Estalvieu diners, redueixi el risc simplificant la compatibilitat amb PCI

Anonim

Accepteu pagaments de crèdit o de dèbit al vostre negoci? Si és així, és probable que hagueu de complir la Norma de seguretat de dades de la indústria de la targeta de pagament (PCI DSS).

PCI DSS estableix mesures mínimes de seguretat de dades per a organitzacions de tot el món que mantenen, processen o canvien informació de titulars de qualsevol de les principals marques de targetes. Els estàndards es revisen cada dos anys, i es van revisar recentment a l'octubre de 2010.

$config[code] not found

Segons un estudi de la Federació Nacional de Retail i First Data, el 86 per cent dels petits i mitjans empresaris respon que es preocupen per mantenir la informació de la targeta de client segura i que la seguretat de les dades de la targeta és important per al seu negoci. Però mentre la majoria (66 per cent) són conscients de PCI DSS, només el 49 per cent havia completat una autoavaluació obligatòria en el moment de l'enquesta.

Protegir les dades dels titulars de targetes pot semblar car i una mica aclaparador per als petits empresaris, la majoria dels quals ja porten molts barrets. Tanmateix, els costos financers i de reputació d'un incompliment poden ser significatius, en alguns casos perjudicant al vostre negoci.

Però per on començar? Espero que ja limiteu l'accés físic a la informació de la targeta i mantingueu actualitzat el programari antivirus. A continuació, es mostren formes addicionals per augmentar significativament la seguretat de les dades mentre es gestionen els costos de compliment:

Cifrar dades sensibles Probablement, la mesura més important que una empresa pot adoptar per protegir la informació dels titulars és xifrar les dades de la targeta immediatament després de la transferència de la targeta al punt de venda. La informació s'ha de mantenir en un estat xifrat mentre es transmet al processador de pagaments.

Aquest pas implica que la transacció mai no es transmet en text pla en el relé de marc, en l'accés telefònic o en la connexió a Internet, on existeix el potencial per a la intercepció dels estafadors. Si les dades s'aprofiten una vegada que està xifrat, és pràcticament inútil per als lladres.

Redueix el teu "CDE" Tot sistema informàtic, gabinet de presentació i aplicació que utilitza o emmagatzema dades de la targeta sensible, incloses les dades xifrades, forma part de l'entorn general de dades del titular de la targeta (CDE) i dins de l'abast del compliment de PCI DSS. Dit d'una altra manera, com més llocs tinguis dades, més llocs hauràs de preocupar-te per protegir-te.

Limiteu i fins i tot reduïu l'abast del vostre CDE restringint l'ús de les dades del titular a només aquelles aplicacions que pertanyin directament als pagaments (p. Ex., L'autenticació de transaccions, els assentaments diaris i les retrocessions).

Abraçar la localització La localització és un complement "en capes" per al xifratge. Les dades del titular es envien a un servidor centralitzat i altament segur (volta) després de l'autorització, i es genera un número aleatori únic (el token) i es tornen als sistemes d'ús del negoci sempre que les dades del titular siguin normalment utilitzades.

El testimoni és específic de la targeta i encara es pot utilitzar per processar retorns, seguir els hàbits de despesa i altres funcions empresarials, però el nombre no té valor per als estafadors. Això pot reduir dràsticament l'impacte d'una possible infracció de dades.

La localització també pot ajudar a reduir l'abast del CDE perquè no hi ha dades sobre els titulars de la targeta. Les empreses que substitueixen les dades dels titulars amb fitxes en totes les seves aplicacions empresarials poden reduir significativament l'abast del CDE i, posteriorment, reduir l'abast i el cost del compliment de PCI DSS i les avaluacions anuals / escaneigs trimestrals.

Treballar amb un tercer Una altra forma de reduir el medi ambient que està subjecte al compliment de PCI és lliurar la responsabilitat (i la responsabilitat) per emmagatzemar les dades de la targeta a un proveïdor de serveis de tercers. Per exemple, una empresa pot enviar dades de la targeta xifrada al processador de pagaments per obtenir l'autorització, i quan es retorna la resposta autoritzada, també s'envia un número tokenitzat al negoci.

Aquest enfocament de capes de xifrat i tokenization, alhora que redueix el CDE d'una empresa a la mínima empremta possible: el sistema POS que conté dades de la targeta en temps real i preautorització.

Aixeca la mà Les empreses tenen la responsabilitat de protegir les dades dels seus clients, però no heu de fer-ho sol. Parleu amb el vostre proveïdor de pagaments sobre solucions i experts que poden ajudar al vostre negoci a complir-se. Recordeu que PCI DSS és un estàndard mínim i trobar el (s) partner (s) adequat (s) pot ajudar-vos a prendre decisions intel·ligents sobre com protegir millor als vostres clients i, potencialment, a la vostra empresa.

1