Přijímáte kreditní nebo debetní platby u vaší firmy? Pokud tomu tak je, je pravděpodobné, že musíte dodržovat standard pro zabezpečení platebních karet (PCI DSS).
PCI DSS stanovuje minimální bezpečnostní opatření pro organizace po celém světě, které uchovávají, zpracovávají nebo vyměňují informace o držitelích karet z kterékoli z hlavních značek karet. Normy jsou revidovány každé dva roky a byly v poslední době revidovány v říjnu 2010.
$config[code] not foundPodle studie provedené Národním maloobchodním sdružením a First Data 86 procent respondentů malého a středního podnikání uvedlo, že se starají o to, aby informace o kartě zákazníků byly zabezpečeny a že bezpečnost dat pro karty je důležitá pro jejich podnikání. Zatímco většina (66%) je si vědoma PCI DSS, pouze 49% dokončilo požadované sebehodnocení v době průzkumu.
Ochrana dat držitelů karet se může zdát drahá a trochu ohromná pro majitele malých podniků, z nichž většina už nosí mnoho klobouků. Finanční a reputační náklady na porušení však mohou být významné - v některých případech dokonce ohrožují vaše podnikání.
Ale kde začít? Doufejme, že již omezujete fyzický přístup k informacím o držitelích karet a aktualizujete antivirový software. Zde jsou další způsoby, jak můžete výrazně zvýšit zabezpečení dat při správě nákladů na dodržování předpisů:
Šifrování citlivých dat Pravděpodobně nejdůležitějším opatřením, které podnik může přijmout k ochraně informací o držitelích karet, je šifrování dat o kartě bezprostředně po vytažení karty v místě prodeje. Informace by měly zůstat v zašifrovaném stavu, dokud budou předány zpracovateli plateb.
Tento krok znamená, že transakce nikdy není vysílána v prostém textu v relé, dial-up nebo připojení k Internetu, kde existuje potenciál pro odposlech podvodníků. Pokud se data sifonují, jakmile je zašifrována, je prakticky k ničemu zloději. Snižte "CDE" Každý počítačový systém, kartotéka a aplikace, které používají nebo ukládají údaje o citlivých kartách, včetně šifrovaných dat, jsou součástí celkového prostředí datových nosičů (CDE) a v rámci souladu s PCI DSS. Jinými slovy, čím více míst máte, tím více míst je třeba se starat o ochranu.
Omezit - a dokonce zmenšit - rozsah vašeho CDE omezením používání údajů o držitelích karet pouze na ty aplikace, které se přímo týkají plateb (např. Ověřování transakcí, denní zúčtování a zpětné zúčtování). Přijměte tokenizaci Tokenizace je "vrstvený" doplněk šifrování. Držitel karty je po autorizaci odeslán na centralizovaný a vysoce zabezpečený server (trezor) a generováno náhodně jedinečné číslo (token) a vráceno do obchodních systémů pro použití tam, kde by se běžně používala data držitele karty.
Token je specifický pro kartu a může být i nadále používán pro zpracování výnosů, sledování výdajů a jiných obchodních funkcí, ale samotné číslo nemá hodnotu pro podvodníky. To může dramaticky snížit dopad možného narušení dat. Tokenizace může také pomoci snížit rozsah CDE, protože nejsou k dispozici žádné údaje o držitelích karet. Podniky, které nahradí data držitelů karet za tokeny ve všech svých podnikových aplikacích, mohou výrazně snížit rozsah jejich CDE a následně snížit rozsah a náklady na dodržování PCI DSS a každoroční hodnocení / čtvrtletní kontroly. Práce se třetí stranou Dalším způsobem, jak snížit prostředí, které je předmětem souladu s PCI, je odevzdat odpovědnost (a odpovědnost) za ukládání dat o kartě třetímu poskytovateli služeb. Například podnik může odeslat zašifrované údaje o kartě zpracovateli plateb za účelem autorizace a po vrácení autorizované odpovědi je společnosti zasláno tokenované číslo.
Tento přístup šifruje vrstvy a tokenizaci a současně zmenšuje podnikové CDE na nejmenší možnou stopu: POS systém, který uchovává živé předběžné údaje o kartě. Zvedni ruku Podniky mají povinnost chránit data svých zákazníků, ale nemusíte to dělat sám. Porozprávajte se s poskytovatelem plateb o řešeních a odborníků, kteří mohou pomoci vaší firmě získat a dodržovat. Nezapomeňte, že PCI DSS je minimální standard a nalezení správného partnera (partnerů) vám může pomoci při rozhodování o tom, jak nejlépe ochránit své zákazníky - a případně i vaši firmu.
1