Accettate pagamenti di credito o di debito nella vostra azienda? In tal caso, è probabile che sia necessario rispettare lo standard PCI DSS (Payment Data Industry Standard).
PCI DSS stabilisce misure minime di sicurezza dei dati per le organizzazioni di tutto il mondo che trattengono, elaborano o scambiano informazioni sui titolari di carta da uno qualsiasi dei principali marchi di carte. Gli standard sono rivisti ogni due anni e sono stati recentemente revisionati nell'ottobre 2010.
$config[code] not foundSecondo uno studio della National Retail Federation e First Data, l'86% degli intervistati di piccole e medie imprese ha dichiarato di preoccuparsi di proteggere le informazioni delle carte dei clienti e ritiene che la sicurezza dei dati delle carte sia importante per la loro attività. Ma mentre la maggior parte (66%) è a conoscenza di PCI DSS, solo il 49% ha completato un'autovalutazione richiesta al momento dell'indagine.
Proteggere i dati dei titolari di carta può sembrare costoso e un po 'opprimente per i proprietari di piccole imprese, molti dei quali già indossano molti cappelli. Tuttavia, i costi finanziari e di reputazione di una violazione possono essere significativi, in alcuni casi mettendo a repentaglio la vostra attività.
Ma da dove cominciare? Si spera che si limiti già l'accesso fisico alle informazioni del titolare della carta e si tenga aggiornato il software antivirus. Ecco altri modi per aumentare in modo significativo la sicurezza dei dati durante la gestione dei costi di conformità:
Cripta dati sensibili Probabilmente la misura più importante che un'impresa può prendere per proteggere le informazioni dei titolari di carte è quella di criptare i dati delle carte immediatamente dopo che la carta è stata barrata al punto di vendita. Le informazioni dovrebbero rimanere in uno stato crittografato mentre vengono trasmesse al processore di pagamento.
Questo passaggio significa che la transazione non viene mai trasmessa in formato testo nel frame relay, dial-up o connessione Internet, in cui esiste il potenziale per l'intercettazione da parte dei truffatori. Se i dati vengono sifonati una volta crittografato, è praticamente inutile per i ladri. Riduci il tuo "CDE" Ogni sistema informatico, schedario e applicazione che utilizza o memorizza i dati sensibili delle carte, inclusi i dati crittografati, fa parte dell'ambiente complessivo dei dati dei titolari di carta (CDE) e nell'ambito della conformità PCI DSS. In altre parole, più posti hai dati, più posti devi preoccuparti di proteggere.
Limita e persino restringere l'ambito del tuo CDE limitando l'uso dei dati dei titolari di carta solo alle sole applicazioni direttamente relative ai pagamenti (ad es. Autenticazione delle transazioni, pagamenti giornalieri e chargeback). Abbracciare la tokenizzazione La tokenizzazione è un complemento "a strati" della crittografia. I dati dei titolari di carta vengono inviati a un server centralizzato e altamente sicuro (vault) dopo l'autorizzazione e un numero univoco casuale (il token) viene generato e restituito ai sistemi aziendali per l'uso ovunque i dati del titolare della carta vengano normalmente utilizzati.
Il token è specifico della carta e può ancora essere utilizzato per elaborare i ritorni, tracciare le abitudini di spesa e altre funzioni aziendali, ma il numero stesso non ha alcun valore per i truffatori. Ciò può ridurre drasticamente l'impatto di una potenziale violazione dei dati. La tokenizzazione può anche aiutare a ridurre l'ambito del CDE perché non sono presenti dati di titolari di carta. Le aziende che sostituiscono i dati dei titolari di carta con token in tutte le loro applicazioni aziendali possono ridurre in modo significativo l'ambito del loro CDE e successivamente ridurre l'ambito e i costi della conformità PCI DSS e delle valutazioni annuali / scansioni trimestrali. Lavora con una terza parte Un altro modo per ridurre l'ambiente soggetto alla conformità PCI è quello di trasferire la responsabilità (e la responsabilità) per l'archiviazione dei dati delle carte a un fornitore di servizi di terze parti. Ad esempio, un'azienda può inviare i dati della carta crittografata al processore pagamenti per l'autorizzazione e, quando viene restituita la risposta autorizzata, viene inviato all'azienda anche un numero con token.
Questo approccio stratifica la crittografia e la tokenizzazione riducendo allo stesso tempo il CDE di un'azienda al minimo ingombro possibile: il sistema POS che contiene dati della carta di pre-autorizzazione in tempo reale. Alza la mano Le aziende hanno la responsabilità di proteggere i dati dei propri clienti, ma non è necessario farlo da soli. Parla con il tuo fornitore di servizi di pagamento di soluzioni ed esperti che possano aiutare la tua azienda a mantenere la conformità. Ricorda, PCI DSS è uno standard minimo e trovare il partner giusto può aiutarti a prendere decisioni intelligenti su come proteggere al meglio i tuoi clienti e potenzialmente la tua attività.
1