Skip to main content

5 Savjeta za jednostavnu usklađenost s PCI-om

PCI sukladnost može se činiti poput lukavog umjetničkog djela ako ste mali trgovac, ali ga zanemarite prema vašoj opasnosti. Nepoštivanje sigurnosnih standarda koje je izradio Vijeće za sigurnosne standarde industrije (PCI) donosi kazne od $ 5.000 do $ 100.000 mjesečno.

PCI sigurnosni standardi (DSS) i mnogi drugi popratni dokumenti mogu se jednostavno skinuti s web stranice vijeća, ali za male tvrtke bez IT profesionalca, zahtjevi mogu biti zbunjujući. Međutim, postoje neke stvari koje možete učiniti kako biste olakšali proces usklađenosti i sigurnosne mjere koje ona diktira. Iako još uvijek predlažem unajmljivanje kvalificiranog procjenitelja sigurnosti (QSA), ovi vam savjeti mogu upućivati ​​u pravom smjeru.

Nemojte pohranjivati ​​podatke o karticama

Kako biste uvelike pojednostavili potrebne sigurnosne mjere za PCI sukladnost, nemojte spremiti ili pohranjivati ​​podatke o karticama u pisanom ili digitalnom obliku. Koristite čitač kartica, POS i / ili platni procesor koji ne zadržava te informacije na vašim sustavima, tako da nećete morati brinuti o zaštiti i kriptiranju tih podataka.

[

] Nikad ne pohranjujte podatke o autentičnosti kreditne kartice.

Ako trebate zadržati podatke o davatelju kartica za ponovni dolazak naplatu ili druge potrebne poslovne svrhe, provjerite s vašim procesorom za plaćanje kako biste vidjeli nude li opcije koje omogućuju unos i pohranu podataka na svojim sustavima. Ako morate sami pohraniti podatke, ne zaboravite da ćete morati pratiti više sigurnosnih mjera i nikada nećete spremati osjetljive podatke o autentičnosti: potpuni podatci o magnetnoj traci, sigurnosni kod ili PIN.

Odaberite PCI kompatibilan Web host

Ako prodajete proizvode ili plaćate putem svoje web stranice, odaberite plan za web hosting s PCI-jem i aplikaciju za e-trgovinu ili košaricu. Neki web hosting tvrtke javno objavljuju svoje pojedinosti o usklađenosti na svojoj web stranici, ali u mnogim slučajevima morat ćete pitati odjel prodaje ili podrške. Za aplikacije e-trgovine i košaricu za kupnju možete se obratiti na popis odobrenih aplikacija za plaćanje iz vijeća PCI.

Vjerojatno imate veću vjerojatnost postizanja usklađenosti s PCI-om ako koristite jeftinije hosting hosting planove zbog načina na koji poslužitelji podijeljeni su među više vlasnika web stranica. No, možda ćete se moći maknuti s upotrebom jednog (to je čak i neusklađen) ako odaberete hostirano rješenje za plaćanje u kojem se klijenti prosljeđuju na odgovarajuću web lokaciju kako bi unijeli pojedinosti o kreditnoj kartici, kao što su PayPal Standard, 2Checkout ili Authorize. Neto. I možda biste htjeli uzeti u obzir ugostiteljsko rješenje plaćanja čak i ako je vaš web hosting plan usklađen s ciljem smanjenja sigurnosnih mjera koje morate poduzeti. Međutim, ako želite potpuno integrirati postupak plaćanja unutar svoje web stranice, možda ćete morati ići s skupljim virtualnim privatnim ili posvećenim poslužiteljem koji je obično PCI kompatibilan.

Koristite dial-up terminale umjesto IP terminala

Dial-up terminal za kreditne kartice povezuje se s vašom telefonskom linijom i komunicira s procesorom za plaćanje slično načinu na koji su stari 56K modemi priključeni na dial-up internet. One su sporiji od terminala koji se temelje na IP-u, ali mogu znatno smanjiti vašu okolinu podataka vlasnika kartica - računala i komponente u kojima se pohranjuju, obrađuju ili prenose informacije o karticama čime se smanjuju sigurnosne mjere koje morate slijediti.

Bez obzira na sve vrstu terminala za kreditnu karticu ili POS sustav koji ste odabrali, osigurajte da je PCI kompatibilan, bilo putem dobavljača ili provjerom odobrenih PIN transakcijskih uređaja za sigurnost i / ili popisa potvrđenih zahtjeva za plaćanje od vijeća PCI. Također provjerite s dobavljačima o tome kako njihovi terminali rade i raspitajte se o onima koji olakšavaju usklađenost.

Koristite zasebnu mrežu za obradu plaćanja

Ako koristite terminale s kreditnom karticom s IP-om, možda je jednostavnije imati potpuno odvojenu mrežu s vlastitom internetskom vezom samo za obradu plaćanja. To može olakšati sigurnosne mjere koje morate poduzeti tijekom početnog podešavanja mreže i one koje morate slijediti u budućnosti kako biste ostali usklađeni s PCI standardom.

Čuvanje sigurnih mobilnih kartica

Za male tvrtke koje nude usluge na licu mjesta, rješenja za mobilne kartice poput Trga, GoPaymenta ili PayPala Ovdje su vrlo atraktivni. Oni nude brz i jednostavan način za prihvaćanje plaćanja kreditnim karticama, a mogu se upotrebljavati i putem pametnih telefona ili tableta putem podataka ćelije ili Wi-Fi veze. Iako se trenutni zahtjevi za PCI DSS (verzija 2.0) ne odnose na mobilne čitače, poslovni subjekti i dalje moraju osigurati da su ta rješenja u skladu s PCI standardom.

PCI je objavio sigurnosne smjernice za osiguravanje mobilnih rješenja za plaćanje koje koristite pametnih telefona ili tableta. U osnovi, trebali biste osigurati da mobilni uređaji budu fizički i digitalno sigurni od krađe, neovlaštene uporabe, zlonamjernih programa i hakiranja. Nemojte zatvarati jailbreak ili korjeniti uređaj ili omogućiti druge funkcije koje mogu učiniti uređaj nesiguran, kao što je USB Debugging na Android uređajima. Instalirajte protuvirusnu aplikaciju i preuzmite aplikacije samo iz pouzdanih izvora kao što je službena trgovina aplikacija. I zapamtite jesu li mobilni uređaji povezani s Wi-Fi vezom pod kontrolom tvrtke dok koristite čitač kartica, mreža mora biti u skladu s PCI standardom.