PCI Uyumluluğunu Basitleştirerek Tasarruf Sağlayın, Riski Azaltın

Anonim

İşinizde kredi veya borç ödemeleri kabul ediyor musunuz? Eğer öyleyse, şansınız, Ödeme Kartı Sektörü Veri Güvenliği Standardı'na (PCI DSS) uymanız gerektiğidir.

PCI DSS, dünyanın dört bir yanındaki büyük kart markalarından kart sahibi bilgilerini alan, işleyen veya değiştiren kuruluşlar için minimum veri güvenliği önlemleri belirler. Standartlar her iki yılda bir gözden geçirilmekte ve en son Ekim 2010'da revize edilmiştir.

$config[code] not found

Ulusal Perakende Federasyonu ve İlk Veriler tarafından yapılan bir araştırmaya göre, küçük ve orta ölçekli işletme katılımcılarının yüzde 86'sı müşteri kartı bilgilerini güvende tutmaya önem verdiklerini ve kart veri güvenliğinin işlerinde önemli olduğunu belirtti. Ancak, çoğu (yüzde 66) PCI DSS'den haberdar olsa da, sadece yüzde 49'u anket sırasında gerekli bir öz değerlendirmeyi tamamladı.

Kart sahibi verilerinin korunması, çoğu zaten çok sayıda şapka takmış olan küçük işletme sahiplerine pahalı ve biraz zor gelebilir. Ancak, bir ihlalin finansal ve itibar maliyetleri önemli olabilir - bazı durumlarda işinizi tamamen tehlikeye atmak.

Ama nereden başlamalı? Umarım, kart sahibi bilgilerine fiziksel erişimi zaten sınırlandırır ve virüsten koruma yazılımını güncel tutarsınız. Uyumluluk maliyetlerini yönetirken veri güvenliğini önemli ölçüde artırabilmeniz için ek yöntemler:

Hassas Verileri Şifrele Muhtemelen bir işletmenin kart sahibi bilgilerini korumak için alabileceği en önemli önlem, kartın satış noktasında kaydırılmasından hemen sonra kart verilerini şifrelemektir. Bilgi, ödeme işlemcisine iletilirken şifrelenmiş bir durumda kalmalıdır.

Bu adım, işlemin hiçbir zaman düz metinle, rölelerden, çevirmeli bağlantıdan veya Internet bağlantısından düz metinle iletilmediği anlamına gelir; Veriler şifreli bir kez sifonlanırsa, hırsızlar için neredeyse işe yaramaz.

“CDE” inizi düşürün Şifrelenmiş veriler de dahil olmak üzere hassas kart verilerini kullanan veya saklayan her bilgisayar sistemi, dosya dolabı ve uygulama, genel kart sahibi veri ortamının (CDE) bir parçasıdır ve PCI DSS uyumluluğu kapsamındadır. Başka bir deyişle, ne kadar çok veriye sahipseniz, koruma konusunda endişelenmeniz gereken yerler de o kadar fazla olur.

Limit - ve hatta küçülme - kart sahibi verilerinin kullanımını yalnızca doğrudan ödemelerle ilgili uygulamalarla (örneğin, işlem doğrulaması, günlük ödemeler ve geri ödemeler) sınırlandırarak CDE'nizin kapsamını sınırlayın.

Tokenization'ı kucakla Tokenizasyon, şifrelemenin “katmanlı” bir tamamlayıcısıdır. Kart sahibi verileri, yetkilendirmeden sonra merkezi ve yüksek güvenlikli bir sunucuya (kasa) gönderilir ve rastgele benzersiz bir numara (belirteç) oluşturulur ve kart sahibi verilerinin normalde kullanıldığı yerlerde kullanılmak üzere işletme sistemlerine geri döndürülür.

Belirteç, karta özgüdür ve yine de iadeleri işlemek, harcama alışkanlıklarını ve diğer işletme işlevlerini izlemek için kullanılabilir, ancak sayının sahtekarlar için değeri yoktur. Bu, potansiyel bir veri ihlalinin etkisini büyük ölçüde azaltabilir.

Tokenizasyon, CDE'nin kapsamını azaltmaya da yardımcı olabilir, çünkü kart sahibi verileri mevcut değildir. Kart sahibi verilerini tüm kurumsal uygulamalarında belirteçlerle değiştiren işletmeler, CDE'lerinin kapsamını önemli ölçüde azaltabilir ve daha sonra PCI DSS uyumluluğunun kapsamını ve maliyetini ve yıllık değerlendirmeler / üç aylık taramaları azaltabilir.

Üçüncü Bir Tarafla Çalışın PCI uyumluluğuna maruz kalan ortamı küçültmenin diğer bir yolu, kart verilerini üçüncü taraf bir servis sağlayıcıya depolama sorumluluğunu (ve sorumluluğunu) vermektir. Örneğin, bir işletme, yetkilendirilmek üzere ödeme işlemcisine şifreli kart verisi gönderebilir ve yetkilendirilmiş yanıt iade edildiğinde, belirtilmiş bir numara da işletmeye gönderilir.

Bu yaklaşım, bir işletmenin CDE'sini mümkün olan en küçük ayakizine daraltırken şifrelemeyi ve belirleyiciyi de içerir: canlı, ön provizyon kartı verilerini tutan POS sistemi.

Elini Kaldır İşletmeler, müşterilerinin verilerini korumakla yükümlüdür, ancak bunu yalnız yapmak zorunda değilsiniz. İşletmenizin uyumuna ve uyumuna devam etmesine yardımcı olabilecek çözümler ve uzmanlar hakkında ödeme sağlayıcınızla konuşun. Unutmayın, PCI DSS minimum bir standarttır ve doğru ortakları bulmak, müşterilerinizi - ve potansiyel olarak işinizi - en iyi şekilde nasıl koruyacağınız konusunda akıllı kararlar almanıza yardımcı olabilir.

1