Sådan bliver du pci-kompatibel

PCI, ofte kaldet PCI DSS, står for betalingskortindustriens datasikkerhedsstandard. Kort sagt er PCI et sæt industristandarder, der bruges til at måle sikkerheden for virksomheder, der accepterer, behandler, gemmer og overfører kreditkortoplysninger. Virksomheder, der er PCI-kompatible, er mindre tilbøjelige til at lide dataovertrædelser, der kunne udsætte kunderne for at identificere tyveri. Hvis du har et købmands-id og accepterer kreditkort i enten din fysiske eller virtuelle forretning, så er du underlagt PCI DSS Industry Standards. PCI Security Standards Council er en uafhængig gruppe af industri fagfolk, der undersøger nye PCI sikkerhedsspørgsmål og opretter programmerne og standarderne for at opretholde integriteten af ​​betalingskortsystemet.

Trin

Del 1 af 3:
Gennemgang af PCI DSS-basics
  1. Billede med titlen Få et job som en bank teller trin 1
1. Bekræft dit købmandsniveau. Det første skridt er at diskutere og bekræfte dit handelsniveau med banken eller clearinghouse, der håndterer dine kreditkorttransaktioner. Købmænd er opdelt i fire kategorier baseret på Visa Card-transaktionen over 12 måneder. Dit handelsniveau vil bestemme, hvor strenge dine PCI-overensstemmelsesprogrammer skal være.
  • En niveau 1-forhandlerprocesser over 6 millioner visumtransaktioner om året eller er udpeget niveau 1 af Visa Company.
  • En niveau 2-forhandler accepterer årligt mellem 1 og 6 millioner visumtransaktioner årligt. Dette inkluderer personligt og online.
  • Et niveau 3 -handler vil behandle mellem 20.000 og 1 million visumtransaktioner om året.
  • En niveau 4 -handler, der betragtes som en lille købmand, tager i færre end 20.000 visumbetalinger om året.
  • PCI DSS krav gælder også for virksomheder, der accepterer andre kreditkort, såsom American Express, MasterCard og Discover. Visa bruges som benchmark for etablering af købmandsniveauer.
  • Billede med titlen Gem penge på batterier Trin 3
    2. Forstå sanktionerne for PCI DSS overtrædelser. Virksomheder, der ikke er PCI DSS-kompatible, kan være underlagt bøder, sanktioner og tab af privilegier fra clearinghouse, der behandler kreditkortbetalinger. Hvis PCI-fejlen resulterer i et faktisk tab af data, kan virksomheden stå over for bøder, højere gebyrer og andre sanktioner fra banker og kreditkortprocessorer.
  • Virksomheder, der ikke er PCI-kompatible, kan være underlagt retssager og statslig retsforfølgning for manglende beskyttelse af kundedata.
  • Billedet med titlen præsenterer dig selv og forretning kraftigt trin 4
    3. Bekendtgør dig med de bedste sikkerhedspraksis. Den første PCI DSS standard, implementeret september 2009 (DSS V 1.2) Indførte de 12 krav, som en købmand skulle undersøge for at være PCI-kompatibel. Afhængigt af dit købmandsniveau vil mængden af ​​teknologi, træning og ekspertise til at gennemføre standarderne variere. For eksempel vil et netværk, der håndterer 2 millioner transaktioner, mere sofistikerede end et netværk, der behandler 2000.
  • PCI 3.1 trådte i kraft i juni 2015 og omhandler nye standarder inden for teknologi og adresserer sårbarheder i fælles krypteringsprogrammer.
  • PCI Compliance Bedste praksis falder ind i fem generelle kategorier: Sikker netværk, databeskyttelse, sårbarhedsstyring, adgangskontrol, overvågning og sikkerhedspolitik. PCI-rådet har et selvvurderingsspørgeskema for at hjælpe små virksomheder med at bestemme overholdelse af sikkerhedsstandarderne.
    • Del 2 af 3:
    Implementering af PCI-overensstemmelsesprogrammer
    1. Billede med titlen Build Trust i et lille firma Trin 3
    1. Byg og vedligehold et sikkert netværk. For virksomheder vil dette betyde at udvikle et forhold til en betroet entreprenør. Medmindre du er en it-professionel, bør du ikke installere dit eget netværk, hvis det gemmer kundedata. Selv et out-of-the-box system kan have sårbarheder, hvis ikke installeret og opdateret korrekt.
    • Hold dine firewalls up-to-date og operationelle. Lad ikke medarbejderne deaktivere firewalls til ethvert formål.
    • Skift adgangskoder, der leveres af sælgeren med det samme. Gennemfør også et kodeord for dine medarbejdere. Adgangskoder skal ændres regelmæssigt i overensstemmelse med leverandørens instruktioner. For eksempel skal adgangskoder være alfanumeriske tegn kombinationer, der ikke er ordbog ord. Hvis din leverandør fungerer på dit system, skal du ændre alle adgangskoder, når det kommer tilbage online.
  • Billedet med titlen Åbn en bankkonto Trin 7
    2. Beskyt kortindehaveroplysninger. Hvis du manuelt behandler kreditkort, skal slip og kvitteringer opretholdes i låste filer med begrænset adgang. Hvis kortindehaveroplysninger er gemt i dit netværk, skal den krypteres og beskyttes bag firmaets firewalls
  • Billede med titlen Opdater en dagpleje forretningsplan trin 2
    3. Opret et sårbarhedsstyringsprogram. Dit system skal beskyttes med passende anti-virus software. Du bør også have et virksomhedsprogram, der forbyder at tilføje software, såsom spil, der kan kompromittere systemet.
  • Billedet med titlen Vær en Business Analyst i Top Management Trin 3
    4. Gennemfør adgangskontrol. Adgang til adgangskode til dit system skal begrænses. Hver medarbejder bør kun have adgangen til, at han skal gøre sit arbejde. Forklar at dette beskytter både dine medarbejdere og dine kunder. Hvis der er en databeskyttelse, vil begrænset adgang indsnævre mulighederne og hjælpe undersøgelsen.
  • For dit netværk, giv hver bruger og hver terminal et unikt ID-nummer. I tilfælde af en bekræftet eller mistænkt overtrædelse vil dine it-fagfolk hurtigt kunne identificere indgangsstedet.
  • Sikre fysiske poster, der indeholder kunde- og kortindehaver data. Brug enten et kortnøglesystem eller en fysisk lås og nøgle.
    • Del 3 af 3:
    Test og vedligeholdelse af PCI-overholdelse
    1. Billede med titlen Build Trust i en lille virksomhed Trin 1
    1. Overvåg og test dine netværk. Dit sikkerhedsprogram skal indeholde regelmæssige scanninger og tests for at spore og overvåge strømmen af ​​kundedata gennem dit netværk. Din it-professionel eller leverandør kan implementere test både, når systemet er ved lav brug (for eksempel sent om aftenen i weekenden) og i realtid, når systemet er i brug.
    • Opretholde en log af testresultater. Diskuter hvor lang tid at opretholde testregistre med din bank- og forsikringsselskab.
  • Billede med titlen Build Trust i en lille virksomhed Trin 6
    2. Udvikle en informationssikkerhedspolitik. Alle trin i dit PCI-compliance-program skal dokumenteres i din sikkerhedspolitik. Dette dokument skal detaljere alle de trin, som din virksomhed tager for at sikre kundedata. For niveau 1 til 3 købmænd, kan dette program køre for flere volumener og integrere medarbejderhåndbogen.
  • Niveau 1 til 3 købmænd vil sandsynligvis enten kontrakt med en sikkerhedspersonale eller have dedikeret personale uddannet i intricacies af at skrive og opretholde informationssikkerhedspolitikken.
  • En niveau 4-forhandler skal kontakte kreditkort clearinghouse for rådgivning og bistand til oprettelse af sikkerhedspolitikken. Hvis processoren ikke giver en programskabelon, skal du overveje at indgå kontrakt med en sikkerhedspersonale for at oprette dokumentet. Medmindre du er en it-professionel, er det usandsynligt, at du vil være tilstrækkeligt kendte i de tekniske detaljer i dit system til at oprette en PCI-kompatibel sikkerhedspolitik. Når det er oprettet, skal det kun opdateres, når dit netværk udvides eller opdateres. Din it-entreprenør kan give dig de dokumenter, du har brug for for at holde din sikkerhedspolitik opdateret.
  • Det meste af dit sikkerhedsprogram vil være teknisk i naturen, som i valg af firewall og sikkerhedssoftware, såvel som testprotokollerne. Du bør dog også omfatte sektioner om processen, når en medarbejder forlader virksomheden, og adgangskoder er tilbagekaldt.
  • Udvikle en proces for at holde styr på nøgler og keycards. Master nøgler skal være så strengt regulerede som højtstående adgangskoder.
  • Billede med titlen Build Trust i en lille virksomhed Trin 4
    3. Vurdere, afhjælpe og rapportere din PCI-overholdelse. Når de 12 dele af PCI Best Practices implementeres, skal du regelmæssigt løbe gennem PCI-Rådets tre-trins gennemgangsproces for at sikre, at overholdelse opretholdes.
  • Inventory Dine it-systemer og forretningsprocesser. Hvis noget er ændret, skal du opdatere dine sikkerhedsprogrammer og sårbarhedsstyringsplaner.
  • Hvis du finder en svaghed i dit system, skal du afhjælpe problemet. Dette kan kræve nyt udstyr eller software, brugeruddannelse eller opdatering af dit netværk. IT-fagfolk bør gennemføre disse ændringer.
  • Fortsæt optegnelser over dine handlinger og indsend rapporter om din overholdelse af dine bank- og kreditkortselskaber. Dine rapporter, indsats og indsigter kan hjælpe et andet firma med at beskytte kundedata.

    • Advarsler

    Niveau 4 Merchants bør diskutere PCI overholdelse af bank eller kreditkort clearinghouse og følge anbefalingerne.
  • Hvis du er en meget lille købmand, som f.eks. En hjemmevirksomhed, er det usandsynligt, at du vil lagre kortdata på dit personlige netværk. Du bør dog stadig gennemgå dine processer med din bank. PCI-rådet har online træning og ressourcer til at hjælpe dig med at forhindre tyveri af kundedata.
    • Del på sociale netværk :
    Lignende