Δεχτείτε πιστωτικές ή χρεωστικές πληρωμές στην επιχείρησή σας; Αν ναι, είναι πιθανό να πρέπει να συμμορφωθείτε με το πρότυπο ασφαλείας δεδομένων βιομηχανικής κάρτας πληρωμών (PCI DSS).
Το PCI DSS θεσπίζει ελάχιστα μέτρα ασφάλειας δεδομένων για οργανισμούς σε όλο τον κόσμο που κατέχουν, επεξεργάζονται ή ανταλλάσσουν πληροφορίες κατόχων καρτών από οποιαδήποτε από τις μεγαλύτερες μάρκες καρτών. Τα πρότυπα αναθεωρούνται κάθε δύο χρόνια και αναθεωρήθηκαν πρόσφατα τον Οκτώβριο του 2010.
$config[code] not foundΣύμφωνα με μελέτη της Εθνικής Ομοσπονδίας Λιανικής και Πρώτων Δεδομένων, το 86% των μικρομεσαίων επιχειρήσεων δήλωσαν ότι ενδιαφέρονται να διατηρούν ασφαλή τα στοιχεία των καρτών πελατών και να αισθάνονται ότι η ασφάλεια των δεδομένων των καρτών είναι σημαντική για την επιχείρησή τους. Αλλά ενώ οι περισσότεροι (66%) γνωρίζουν το PCI DSS, μόνο το 49% είχε ολοκληρώσει μια απαιτούμενη αυτοαξιολόγηση κατά τη διάρκεια της έρευνας.
Η προστασία των δεδομένων των κατόχων κάρτας μπορεί να φανεί δαπανηρή και λίγο συντριπτική για τους ιδιοκτήτες μικρών επιχειρήσεων, οι περισσότεροι από τους οποίους φορούν ήδη πολλά καπέλα. Ωστόσο, το οικονομικό κόστος και το κόστος φήμης μιας παραβίασης μπορεί να είναι σημαντικό - σε ορισμένες περιπτώσεις θέτουν σε κίνδυνο την επιχείρησή σας εντελώς.
Αλλά πού να ξεκινήσετε; Ας ελπίσουμε ότι ήδη περιορίζετε τη φυσική πρόσβαση σε πληροφορίες κατόχου καρτών και ενημερώνετε το λογισμικό προστασίας από ιούς. Ακολουθούν πρόσθετοι τρόποι με τους οποίους μπορείτε να αυξήσετε σημαντικά την ασφάλεια των δεδομένων ενώ διαχειρίζεστε το κόστος συμμόρφωσης:
Κρυπτογραφήστε ευαίσθητα δεδομένα Πιθανώς το πιο σημαντικό μέτρο που μπορεί να λάβει μια επιχείρηση για την προστασία των πληροφοριών του κατόχου της κάρτας είναι να κρυπτογραφεί τα δεδομένα της κάρτας αμέσως μετά την ταλάντωση της κάρτας στο σημείο πώλησης. Οι πληροφορίες θα πρέπει να παραμένουν σε κρυπτογραφημένη κατάσταση ενώ θα διαβιβάζονται στον επεξεργαστή πληρωμής.
Αυτό το βήμα σημαίνει ότι η συναλλαγή δεν μεταδίδεται ποτέ σε απλό κείμενο στο ρελαί πλαισίου, μέσω τηλεφώνου ή μέσω σύνδεσης στο Διαδίκτυο, όπου υπάρχει δυνατότητα υποκλοπής από απατεώνες. Αν τα δεδομένα σιγοβράζονται όταν είναι κρυπτογραφημένα, είναι σχεδόν άχρηστα στους κλέφτες. Μειώστε το "CDE" Κάθε σύστημα υπολογιστών, πίνακας αρχειοθέτησης και εφαρμογή που χρησιμοποιεί ή αποθηκεύει ευαίσθητα δεδομένα καρτών, συμπεριλαμβανομένων των κρυπτογραφημένων δεδομένων, αποτελεί μέρος του συνολικού περιβάλλοντος δεδομένων κατόχου κάρτας (CDE) και εντός του πεδίου εφαρμογής της συμμόρφωσης PCI DSS. Με άλλα λόγια, όσο περισσότερες θέσεις έχετε δεδομένα, τόσο περισσότερες θέσεις πρέπει να ανησυχείτε για την προστασία.
Περιορίστε - ακόμα και συρρικνώστε - το πεδίο εφαρμογής του CDE περιορίζοντας τη χρήση των δεδομένων κατόχου καρτών μόνο σε εκείνες τις εφαρμογές που αφορούν άμεσα τις πληρωμές (π.χ. επαλήθευση συναλλαγών, ημερήσιοι διακανονισμοί και αντιστροφές χρεώσεων). Αγκαλιάστε τη σήμανση Το Tokenization είναι ένα "πολυεπίπεδο" συμπλήρωμα της κρυπτογράφησης. Τα δεδομένα κατόχων καρτών αποστέλλονται σε έναν κεντρικό και εξαιρετικά ασφαλή διακομιστή (θόλο) μετά την εξουσιοδότηση και παράγεται ένας τυχαίος μοναδικός αριθμός (το διακριτικό) και επιστρέφεται στα συστήματα της επιχείρησης για χρήση οπουδήποτε κανονικά θα χρησιμοποιηθούν τα δεδομένα κατόχου της κάρτας.
Το συμβολικό στοιχείο είναι συγκεκριμένο για την κάρτα και μπορεί ακόμα να χρησιμοποιηθεί για να επεξεργάζεται αποδόσεις, να παρακολουθεί τις συνήθειες των δαπανών και άλλες επιχειρηματικές λειτουργίες, αλλά ο ίδιος ο αριθμός δεν έχει αξία για τους απατεώνες. Αυτό μπορεί να μειώσει δραματικά τον αντίκτυπο μιας πιθανής παραβίασης των δεδομένων. Η σηματοδότηση μπορεί επίσης να συμβάλει στη μείωση του πεδίου εφαρμογής του CDE, επειδή δεν υπάρχουν δεδομένα κατόχου κάρτας. Οι επιχειρήσεις που αντικαθιστούν τα δεδομένα κατόχων καρτών με τις μάρκες σε όλες τις επιχειρησιακές τους εφαρμογές μπορούν να μειώσουν σημαντικά το πεδίο εφαρμογής του CDE τους και, στη συνέχεια, να μειώσουν το εύρος και το κόστος συμμόρφωσης PCI DSS και ετήσιες αξιολογήσεις / τριμηνιαίες σαρώσεις. Εργασία με ένα τρίτο μέρος Ένας άλλος τρόπος να συρρικνωθεί το περιβάλλον που υπόκειται στη συμμόρφωση με την PCI είναι να παραδώσει την ευθύνη (και ευθύνη) για την αποθήκευση δεδομένων καρτών σε τρίτο φορέα παροχής υπηρεσιών. Για παράδειγμα, μια επιχείρηση μπορεί να στείλει κρυπτογραφημένα δεδομένα κάρτας στον επεξεργαστή πληρωμών για εξουσιοδότηση και όταν επιστραφεί η εξουσιοδοτημένη απόκριση, αποστέλλεται επίσης στην εταιρεία μια διακεκομμένη αριθμός.
Αυτή η προσέγγιση αποκρύπτει την κρυπτογράφηση και το tokenization, ενώ ταυτόχρονα συρρικνώνει το CDE της επιχείρησης στο μικρότερο δυνατό αποτύπωμα: το σύστημα POS που διατηρεί ζωντανά δεδομένα κάρτας προ-εξουσιοδότησης. Σήκωσε το χέρι σου Οι επιχειρήσεις έχουν την ευθύνη να προστατεύουν τα δεδομένα των πελατών τους, αλλά δεν χρειάζεται να το κάνετε μόνοι σας. Συζητήστε με τον πάροχο πληρωμών σας σχετικά με λύσεις και εμπειρογνώμονες που μπορούν να βοηθήσουν την επιχείρησή σας να πάρει και να παραμείνει συμβατή. Θυμηθείτε ότι το PCI DSS είναι ένα ελάχιστο πρότυπο και η εύρεση του σωστού συνεργάτη μπορεί να σας βοηθήσει να κάνετε έξυπνες αποφάσεις σχετικά με τον καλύτερο τρόπο προστασίας των πελατών σας και ενδεχομένως της επιχείρησής σας.
1
