Spara pengar, Lessen Risk genom att förenkla PCI Compliance

Anonim

Accepterar du kredit- eller betalkort hos ditt företag? Om så är fallet är risken att du måste följa Betalningskortets branschdatasäkerhetsstandard (PCI DSS).

PCI DSS fastställer minimala datasäkerhetsåtgärder för organisationer runt om i världen som håller, behandlar eller byter kortinnehavsinformation från några av de stora kortvarumärkena. Standarderna ses över vartannat år, och ändrades senast i oktober 2010.

$config[code] not found

Enligt en studie från National Retail Federation och First Data, uppgav 86 procent av små och medelstora företagare att de bryr sig om att hålla kundinformationen säker och känna datasäkerhet för kort är viktigt för sin verksamhet. Men medan de flesta (66 procent) är medvetna om PCI DSS hade endast 49 procent genomfört en obligatorisk självbedömning vid tidpunkten för undersökningen.

Skydda korthållardata kan verka dyrt och lite överväldigande för småföretagare, varav de flesta redan bär många hattar. De ekonomiska och renommationella kostnaderna för ett brott kan emellertid vara betydande - i vissa fall äventyra ditt företag helt och hållet.

Men vart ska man börja? Förhoppningsvis begränsar du redan fysisk tillgång till kortinnehavarens information och håller antivirusprogrammet uppdaterat. Här är ytterligare sätt som du kan öka datasäkerheten avsevärt, samtidigt som du hanterar efterlevnadskostnader:

Kryptera känsliga data Förmodligen är den enskilt viktigaste åtgärden som ett företag kan ta för att skydda kortinnehavaren information att kryptera kortdata omedelbart efter att kortet har svept på försäljningsstället. Informationen ska vara krypterad medan den överförs till betalningsprocessorn.

Detta steg betyder att transaktionen aldrig överförs i vanlig text i ramreläet, uppringning eller Internet-anslutning, där potentialen finns för avlyssning av bedrägerier. Om data krypteras när den krypteras är den praktiskt taget värdelös för tjuvar.

Minska din "CDE" Varje datorsystem, arkivskåp och applikation som använder eller lagrar känsliga kortdata, inklusive krypterad data, ingår i den övergripande korthållardatamiljön (CDE) och inom ramen för PCI DSS-överensstämmelse. Med andra ord, ju fler platser du har data, desto fler platser behöver du oroa dig för att skydda.

Begränsa - och till och med krympa - räckvidden för din CDE genom att begränsa användningen av kortinnehavsdata till bara de program som direkt berör betalningar (t.ex. transaktionsautentisering, dagliga bosättningar och återkrav).

Embrace Tokenization Tokenisering är ett "skiktat" komplement till kryptering. Kortinnehavarens data skickas till en centraliserad och mycket säker server (valv) efter auktorisering och ett slumpmässigt unikt nummer (token) genereras och returneras till affärssystemen för användning varhelst kortinnehavsdatan normalt skulle användas.

Tecknet är specifikt för kortet och kan fortfarande användas för att behandla avkastning, spåra utgifterna och andra affärsfunktioner, men själva numret har inget värde för bedrägerier. Detta kan dramatiskt minska effekten av en potentiell dataöverträdelse.

Tokenisering kan också bidra till att minska CDE: s räckvidd eftersom det inte finns några korthållardata. Företag som ersätter kortinnehavsuppgifter med tokens i alla sina företagsapplikationer kan avsevärt minska omfattningen av deras CDE och därefter minska omfattningen och kostnaderna för PCI DSS-överensstämmelse och årliga bedömningar / kvartalsvisningar.

Arbeta med en tredje part Ett annat sätt att krympa miljön som omfattas av PCI-överensstämmelse är att överlämna ansvaret (och ansvaret) för att lagra kortdata till en tredjepartsleverantör. Ett företag kan till exempel skicka krypterad kortdata till betalningsprocessorn för auktorisering, och när det godkända svaret returneras, skickas också ett tokenerat nummer till verksamheten.

Detta tillvägagångssätt lagrar kryptering och tokenisering samtidigt som en affärs CDE reduceras till det minsta möjliga fotavtrycket: POS-systemet som innehåller live, förkortning av kortdata.

Räck upp handen Företagen har ett ansvar för att skydda sina kunders data, men du behöver inte göra det ensam. Prata med din betalningsleverantör om lösningar och experter som kan hjälpa ditt företag att få och hålla sig överens. Kom ihåg att PCI DSS är en minsta standard och att hitta rätt partner kan hjälpa dig att fatta smarta beslut om hur man bäst skyddar dina kunder - och eventuellt ditt företag.

1