Accepterer du kredit- eller betalingskort på din virksomhed? Hvis det er tilfældet, er det sandsynligt, at du skal overholde betalingskortindustrien Datasikkerhedsstandard (PCI DSS).
PCI DSS etablerer mindste datasikkerhedsforanstaltninger for organisationer over hele verden, der besidder, behandler eller udveksler kortindehaverinformation fra et af de største kortmærker. Standarderne gennemgås hvert andet år og blev senest revideret i oktober 2010.
$config[code] not foundIfølge en undersøgelse foretaget af National Retail Federation og First Data sagde 86 procent af små og mellemstore virksomheder, at de bekymrer sig om at holde kundekortoplysningerne sikre og føler, at datasikkerhed er vigtig for deres forretning. Men mens de fleste (66 procent) er opmærksomme på PCI DSS, havde kun 49 procent gennemført en påkrævet selvvurdering på tidspunktet for undersøgelsen.
Beskyttelse af kortindehaverdata kan virke dyrt og lidt overvældende for små virksomhedsejere, hvoraf de fleste allerede har mange hatte. De økonomiske og omdømmeomkostninger ved et brud kan imidlertid være betydelige - i nogle tilfælde truer din virksomhed helt og holdent.
Men hvor skal man starte? Forhåbentlig begrænser du allerede fysisk adgang til kortindehaverinformation og holder antivirussoftware opdateret. Her er yderligere måder, du kan øge datasikkerheden betydeligt, mens du administrerer overholdelsesomkostninger:
Krypter følsomme data Den eneste vigtigste foranstaltning, som en virksomhed kan tage for at beskytte kortindehaverinformation, er sandsynligvis at kryptere kortdata umiddelbart efter at kortet er swiped på salgsstedet. Oplysningerne skal forblive i krypteret tilstand, mens de overføres til betalingsprocessoren.
Dette trin betyder, at transaktionen aldrig overføres i almindelig tekst i frame relay, dial-up eller internetforbindelse, hvor potentialet eksisterer til aflytning af svindlere. Hvis dataene bliver siphoned off, når den er krypteret, er den næsten ubrugelig for tyve. Reducer din "CDE" Hvert computersystem, arkivskab og applikation, der bruger eller gemmer følsomme kortdata, herunder krypterede data, er en del af det overordnede cardholder data environment (CDE) og inden for rammerne af PCI DSS compliance. Med andre ord, jo flere steder har du data, jo flere steder skal du bekymre dig om at beskytte.
Begræns - og endda krympe - omfanget af din CDE ved at begrænse brugen af kortindehaverdata til kun de applikationer, der direkte vedrører betalinger (f.eks. Transaktionsautentificering, daglige bosættelser og tilbageførsler). Embrace Tokenization Tokenisering er et "lagdelt" komplement til kryptering. Kortindehaverdata sendes til en centraliseret og meget sikker server (hvælving) efter autorisation, og et tilfældigt unikt nummer (token) genereres og returneres til virksomhedernes systemer til brug, hvor kortindehaverdata normalt vil blive brugt.
Symbolet er specifikt for kortet og kan stadig bruges til at behandle afkast, spore forbrugsvaner og andre forretningsfunktioner, men selve nummeret har ingen værdi for svindlere. Dette kan dramatisk reducere virkningen af et potentielt data brud. Tokenisering kan også medvirke til at reducere CDE's omfang, fordi der ikke er kortholderdata til stede. Virksomheder, der erstatter kortholderdata med tokens i alle deres virksomhedsapplikationer, kan betydeligt reducere omfanget af deres CDE og derefter reducere omfanget og omkostningerne ved PCI DSS-overholdelse og årlige vurderinger / kvartalsscanning. Arbejde med en tredjepart En anden måde at reducere det miljø, der er underlagt PCI-overholdelse, er at overdrage ansvaret (og ansvaret) for opbevaring af kortdata til en tredjeparts tjenesteleverandør. For eksempel kan en virksomhed sende krypterede kortdata til betalingsprocessoren for autorisation, og når det autoriserede svar returneres, sendes et tokeniseret nummer til virksomheden.
Denne tilgang lagrer kryptering og tokenisering, samtidig med at den krymper en virksomhed 'CDE til det mindste mulige fodaftryk: POS-systemet, der indeholder live, forudgående kortdata. Ræk hånden op Virksomheder har et ansvar for at beskytte deres kunders data, men du behøver ikke gøre det alene. Tal med din betalingsudbyder om løsninger og eksperter, der kan hjælpe din virksomhed med at blive og holde sig i overensstemmelse. Husk, at PCI DSS er en minimumsstandard, og at finde den rigtige partner (e) kan hjælpe dig med at træffe smarte beslutninger om, hvordan du bedst kan beskytte dine kunder - og muligvis din virksomhed.
1