Hvorfor PCI-samsvar Er Nødvendig For SMB-er

2023 Forfatter: Susan Creighton | [email protected]. Sist endret: 2023-08-25 03:48

De siste bruddene på store forhandlere har ført til regulering av betalingskortsektoren (PCI). Det er imidlertid ikke bare store selskaper som trenger å overholde denne forskriften. Reglene gjelder for enhver virksomhet som er avhengig av kreditt- og debetkort for transaksjoner. Selv om bedriften din sysselsetter fire personer og gjennomfører en kredittkorttransaksjon i måneden, må den være PCI-kompatibel.

Dette er lettere sagt enn gjort. Verizon 2018 Payment Security Report fant at de fleste selskaper sliter med å oppfylle Payment Card Industry Data Security Standard (PCI DSS), det regelverket som er laget for å holde kreditt- og debetkortdata sikre, med bare 52% i samsvar, ned fra 55% i 2017.

"Det er ikke en god trend, " sa Ciske Van Oosten, senior manager for global etterretning ved Verizon, i et intervju med eWeek. "Vi vet at organisasjoner som ikke opprettholder PCI-DSS-samsvar, det er de som blir brutt."

Hva er betalingskortbransjen?

"Betalingskortindustri" er fangstbegrepet for bransjer som bruker eller bruker kreditt- og debetkort. Dette inkluderer salgssystemer som brukes av handel og detaljhandel, minibanker og institusjoner som utsteder enhver type kreditt, debetkort eller forhåndsbetalt kort for monetære transaksjoner.

I 2006 kom de store kredittkortselskapene - Visa, Mastercard, American Express og Discover, samt det japanske kredittkontoret - for å opprette Payment Card Industry Security Standards Council (PCI SSC) som en måte å adressere og håndtere behovet for forbedret sikkerhet i hele bransjen. Dette førte til betalingskortindustriens sikkerhetsstandard.

Redaktørens merknad: vurderer du en behandlingstjeneste med kredittkort for bedriften din? Hvis du leter etter informasjon som hjelper deg å velge den som passer deg, kan du bruke spørreskjemaet nedenfor for å få informasjon fra en rekke leverandører gratis

kjøperzone widget

Hvert selskap som godtar kreditt- og debetkort må følge PCI DSS, uansett omfang av transaksjoner eller størrelsen på virksomheten (selv om PCI SSC gir hjelp til små bedrifter her). Imidlertid er det fire nivåer av samsvar basert på Visa-transaksjonsvolum over en periode på 12 måneder. Disse nivåene bestemmer handlingene organisasjonen må ta for å være kompatibel; jo flere transaksjoner, jo flere handlinger er nødvendige. I følge PCIComplianceGuide.org er dette de fire nivåene og kravene deres:

• Nivå 1: Enhver selger - uansett akseptkanal - som behandler over 6 millioner Visa-transaksjoner per år. Enhver selger som Visa etter eget skjønn bestemmer, skal oppfylle kravene til nivå 1-selger for å minimere risikoen for Visa-systemet.
• Nivå 2: Enhver selger - uavhengig av akseptkanal - som behandler 1 til 6 millioner Visa-transaksjoner per år.
• Nivå 3: Enhver selger som behandler 20 000 til 1 million Visa e-handelstransaksjoner per år.
• Nivå 4: Enhver selger som behandler færre enn 20 000 Visa-netthandelstransaksjoner per år, og alle andre selgere behandler opp til 1 million Visa-transaksjoner per år - uansett akseptkanal.

12 krav til PCI DSS

PCI SCC gir en liste over 12 krav for å oppfylle PCI DSS:

1. Installer og vedlikehold en brannmurkonfigurasjon for å beskytte kortholderdata.
2. Ikke bruk leverandørleverte standarder for systempassord og andre sikkerhetsparametere.
3. Beskytt lagrede kortholderdata.
4. Krypter overføring av kortholderdata over åpne, offentlige nettverk.
5. Bruk og oppdater regelmessig antivirusprogramvare eller -programmer.
6. Utvikle og vedlikeholde sikre systemer og applikasjoner.
7. Begrens tilgang til kortholderdata etter behov fra virksomheten.
8. Tildel en unik ID til hver person med datatilgang.
9. Begrens fysisk tilgang til kortholderdata.
10. Spor og overvåk all tilgang til nettverksressurser og kortholderdata.
11. Test sikkerhetssystemer og prosesser regelmessig.
12. Opprettholde en policy som adresserer informasjonssikkerhet for ansatte og entreprenører.

Hvorfor PCI-overholdelse betyr noe

Mer enn noen gang før bryr forbrukerne seg om sikkerhet. Med høyprofilerte datainnbrudd, mange av dem som kommer gjennom stjålne kreditt- og debetkort i hele detaljhandels- og servicenæringen, ønsker forbrukerne å vite at de driver forretninger trygt og ikke vil høre fra kredittkortselskapene sine om tvilsomme avgifter. Forbrukerne vil gå vekk fra virksomheter som har fått datainnbrudd, og et enkelt brudd kan være så kostbart at det kan ende med å sette små selskaper ut av virksomhet for godt. PCI-samsvar garanterer ikke at datainnbrudd ikke vil skje, men det legger til beskyttelse for å forbedre sikkerheten.

Hvis det er funnet at en virksomhet ikke er i samsvar, kan den koste alt fra $ 5, 000 til $ 100, 000 per måned i bøter. Hvis avvik ikke pågår, kan selgeren bli fjernet av betalingstjenester. [Ser du etter en behandlingstjeneste med kredittkort? Sjekk ut våre anmeldelser og de beste valgene.]

Hvordan forbli PCI-kompatibel

PCI-overholdelse er ikke omsettelig hvis du godtar kreditt- og debetkort, men det kan være skremmende å forberede seg til en PCI-revisjon og sikre at selskapet ditt oppfyller overholdelsesstandarder. Jeff Vansickel, seniorkonsulent ved IT-compliance-konsulentfirma SystemExperts, ga noen tips for å forberede deg på en PCI-vurdering og holde standardene dine på sikre nivåer til enhver tid:

Identifiser alle forretnings- og klientdata, inkludert kortholderdata, følsomhet og kritikk. Å riktig definere omfanget av vurderingen er sannsynligvis den vanskeligste og viktigste delen av et PCI-samsvarsprogram, sa Vansickel. Et altfor trangt omfang kan sette kortholderdata i fare, mens et altfor bredt omfang kan gi enorme og unødvendige kostnader og krefter i et PCI-samsvarsprogram

Forstå grensene for kortholderdatamiljøet og alle dataene som flyter inn og ut av det. Ethvert system som kobles til kortholderens datamiljø er innenfor omfanget av samsvar og må derfor oppfylle PCI-krav. Kortinnehaverens datamiljø inkluderer alle prosesser, teknologi og personer som lagrer, behandler eller overfører kundekortinnehaver data eller autentiseringsdata, samt alle tilkoblede systemkomponenter og eventuelle virtualiseringskomponenter, for eksempel servere

Etabler driftskontroller for å beskytte konfidensialiteten og integriteten til kortholderdata. Kortholderdata skal beskyttes uansett hvor de importeres, behandles, lagres og overføres. Det må også kastes på riktig måte ved slutten av levetiden. "Sikkerhetskopiering må også bevare konfidensialiteten og integriteten til kortholderdata, " sa Vansickel. "I tillegg må alle medier avhendes på riktig måte for å sikre fortsatt konfidensialitet av dataene. Husk å inkludere ikke bare harddiskene som brukes av selskapseide datasystemer, men også leide systemer og lagring som er inkludert i moderne kopimaskiner og skrivere."

Ha en plan for hendelsessvar. Når en sikkerhetshendelse inntreffer, er det viktig å ha en plan for å komme tilbake til sikker drift så raskt som mulig. Denne planen skal definere roller, ansvar, kommunikasjonskrav og kontaktstrategier i tilfelle et kompromiss, inkludert varsling om betalingsmerker, juridisk rådgiver og PR. Dette vil sikre rettidig og effektiv håndtering av alle kompromitterte situasjoner. "Ideelt sett bør selskaper ha en sertifisert rettsmedisinske spesialist på holder som kan samle bevis og vitne som et ekspertvitne om nødvendig, " sa Vansickel