Чи приймаєте ви кредитні чи дебетові платежі? Якщо так, то ймовірність того, що ви повинні дотримуватися стандартів безпеки даних про галузь платіжних карток (PCI DSS).
PCI DSS встановлює мінімальні заходи безпеки для організацій по всьому світу, які зберігають, обробляють або обмінюються інформацією про власника картки з будь-якої з основних брендів карт. Стандарти переглядаються кожні два роки, і останній раз були переглянуті у жовтні 2010 року.
$config[code] not foundЗгідно з дослідженням Національної федерації роздрібної торгівлі та First Data, 86 відсотків респондентів малого та середнього бізнесу заявили, що вони дбають про збереження інформації про картки клієнтів і відчувають, що безпека даних карт важлива для їхнього бізнесу. Але хоча більшість (66%) знають про PCI DSS, лише 49% виконали необхідну самооцінку під час опитування.
Захист даних про власників карток може здатися дорогою і трохи переважною для власників малого бізнесу, більшість з яких вже носять багато капелюхів. Проте фінансові та репутаційні витрати на порушення можуть бути значними - у деяких випадках цілком небезпечні для вашого бізнесу.
Але з чого почати? Сподіваємося, ви вже обмежуєте фізичний доступ до інформації про власників карток і підтримуєте оновлене антивірусне програмне забезпечення. Ось додаткові способи, якими можна значно підвищити безпеку даних під час керування витратами на дотримання норм:
Шифрування чутливих даних Ймовірно, найважливішим заходом, який бізнес може вжити для захисту інформації про власників карток, є шифрування даних картки відразу після того, як картка буде пропущена на місці продажу. Інформація повинна залишатися в зашифрованому стані, коли вона передається процесору оплати.
Цей крок означає, що транзакція ніколи не передається у вигляді звичайного тексту в кадрі ретрансляції, комутованого або інтернет-з'єднання, де існує потенціал для перехоплення шахраями. Якщо дані забираються після того, як вони зашифруються, це практично марно для злодіїв. Зменшіть свій "CDE" Кожна комп'ютерна система, картотека і програма, яка використовує або зберігає дані конфіденційних карт, включаючи зашифровані дані, є частиною загального середовища даних про власників карток (CDE) і в межах відповідності PCI DSS. Іншими словами, чим більше місць у вас є дані, тим більше місць потрібно турбувати про захист.
Обмежуйте - і навіть стискайте - область застосування вашого CDE, обмежуючи використання даних для власників картки лише для тих додатків, які безпосередньо стосуються платежів (наприклад, аутентифікація транзакцій, щоденні розрахунки та платежі). Токенізація обіймів Токенізація є «шаруватої» доповненням до шифрування. Дані власника картки надсилаються до централізованого та високозахищеного сервера (сховище) після авторизації, і випадковий унікальний номер (маркер) генерується і повертається в бізнес-системи для використання там, де звичайно використовуються дані власника картки.
Маркер є специфічним для картки і може бути використаний для обробки повернень, відстеження звичок витрат та інших бізнес-функцій, але сам номер не має значення для шахраїв. Це може значно зменшити вплив потенційного порушення даних. Токенізація також може допомогти зменшити обсяг CDE, оскільки немає даних про власника картки. Підприємства, які замінюють дані про власників картки маркерами в усіх своїх корпоративних додатках, можуть значно скоротити масштаби їх CDE, а згодом зменшити обсяг і вартість відповідності PCI DSS і щорічних оцінок / квартальних сканувань. Робота з третьою стороною Іншим способом зменшення середовища, яке підлягає відповідності PCI, є передача відповідальності (і відповідальності) для зберігання даних картки сторонньому постачальнику послуг. Наприклад, підприємство може відправляти зашифровані дані картки до процесора платежів для авторизації, а коли повернута авторизована відповідь, до підприємства також надсилається токенізований номер.
Такий підхід забезпечує шифрування шарів та маркування, а також зменшує CDE підприємства до мінімально можливого розміру: система POS, яка містить дані про попередню авторизацію. Підніміть руку Підприємства несуть відповідальність за захист даних своїх клієнтів, але вам не потрібно це робити самостійно. Поговоріть зі своїм постачальником платежів про рішення та експертів, які можуть допомогти вашому бізнесу отримати та утриматись. Пам'ятайте, що PCI DSS є мінімальним стандартом, і пошук відповідних партнерів може допомогти вам прийняти розумні рішення про те, як найкраще захистити своїх клієнтів - і потенційно ваш бізнес.
1