkrati pa zmanjšuje poslovno CDE na najmanjši možni odtis: sistem POS, ki vsebuje podatke v živo in podatke o predregistraciji. Dvigni roko Podjetja so odgovorna za zaščito podatkov svojih strank, vendar vam tega ni treba storiti sami. Pogovorite se s svojim ponudnikom plačil o rešitvah in strokovnjakih, ki lahko pomagajo vašemu podjetju doseči in ostati skladni. Ne pozabite, da je PCI DSS minimalni standard in da boste lahko našli pravega partnerja (-je), ki vam bo pomagal pri sprejemanju pametnih odločitev o tem, kako najbolje zaščititi svoje stranke - in potencialno vaše podjetje.
1