Spar penger, Lessen Risk ved å forenkle PCI Compliance

Anonim

Accepterer du kreditt- eller debetbetalinger i virksomheten din? Hvis det er tilfelle, er det sjansen for at du må overholde betalingskortindustrien Datasikkerhetsstandard (PCI DSS).

PCI DSS etablerer minimale datasikkerhetsforanstaltninger for organisasjoner over hele verden som holder, behandler eller utveksler kortholderinformasjon fra noen av de store kortmerkene. Standarden er gjennomgått hvert annet år, og ble senest revidert i oktober 2010.

$config[code] not found

Ifølge en undersøkelse av National Retail Federation og First Data, sa 86 prosent av små og mellomstore bedrifter at de bryr seg om å holde kundeinformasjonen trygg og føler at datasikkerhet er viktig for virksomheten. Men mens de fleste (66 prosent) er klar over PCI DSS, hadde bare 49 prosent gjennomført en påkrevd selvvurdering ved undersøkelsen.

Beskyttelse av kortinnehaverdata kan virke dyrt og litt overveldende for småbedriftseiere, hvorav de fleste allerede har mange hatter. De økonomiske og anerkjente kostnadene ved brudd kan imidlertid være vesentlige - i noen tilfeller forstyrrer virksomheten din helt og holdent.

Men hvor skal du begynne? Forhåpentligvis begrenser du allerede fysisk tilgang til kortinnehaverinformasjon og holder antivirusprogramvaren oppdatert. Her er flere måter du kan øke datasikkerheten betydelig, mens du administrerer compliance kostnader:

Krypter følsomme data Sannsynligvis er det eneste viktigste tiltaket som en bedrift kan ta for å beskytte kortinnehaverinformasjon, å kryptere kortdata umiddelbart etter at kortet er swiped på salgsstedet. Informasjonen skal forbli i kryptert tilstand mens den overføres til betalingsprosessoren.

Dette trinnet betyr at transaksjonen aldri overføres i ren tekst i rammeverselet, oppringt eller Internett-tilkobling, der potensialet eksisterer for avlytting av svindlere. Hvis dataene blir siphoned av når den er kryptert, er det praktisk talt ubrukelig for tyver.

Reduser "CDE" Hvert datasystem, arkivskap og applikasjon som bruker eller lagrer sensitive kortdata, inkludert krypterte data, er en del av det generelle kortbeholderdatamiljøet (CDE) og innenfor omfanget av PCI DSS-samsvar. Med andre ord, jo flere steder du har data, desto flere steder trenger du å bekymre deg for å beskytte.

Begrens - og til og med krympe - omfanget av CDE-en din ved å begrense bruken av kortinnehaverdata til bare de programmene som direkte gjelder betaling (for eksempel transaksjonsautentisering, daglige bosetninger og tilbakebetalinger).

Embrace Tokenization Tokenisering er et "lagdelt" komplement til kryptering. Kortholderdata sendes til en sentral og svært sikker server (hvelv) etter autorisasjon, og et tilfeldig unikt nummer (tokenet) genereres og returneres til forretningssystemene for bruk uansett hvor kortholderdata normalt vil bli brukt.

Token er spesifikk for kortet og kan fortsatt brukes til å behandle avkastning, spore forbruksvaner og andre forretningsfunksjoner, men selve nummeret har ingen verdi for svindlere. Dette kan dramatisk redusere virkningen av et potensielt data brudd.

Tokenisering kan også bidra til å redusere omfanget av CDE fordi det ikke finnes noen kortholderdata. Bedrifter som erstatter kortholderdata med tokens i alle deres virksomhetsprogrammer, kan redusere omfanget av CDE-en betydelig, og deretter redusere omfanget og kostnadene ved PCI DSS-overholdelse og årlige vurderinger / kvartalsscanning.

Arbeid med en tredjepart En annen måte å krympe miljøet som er underlagt PCI-samsvar, er å overlate ansvaret (og ansvaret) for lagring av kortdata til en tredjeparts tjenesteleverandør. For eksempel kan en bedrift sende krypterte kortdata til betalingsprosessoren for autorisasjon, og når autorisert svar returneres, sendes også et tokenisert nummer til virksomheten.

Denne tilnærmingen lagrer kryptering og tokenisering samtidig som den reduserer en bedrift CDE til det minste mulige fotavtrykk: POS-systemet som inneholder live, forhåndsgodkjenningskortdata.

Rekk opp hånden Bedrifter har et ansvar for å beskytte sine kunders data, men du trenger ikke å gjøre det alene. Snakk med betalingsleverandøren om løsninger og eksperter som kan hjelpe bedriften din til å bli og holde seg i overensstemmelse. Husk at PCI DSS er en minimumsstandard, og å finne den riktige partneren din kan hjelpe deg med å ta smarte beslutninger om hvordan du best kan beskytte kundene dine - og potensielt din bedrift.

1