Prijímate kreditné alebo debetné platby vo vašej firme? Ak áno, je pravdepodobné, že musíte dodržiavať štandard platobnej karty pre priemyselné dáta (PCI DSS).
Spoločnosť PCI DSS stanovuje minimálne bezpečnostné opatrenia pre organizácie po celom svete, ktoré uchovávajú, spracovávajú alebo vymieňajú informácie o držiteľoch kariet z ktorejkoľvek z hlavných značiek kariet. Normy sa skúmajú každé dva roky a boli nedávno revidované v októbri 2010.
$config[code] not foundPodľa štúdie Národnej maloobchodnej federácie a First Data 86 percent respondentov malých a stredných podnikov uviedlo, že sa zaujímajú o to, aby boli informácie o kartách zákazníkov bezpečné a cítili, že ich bezpečnosť je dôležitá pre ich podnikanie. Zatiaľ čo väčšina (66%) vie o PCI DSS, iba 49% absolvovalo požadované sebahodnotenie v čase prieskumu.
Chránenie údajov o držiteľoch kariet sa môže zdať drahé a trochu ohromujúce pre majiteľov malých podnikov, z ktorých väčšina už nosí veľa klobúkov. Avšak finančné a reputačné náklady na porušenie môžu byť významné - v niektorých prípadoch ohrozujú vaše podnikanie úplne.
Ale kde začať? Dúfajme, že už obmedzujete fyzický prístup k informáciám o držiteľoch kariet a aktualizujete antivírusový softvér. Tu sú ďalšie spôsoby, ako môžete výrazne zvýšiť bezpečnosť dát pri spravovaní nákladov na dodržiavanie predpisov:
Šifrovanie citlivých údajov Pravdepodobne najdôležitejším opatrením, ktoré podnik môže podniknúť na ochranu informácií o držiteľoch kariet, je šifrovanie údajov o kartách bezprostredne po tom, čo bola karta preložená v mieste predaja. Informácie by mali zostať v šifrovanom stave, kým budú odoslané spracovateľovi platby.
Tento krok znamená, že transakcia sa nikdy neprenáša v obyčajnom texte v rámcovom relé, dial-up alebo pripojení na internet, kde existuje potenciál pre odpočúvanie podvodníkov. Ak sa dáta dostanú sifónované, akonáhle je zašifrované, prakticky zbytočné sú zlodeji. Znížte svoje "CDE" Každý počítačový systém, kartotéka a aplikácia, ktorá používa alebo ukladá údaje citlivých kariet, vrátane zašifrovaných údajov, je súčasťou celkového prostredia údajov o držiteľoch kariet (CDE) av rámci rozsahu súladu s PCI DSS. Inými slovami, čím viac miest máte údaje, tým viac miest sa musíte starať o ochranu.
Limitujte a dokonca zmenšujte rozsah vášho CDE obmedzením používania údajov o držiteľoch kariet len na tie aplikácie, ktoré priamo súvisia s platbami (napr. Autentifikácia transakcií, denné zúčtovanie a spätné zúčtovanie). Objavte tokenizáciu Tokenizácia je "vrstvený" doplnok šifrovania. Držitelia kariet sa po autorizácii posielajú na centralizovaný a vysoko bezpečný server (trezor) a vygeneruje sa náhodne jedinečné číslo (token) a vráti sa do podnikových systémov na použitie tam, kde by sa normálne používali údaje držiteľa karty.
Token je špecifický pre kartu a môže byť ešte použitý na spracovanie výnosov, sledovanie výdavkov a ďalších obchodných funkcií, ale samotné číslo nemá žiadnu hodnotu pre podvodníkov. To môže výrazne znížiť vplyv možného narušenia údajov. Tokenizácia môže tiež pomôcť znížiť rozsah CDE, pretože nie sú k dispozícii žiadne údaje o držiteľovi karty. Podniky, ktoré nahrádzajú údaje držiteľov kariet so všetkými svojimi podnikovými aplikáciami, môžu významne znížiť rozsah ich CDE a následne znížiť rozsah a náklady na dodržiavanie PCI DSS a ročné hodnotenia / štvrťročné kontroly. Práca s treťou stranou Ďalším spôsobom, ako zmenšiť prostredie, na ktoré sa vzťahuje PCI, je odovzdať zodpovednosť (a zodpovednosť) za ukladanie údajov z karty poskytovateľovi služieb tretej strany. Napríklad firma môže poslať šifrované dáta karty spracovateľovi platieb na autorizáciu a po vrátení autorizovanej odpovede sa podnikom odošle aj tokenované číslo.
Tento prístup šifruje vrstvu a tokenizáciu, pričom zároveň znižuje podnikové CDE na čo najmenšiu možnú stopu: systém POS, ktorý uchováva živé predbežné údaje o kartách. Zdvihni ruku Podniky majú zodpovednosť za ochranu údajov svojich zákazníkov, ale nemusíte to robiť sami. Porozprávajte sa s poskytovateľom platieb o riešeniach a expertoch, ktoré vám môžu pomôcť dosiahnuť vašu firmu a dodržať ju. Pamätajte, že PCI DSS je minimálny štandard a nájdenie správneho partnera (partnerov) vám môže pomôcť pri rozhodovaní o tom, ako najlepšie ochrániť svojich zákazníkov - a potenciálne aj vašu firmu.
1