Принимаете ли вы кредитные или дебетовые платежи в вашем бизнесе? Если это так, есть вероятность, что вам необходимо соблюдать стандарт безопасности данных индустрии платежных карт (PCI DSS).
PCI DSS устанавливает минимальные меры безопасности данных для организаций во всем мире, которые хранят, обрабатывают или обмениваются информацией о держателях карт от любого из основных брендов карт. Стандарты пересматриваются каждые два года и в последний раз пересматривались в октябре 2010 года.
$config[code] not foundСогласно исследованию, проведенному Национальной федерацией розничной торговли и First Data, 86 процентов респондентов из малого и среднего бизнеса заявили, что они заботятся о сохранности информации о клиентских картах и считают, что безопасность данных с карт важна для их бизнеса. Но хотя большинство (66 процентов) знают о PCI DSS, только 49 процентов прошли необходимую самооценку во время опроса.
Защита данных владельцев карт может показаться дорогостоящей и немного подавляющей для владельцев малого бизнеса, большинство из которых уже носят много шляп. Тем не менее, финансовые и репутационные издержки нарушения могут быть значительными - в некоторых случаях, ставя под угрозу ваш бизнес в целом.
Но с чего начать? Надеемся, что вы уже ограничиваете физический доступ к информации о держателях карт и обновляете антивирусное программное обеспечение. Вот дополнительные способы, которыми вы можете значительно повысить безопасность данных при управлении расходами на соответствие:
Шифровать конфиденциальные данные Вероятно, единственной наиболее важной мерой, которую может предпринять предприятие для защиты информации о держателе карты, является шифрование данных карты сразу после того, как карта была украдена в точке продажи. Информация должна оставаться в зашифрованном состоянии, пока она передается в платежный процессор.
Этот шаг означает, что транзакция никогда не передается в виде простого текста в ретрансляции кадров, коммутируемом или интернет-соединении, где существует вероятность перехвата мошенниками. Если данные зашифрованы после того, как они зашифрованы, они практически бесполезны для воров. Уменьшите свой «CDE» Каждая компьютерная система, картотека и приложение, которые используют или хранят конфиденциальные данные карты, включая зашифрованные данные, являются частью общей среды данных держателей карт (CDE) и входят в сферу соответствия PCI DSS. Другими словами, чем больше у вас данных, тем больше нужно беспокоиться о защите.
Ограничьте - и даже сократите - объем вашего CDE, ограничив использование данных держателя карты только теми приложениями, которые имеют непосредственное отношение к платежам (например, аутентификация транзакций, ежедневные расчеты и возвратные платежи). Объятья токенизация Токенизация является «многоуровневым» дополнением к шифрованию. Данные держателя карты отправляются на централизованный и высокозащищенный сервер (хранилище) после авторизации, и случайное уникальное число (токен) генерируется и возвращается в бизнес-системы для использования везде, где обычно используются данные держателя карты.
Токен специфичен для карты и может все еще использоваться для обработки возвратов, отслеживания привычек расходов и других бизнес-функций, но само число не имеет значения для мошенников. Это может значительно уменьшить влияние потенциального нарушения данных. Токенизация также может помочь уменьшить область действия CDE, поскольку данные о держателях карт отсутствуют. Компании, которые заменяют данные держателей карт токенами во всех своих корпоративных приложениях, могут значительно сократить объем своего CDE, а затем уменьшить объем и стоимость соответствия PCI DSS и ежегодных оценок / ежеквартальных проверок. Работа с третьей стороной Еще один способ уменьшить среду, на которую распространяется соответствие PCI, - это передать ответственность (и ответственность) за хранение данных карты стороннему поставщику услуг. Например, предприятие может отправлять зашифрованные данные карты в обработчик платежей для авторизации, а когда возвращается авторизованный ответ, токенизированный номер также отправляется предприятию.
Этот подход накладывает слои шифрования и токенизации, а также сокращает CDE для бизнеса до минимально возможного места: система POS, которая хранит данные карты предварительной авторизации в режиме реального времени. Подними свою руку Компании несут ответственность за защиту данных своих клиентов, но вам не обязательно делать это в одиночку. Поговорите со своим платежным провайдером о решениях и экспертах, которые могут помочь вашему бизнесу оставаться и соблюдать требования. Помните, что PCI DSS является минимальным стандартом, и поиск подходящего партнера (партнеров) может помочь вам принять правильное решение о том, как наилучшим образом защитить ваших клиентов и, возможно, ваш бизнес.
1
