Adakah anda menerima pembayaran kredit atau debit di perniagaan anda? Jika ya, kemungkinan bahawa anda perlu mematuhi Standard Keselamatan Data Industri Kad Pembayaran (PCI DSS).
PCI DSS menetapkan langkah-langkah keselamatan data minimum untuk organisasi di seluruh dunia yang memegang, memproses atau menukar maklumat pemegang kad dari mana-mana jenama kad utama. Piawaian ini dikaji semula setiap dua tahun, dan baru-baru ini disemak semula pada bulan Oktober 2010.
$config[code] not foundMenurut kajian oleh Persekutuan Runcit Nasional dan Data Pertama, 86 peratus responden perniagaan kecil dan menengah mengatakan bahawa mereka mengambil berat tentang menjaga maklumat kad pelanggan yang selamat dan merasa keselamatan data kad adalah penting untuk perniagaan mereka. Tetapi sementara kebanyakan (66 peratus) menyedari PCI DSS, hanya 49 peratus telah menyelesaikan penilaian diri yang diperlukan pada masa tinjauan.
Melindungi data pemegang kad boleh kelihatan mahal dan sedikit menggembirakan kepada pemilik perniagaan kecil, kebanyakannya sudah memakai banyak topi. Walau bagaimanapun, kos kewangan dan reputasi pelanggaran boleh menjadi signifikan - dalam beberapa kes membahayakan perniagaan anda sama sekali.
Tetapi di mana untuk bermula? Semoga anda telah membatasi akses fizikal kepada maklumat pemegang kad dan memastikan perisian anti-virus terkini. Ini adalah cara tambahan yang boleh meningkatkan keselamatan data anda dengan ketara semasa menguruskan kos pematuhan:
Menyulitkan Data Sensitif Mungkin langkah tunggal yang paling penting yang dapat diambil oleh perniagaan untuk melindungi maklumat pemegang kad adalah untuk menyulitkan data kad sejurus selepas kadnya dialihkan pada titik penjualan. Maklumat itu harus kekal dalam keadaan yang disulitkan semasa ia dihantar ke pemproses pembayaran.
Langkah ini bermakna urus niaga tidak pernah dihantar dalam teks biasa dalam relay bingkai, dail-up atau sambungan Internet, di mana potensi wujud untuk pemintasan oleh penipu. Sekiranya data disulitkan apabila ia disulitkan, ia tidak berguna bagi pencuri. Kurangkan "CDE" anda Setiap sistem komputer, kabinet pemfailan dan aplikasi yang menggunakan atau menyimpan data kad sensitif, termasuk data yang disulitkan, adalah sebahagian daripada persekitaran data pemegang kad keseluruhan (CDE) dan dalam skop kepatuhan PCI DSS. Dalam erti kata lain, semakin banyak tempat yang anda mempunyai data, lebih banyak tempat yang anda perlu bimbang tentang melindungi.
Had - dan juga mengecut - skop CDE anda dengan menyekat penggunaan data pemegang kad untuk hanya aplikasi tersebut secara langsung berkaitan dengan pembayaran (mis., Pengesahan transaksi, penempatan harian dan caj balik). Hukuman Tokenization Tokenisasi adalah pelengkap "berlapis" kepada penyulitan. Data pemegang kad dihantar ke pelayan (peti besi) yang berpusat dan sangat selamat selepas kebenaran, dan nombor unik rawak (token) dihasilkan dan dikembalikan kepada sistem perniagaan untuk digunakan di mana data pemegang kad lazimnya digunakan.
Token ini khusus untuk kad dan masih boleh digunakan untuk memproses pulangan, mengesan tabiat perbelanjaan dan fungsi perniagaan yang lain, tetapi jumlah itu sendiri tidak mempunyai nilai untuk penipu. Ini dapat mengurangkan kesan pelanggaran data yang mungkin berlaku secara dramatik. Tokenisasi juga dapat membantu mengurangkan skop CDE kerana tidak ada data pemegang kad yang hadir. Perniagaan yang menggantikan data pemegang kad dengan token dalam semua aplikasi perusahaan mereka dapat mengurangkan skop CDE mereka, dan kemudian mengurangkan skop dan kos kepatuhan PCI DSS dan penilaian tahunan / imbasan suku tahunan. Bekerja Dengan Pihak Ketiga Satu lagi cara untuk mengecilkan alam sekitar yang tertakluk kepada pematuhan PCI adalah untuk menyerahkan tanggungjawab (dan liabiliti) untuk menyimpan data kad kepada pembekal perkhidmatan pihak ketiga. Sebagai contoh, perniagaan boleh menghantar data kad yang disulitkan kepada pemproses pembayaran untuk kebenaran, dan apabila respons yang diberi kuasa dikembalikan, nombor yang diberi nombor juga dihantar kepada perniagaan.
Lapisan pendekatan ini adalah penyulitan dan pengizinan sementara juga menyusut CDE perniagaan ke tapak terkecil yang mungkin: sistem POS yang memegang data kad pra-kebenaran langsung. Angkat tangan anda Perniagaan mempunyai tanggungjawab untuk melindungi data pelanggan mereka, tetapi anda tidak perlu melakukannya sendiri. Bercakap dengan pembekal pembayaran anda tentang penyelesaian dan pakar yang boleh membantu perniagaan anda mendapatkan dan mematuhi. Ingat, PCI DSS adalah piawai minimum, dan mencari rakan kongsi yang tepat boleh membantu anda membuat keputusan pintar mengenai cara terbaik melindungi pelanggan anda - dan berpotensi menjadi perniagaan anda.
1