Acceptați plăți de credit sau de debit la compania dvs.? În acest caz, este posibil să aveți obligația de a respecta Standardul de securitate a datelor privind cardul de plată (PCI DSS).
PCI DSS stabilește măsuri minime de securitate a datelor pentru organizațiile din întreaga lume care dețin, procesează sau schimbă informații despre deținătorii de carduri de la oricare dintre marcile importante de carduri. Standardele sunt revizuite la fiecare doi ani și au fost revizuite cel mai recent în octombrie 2010.
$config[code] not foundPotrivit unui studiu realizat de Federația Națională pentru Retail și Prima Data, 86% dintre respondenții de afaceri mici și mijlocii au declarat că îi pasă de păstrarea siguranței informațiilor despre cardurile clienților și de faptul că securitatea datelor de pe card este importantă pentru afacerea lor. În timp ce majoritatea (66%) sunt conștienți de PCI DSS, doar 49% au realizat o autoevaluare necesară în momentul sondajului.
Protejarea datelor deținătorilor de carduri poate părea costisitoare și un pic copleșitoare pentru proprietarii de afaceri mici, cei mai mulți dintre aceștia purtând deja mai multe pălării. Cu toate acestea, costurile financiare și de reputație ale unei încălcări pot fi semnificative - în unele cazuri pun în pericol afacerea dvs. cu totul.
Dar de unde să începem? Sperăm că deja limitați accesul fizic la informațiile despre deținătorii de card și actualizați software-ul antivirus. Iată câteva modalități suplimentare prin care puteți crește semnificativ securitatea datelor în timp ce gestionați costurile de conformitate:
Criptați datele sensibile Probabil cea mai importantă măsură pe care o afacere o poate lua pentru a proteja informațiile despre deținătorul cardului este aceea de a cripta datele de pe card imediat după ce cardul este scos la punctul de vânzare. Informațiile trebuie să rămână într-o stare criptată în timp ce sunt transmise procesorului de plată.
Acest pas înseamnă că tranzacția nu este transmisă niciodată în text simplu în releu cadru, dial-up sau conexiune la Internet, unde există potențial pentru interceptare de către infractori. Dacă datele se sifonează odată ce sunt criptate, este practic inutilă pentru hoți. Reduceți "CDE" Fiecare sistem informatic, cabinetul de depozitare și aplicația care utilizează sau stochează datele sensibile ale cardurilor, inclusiv datele criptate, face parte din mediul general de date al posesorilor de carduri (CDE) și din domeniul de aplicare al conformității PCI DSS. Cu alte cuvinte, cu cât mai multe locuri aveți date, cu atât mai multe locuri trebuie să vă faceți griji cu privire la protejare.
Reduceți - și chiar micșorați - domeniul CDE prin restricționarea utilizării datelor deținătorilor de carduri doar la acele aplicații care se referă direct la plăți (de exemplu, autentificarea tranzacțiilor, decontările zilnice și taxele de returnare). Îmbrățișează tokenizarea Tokenizarea este o completare "stratificată" a criptării. Datele deținătorilor de carduri sunt trimise la un server (seif) centralizat și foarte securizat după autorizare, iar un număr aleator unic (jetonul) este generat și returnat sistemelor de afaceri pentru utilizare oriunde ar fi folosite în mod normal datele deținătorului cardului.
Simbolul este specific cardului și poate fi folosit în continuare pentru procesarea returnărilor, urmărirea obiceiurilor de cheltuieli și a altor funcții de afaceri, dar numărul în sine nu are valoare pentru fraudatorii. Acest lucru poate reduce dramatic impactul unei posibile încălcări a datelor. Tokenizarea poate, de asemenea, ajuta la reducerea sferei de acoperire a CDE, deoarece nu există date deținător de card. Întreprinderile care înlocuiesc datele deținătorilor de carduri cu jetoane în toate aplicațiile lor de întreprindere pot reduce semnificativ domeniul de aplicare al CDE și, prin urmare, pot reduce domeniul de aplicare și costul conformității PCI DSS și evaluărilor anuale / scanărilor trimestriale. Lucrați cu o terță parte O altă modalitate de a micșora mediul care face obiectul conformității PCI este să predea responsabilitatea (și răspunderea) pentru stocarea datelor de pe card către un terț furnizor de servicii. De exemplu, o afacere poate trimite datele criptate către procesor de plăți pentru autorizare, iar atunci când răspunsul autorizat este returnat, un număr tokenizat este, de asemenea, trimis companiei.
Această abordare criptează straturile și tokenizarea, în timp ce, de asemenea, micșorează un CDE pentru afaceri la cea mai mică amprentă posibilă: sistemul POS care deține date live, pre-autorizarea cărților. Ridică mâna Întreprinderile au responsabilitatea de a-și proteja datele clienților, însă nu trebuie să o faceți singur. Discutați cu furnizorul dvs. de plăți despre soluții și experți care vă pot ajuta afacerea să obțină și să rămână conforme. Amintiți-vă că PCI DSS este un standard minim, iar găsirea partenerului (partenerilor) potrivit (ă) vă poate ajuta să luați decizii inteligente cu privire la modul în care să vă protejați cel mai bine clienții și, eventual, afacerea dvs.
1