Skip to main content

5 Wskazówek dla łatwej zgodności z PCI

Zgodność z PCI może wydawać się magiczną sztuką, jeśli jesteś małym kupcem, ale ignorujesz to na własne ryzyko. Nieprzestrzeganie standardów bezpieczeństwa opracowanych przez Radę Standardów Bezpieczeństwa Kart Płatniczych (PCI) wiąże się z karami o wartości od 5 000 do 100 000 USD miesięcznie.

Standardy bezpieczeństwa danych (DSS) i wiele innych dokumentów pomocniczych można łatwo pobrać z strona internetowa rady, ale dla małych firm bez specjalisty ds. bezpieczeństwa IT, wymagania mogą być kłopotliwe. Jest jednak kilka rzeczy, które możesz zrobić, aby ułatwić proces zgodności i środki bezpieczeństwa, które on narzuca. Mimo że nadal sugeruję zatrudnienie kwalifikowanego analityka bezpieczeństwa (QSA), wskazówki te mogą wskazać właściwy kierunek.

Nie przechowuj żadnych danych posiadaczy kart

Aby znacznie uprościć wymagane środki bezpieczeństwa w celu zapewnienia zgodności z PCI, nie należy zapisywać lub przechowywać dane wszystkich posiadaczy kart w formie pisemnej lub cyfrowej. Użyj czytnika kart, punktu sprzedaży i / lub procesora płatności, który nie zachowuje tych informacji w systemach, więc nie musisz się martwić o ochronę i szyfrowanie tych danych. Skontaktuj się z dostawcami usług płatniczych, aby uzyskać szczegółowe informacje na temat ich modeli.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Nigdy nie przechowuj danych uwierzytelniających karty kredytowej.

Jeśli chcesz zachować dane posiadacza karty do ponownego pojawienia się rozliczenia lub inne wymagane cele biznesowe, sprawdź w swoim procesorze płatności, czy oferują opcje umożliwiające wprowadzanie i przechowywanie danych w swoich systemach. Jeśli musisz przechowywać dane samodzielnie, pamiętaj, że będziesz musiał przestrzegać wielu dodatkowych środków bezpieczeństwa i nigdy nie będziesz w stanie przechowywać poufnych informacji uwierzytelniających: pełnego paska magnetycznego, kodu zabezpieczającego lub kodu PIN.

Wybierz urządzenie zgodne z PCI Host sieci Web

Jeśli sprzedajesz produkty lub realizujesz płatności za pośrednictwem swojej witryny internetowej, wybierz zgodny z PCI plan hostingu internetowego oraz aplikację e-commerce lub koszyk na zakupy. Niektóre firmy hostingowe publicznie publikują swoje dane dotyczące zgodności na swojej stronie internetowej, ale w wielu przypadkach będziesz musiał poprosić dział sprzedaży lub wsparcia. W przypadku aplikacji e-commerce i koszy na zakupy można zapoznać się z listą zatwierdzonych wniosków o płatność od rady PCI.

Prawdopodobnie będziesz mieć większą szansę na osiągnięcie zgodności ze standardem PCI, jeśli korzystasz z tańszych udostępnianych planów hostingowych ze względu na sposób, w jaki serwery są podzielone między wielu właścicieli witryn. Ale możesz być w stanie uciec za pomocą jednego (to nawet niezgodne), jeśli wybierzesz hostowane rozwiązanie płatności, w którym klienci zostaną przekierowani do zgodnej witryny, aby wprowadzić dane swojej karty kredytowej, takie jak PayPal Standard, 2Checkout lub Authorize. Netto. A może warto rozważyć hostingowe rozwiązanie płatnicze, nawet jeśli Twój plan hostingowy jest zgodny, aby zmniejszyć środki bezpieczeństwa, które musisz podjąć. Jeśli jednak chcesz w pełni zintegrować proces płatności w swojej witrynie, być może będziesz musiał skorzystać z droższego wirtualnego serwera prywatnego lub dedykowanego, który jest zwykle zgodny z PCI.

Używaj terminali dial-up zamiast terminali IP

Terminale kart telefonicznych łączą się z linią telefoniczną i komunikują się z procesorem płatności podobnie jak stare modemy 56K połączone z Internetem dial-up. Są wolniejsze od terminali opartych na protokole IP, ale mogą znacznie zmniejszyć środowisko danych posiadaczy kart - komputery i komponenty, w których informacje o posiadaczu karty są przechowywane, przetwarzane lub przesyłane - co zmniejsza środki bezpieczeństwa, których musisz przestrzegać.

Nie ważne co typ terminala kart kredytowych lub systemu POS, który wybierzesz, upewnij się, że jest zgodny ze standardem PCI, albo przez dostawcę, albo poprzez zatwierdzenie zatwierdzonych urządzeń zabezpieczających transakcję PIN i / lub listę potwierdzonych wniosków o płatność od rady PCI. Sprawdź również u sprzedawców, jak pracują ich terminale i zapytaj o te, które ułatwiają ich przestrzeganie.

Użyj oddzielnej sieci do przetwarzania płatności

Jeśli korzystasz z terminali kart kredytowych opartych na protokole IP, łatwiej będzie mieć całkowicie oddzielną sieć z własnym połączeniem internetowym tylko do przetwarzania płatności. Może to ułatwić podejmowanie środków bezpieczeństwa podczas początkowej konfiguracji sieci i tych, które należy przestrzegać w przyszłości, aby zachować zgodność z PCI.

Bezpieczne czytniki kart mobilnych

Dla małych firm świadczących usługi na miejscu, rozwiązania czytników kart mobilnych jak Square, GoPayment lub PayPal Tutaj są bardzo atrakcyjne. Oferują szybki i łatwy sposób na rozpoczęcie akceptowania płatności kartą kredytową i mogą być używane ze smartfonami lub tabletami za pośrednictwem danych komórkowych lub połączenia Wi-Fi. Chociaż obecne wymagania PCI DSS (wersja 2.0) nie odnoszą się konkretnie do czytników kart mobilnych, firmy nadal muszą zapewnić, że te rozwiązania są zgodne ze standardem PCI.

PCI opublikowała wytyczne bezpieczeństwa dotyczące zabezpieczania rozwiązań płatności mobilnych, z których korzystasz Twoje smartfony lub tablety. Zasadniczo należy się upewnić, że urządzenia mobilne są fizycznie i cyfrowo zabezpieczone przed kradzieżą, nieautoryzowanym użyciem, złośliwym oprogramowaniem i włamaniami. Nie należy jailbreakować ani rootować urządzenia ani włączać innych funkcji, które mogą spowodować brak bezpieczeństwa urządzenia, takich jak debugowanie USB na urządzeniach z systemem Android. Zainstaluj aplikację antywirusową i pobieraj aplikacje tylko z zaufanych źródeł, takich jak oficjalny sklep z aplikacjami. Pamiętaj też, że jeśli urządzenia przenośne są podłączone do połączenia Wi-Fi pod kontrolą firmy podczas korzystania z czytnika kart, sieć musi być zgodna z PCI.