PCI, numit adesea PCI DSS, standuri pentru securitatea datelor de plată a datelor de plată. Pe scurt, PCI este un set de standarde industriale utilizate pentru măsurarea securității întreprinderilor care acceptă, procedează, stochează și transmite informații despre cardul de credit. Companiile care sunt conforme cu PCI sunt mai puțin probabil să sufere încălcări de date care ar putea expune clienții să identifice furtul. Dacă aveți un ID de comerciant și acceptați carduri de credit în afacerea dvs. fizică sau virtuală, atunci sunteți supus standardelor Industriei PCI DSS. Consiliul standardelor de securitate PCI este un grup independent de profesioniști din industrie care investighează problemele de securitate PCI emergente și creează programele și standardele pentru a menține integritatea sistemului de carduri de plată.
Pași
Partea 1 din 3:
Revizuirea elementelor de bază PCI DSS
1.
Confirmați nivelul dvs. de comerciant. Primul pas este de a discuta și de a verifica nivelul comerțului cu banca sau compensarea care se ocupă de tranzacțiile cu carduri de credit. Comercianții sunt împărțiți în patru categorii pe baza tranzacției de card Visa de peste 12 luni. Nivelul dvs. de comerciant va determina cât de stricte trebuie să fie programele de conformitate PCI.
- Un comerciant de nivel 1 procese de peste 6 milioane de tranzacții de viză pe an sau este desemnat nivelul 1 de către compania de viză.
- Un comerciant de nivel 2 acceptă anual între 1 și 6 milioane de tranzacții de viză. Aceasta include în persoană și online.
- Un comerciant de nivel 3 va procesa între 20.000 și 1 milion de tranzacții de viză pe an.
- Un comerciant de nivel 4, considerat un comerciant mic, durează mai puțin de 20.000 de plăți de viză pe an.
- Cerințele PCI DSS se aplică, de asemenea, companiilor care acceptă alte carduri de credit, cum ar fi American Express, MasterCard și Descoperă. Visa este utilizată ca punct de referință pentru înființarea de niveluri comerciale.
2. Înțelegeți sancțiunile pentru încălcările PCI DSS. Întreprinderile care nu sunt conforme cu PCI DSS pot fi supuse amenzilor, sancțiunilor și pierderilor de privilegii din compensarea care procesează plățile prin carduri de credit. În cazul în care eșecul PCI are ca rezultat o pierdere reală de date, afacerea se poate confrunta cu amenzi, taxe mai mari și alte sancțiuni de la bănci și procesoare de carduri de credit.
Întreprinderile care nu sunt conforme cu PCI pot fi supuse unor procese și procuratură guvernamentală pentru că nu a protejat datele clienților.3. Familiarizați-vă cu cele mai bune practici de securitate. Primul standard PCI DSS, implementat septembrie 2009 (DSS V 1.2) a introdus cele 12 cerințe pe care un comerciant ar trebui să le examineze pentru a fi conforme cu PCI. În funcție de nivelul comerțului, suma tehnologiei, formării și expertizei de implementare a standardelor va varia. De exemplu, o rețea care gestionează 2 milioane de tranzacții va fi mai sofisticată decât o rețea care procesează 2000.
PCI 3.1 a intrat în vigoare în luna iunie 2015 și se ocupă de noi standarde în tehnologie și abordează vulnerabilitățile în programele comune de criptare.PCI conformitatea celor mai bune practici se încadrează în cinci categorii generale: rețeaua securizată, protecția datelor, gestionarea vulnerabilității, controlul accesului, monitorizarea și politica de securitate. Consiliul PCI are un chestionar de autoevaluare pentru a ajuta întreprinderile mici să stabilească respectarea standardelor de securitate.Partea 2 din 3:
Implementarea programelor de conformitate PCI
1.
Construiți și mențineți o rețea securizată. Pentru întreprinderi, acest lucru va însemna dezvoltarea unei relații cu un contractor de încredere. Dacă nu sunteți un profesionist IT, nu trebuie să instalați propria rețea dacă va stoca datele clienților. Chiar și un sistem out-of-the-box poate avea vulnerabilități dacă nu este instalat și actualizat corect.
- Păstrați firewall-urile actualizate și operaționale. Nu lăsați angajații să dezactiveze firewall-urile pentru orice scop.
- Schimbați imediat parolele furnizate de furnizor. De asemenea, implementați un program de parolă pentru angajații dvs. Parolele trebuie schimbate în mod regulat în conformitate cu instrucțiunile furnizorului. De exemplu, parolele ar trebui să fie combinații alfa-numerice-caractere care nu sunt cuvinte cu dicționar. Dacă vânzătorul dvs. funcționează în sistemul dvs., ar trebui să schimbați toate parolele când se întoarce online.
2. Protejați informațiile despre titularul cardului. Dacă procesați manual cardurile de credit, allii și chitanțele ar trebui să fie menținute în fișiere blocate cu acces limitat. Dacă informațiile despre deținătorul cardului sunt stocate în rețeaua dvs., acesta trebuie criptat și protejat în spatele firewall-urilor companiei
3. Creați un program de gestionare a vulnerabilității. Sistemul dvs. ar trebui să fie protejat cu software anti-virus adecvat. De asemenea, trebuie să aveți un program de companie care interzice adăugarea de software, cum ar fi jocurile, care ar putea compromite sistemul.
4. Implementați controlul accesului. Accesul la parolă la sistemul dvs. trebuie restricționat. Fiecare angajat ar trebui să aibă doar accesul că trebuie să-și facă treaba. Explicați că acest lucru protejează atât angajații, cât și clienții dvs. Dacă există o încălcare a datelor, accesul restricționat va restrânge posibilitățile și va ajuta ancheta.
Pentru rețeaua dvs., dați fiecărui utilizator și fiecărui terminal un număr de identificare unic. În cazul unei încălcări confirmate sau suspectate, profesioniștii dvs. IT vor putea identifica rapid punctul de intrare.Înregistrări fizice securizate care conțin date ale clienților și deținătorului cardului. Utilizați fie un sistem cheie de card, fie o blocare fizică și o cheie.Partea 3 din 3:
Testarea și menținerea conformității PCI
1.
Monitorizați și testați-vă rețelele. Programul dvs. de securitate trebuie să includă scanări și teste regulate pentru a urmări și monitoriza fluxul de date ale clienților prin intermediul rețelei dvs. IT profesionist sau vânzătorul dvs. pot implementa teste atât atunci când sistemul este la o utilizare scăzută (de exemplu, noaptea târziu la sfârșit de săptămână) și în timp real când sistemul este în uz.
- Mențineți un jurnal al rezultatelor testelor. Discutați cât timp să mențineți înregistrările de testare cu compania dvs. de bancă și de asigurări.
2. Dezvoltați o politică de securitate a informațiilor. Toate etapele din programul dvs. de conformitate pentru PCI trebuie să fie documentate în politica dvs. de securitate. Acest document ar trebui să detalieze toți pașii pe care compania dvs. o ia pentru a asigura datele clienților. Pentru comercianții de nivel 1 la 3, acest program poate rula pentru mai multe volume și poate integra manualul angajatului.
Nivelul 1 până la 3 comercianți va fi probabil fie să contracteze cu un profesionist de securitate, fie să aibă personal dedicat instruit în complexitatea scrisului și menținerii politicii de securitate a informațiilor.Un comerciant de nivel 4 ar trebui să contacteze compensarea cardului de credit pentru consiliere și asistență pentru crearea politicii de securitate. Dacă procesorul nu oferă un șablon de program, atunci ar trebui să luați în considerare contractarea cu un profesionist de securitate pentru a crea documentul. Dacă nu sunteți un profesionist IT, este puțin probabil ca să fiți suficient de versat în detaliile tehnice ale sistemului dvs. pentru a crea o politică de securitate compatibilă cu PCI. Odată ce acesta este creat, va trebui să fie actualizat numai când rețeaua dvs. este extinsă sau actualizată. Contractantul IT vă poate oferi documentele de care aveți nevoie pentru a vă menține politica de securitate actualizată.Majoritatea programului dvs. de securitate va fi tehnică în natură, precum în alegerea firewall-ului și a software-ului de securitate, precum și protocoalele de testare. Cu toate acestea, trebuie să includeți și secțiuni despre proces atunci când un angajat părăsește compania și parolele sunt revocate.Dezvoltați un proces pentru a urmări cheile și cărțile de chei. Tastele principale ar trebui să fie la fel de strict reglementate ca parole de nivel înalt.3. Evaluați, remediați și raportați conformitatea PCI. Odată ce cele 12 părți ale celor mai bune practici PCI sunt puse în aplicare, trebuie să treceți periodic prin procesul de revizuire în trei pași ai Consiliului PCI pentru a se asigura că respectarea este menținută.
Inventarul dvs. sistemele IT și procesele de afaceri. Dacă ceva sa schimbat, actualizați programele de securitate și planurile de gestionare a vulnerabilității.Dacă găsiți o slăbiciune în sistemul dvs., remediați problema. Acest lucru poate necesita echipament nou sau software, instruire de utilizator sau actualizarea rețelei dvs. Profesioniștii IT ar trebui să implementeze aceste schimbări.Păstrați înregistrările acțiunilor dvs. și trimiteți rapoarte despre eforturile dvs. de conformitate pentru companiile dvs. de carduri și cărți de credit. Rapoartele, eforturile și perspectivele dvs. pot ajuta la o altă companie să protejeze datele clienților.Avertizări
Comercianții de nivel 4 ar trebui să discute respectarea PCI cu banca sau cu cardul de credit Clearinghouse și urmați recomandările.
Dacă sunteți un comerciant foarte mic, cum ar fi o afacere la domiciliu, este puțin probabil ca să stocați date de carduri pe rețeaua dvs. personală. Cu toate acestea, ar trebui să revizuiți în continuare procesele cu banca dvs. Consiliul PCI are formare online și resurse pentru a vă ajuta să împiedicați furtul de date ale clienților.
Partajați pe rețeaua socială: