Accepteert u betalingen met credit of debit bij uw bedrijf? Als dit het geval is, is de kans groot dat u moet voldoen aan de gegevensspecificatienorm voor betaalkaarten (PCI DSS).
PCI DSS stelt minimale gegevensbeveiligingsmaatregelen vast voor organisaties over de hele wereld die kaarthouderinformatie bewaren, verwerken of uitwisselen met de grote kaartmerken. De normen worden om de twee jaar herzien en werden meest recent herzien in oktober 2010.
$config[code] not foundVolgens een onderzoek van de National Retail Federation en First Data zei 86 procent van de respondenten in het midden- en kleinbedrijf dat ze er belang aan hechten dat klantenkaartgegevens veilig blijven en dat kaartgegevensbeveiliging belangrijk is voor hun bedrijf. Maar terwijl de meeste (66 procent) op de hoogte zijn van PCI DSS, had slechts 49 procent een vereiste zelfevaluatie voltooid op het moment van de enquête.
Het beschermen van gegevens van kaarthouders kan duur en een beetje overweldigend lijken voor eigenaren van kleine bedrijven, van wie de meesten al veel hoeden dragen. De financiële en reputatiekosten van een schending kunnen echter aanzienlijk zijn - in sommige gevallen brengt dit uw bedrijf helemaal in gevaar.
Maar waar te beginnen? Hopelijk beperkt u de fysieke toegang tot kaarthouderinformatie en houdt u antivirussoftware up-to-date. Hier volgen aanvullende manieren om de gegevensbeveiliging aanzienlijk te verbeteren en tegelijkertijd de nalevingskosten te beheren:
Gevoelige gegevens coderen Waarschijnlijk is de belangrijkste maatregel die een bedrijf kan nemen om kaarthouderinformatie te beschermen, het versleutelen van kaartgegevens onmiddellijk nadat de kaart op het verkooppunt is geveegd. De informatie moet in een gecodeerde status blijven terwijl deze wordt doorgestuurd naar de betalingsverwerker.
Deze stap betekent dat de transactie nooit in platte tekst wordt verzonden in de frame relay, dial-up of internetverbinding, waar het potentieel bestaat voor onderschepping door fraudeurs. Als de gegevens worden overgeheveld zodra ze zijn gecodeerd, is het voor dieven vrijwel onbruikbaar. Verminder uw "CDE" Elk computersysteem, archiefkast en toepassing die gevoelige kaartgegevens gebruiken of opslaat, inclusief versleutelde gegevens, maakt deel uit van de algemene kaarthouder-gegevensomgeving (CDE) en valt binnen het bereik van PCI DSS-conformiteit. Met andere woorden, hoe meer plaatsen u gegevens heeft, hoe meer plaatsen u zich zorgen hoeft te maken over bescherming.
Beperk - en verlaag zelfs - de reikwijdte van uw CDE door het gebruik van kaarthoudergegevens te beperken tot alleen die toepassingen die direct betrekking hebben op betalingen (bijvoorbeeld transactieverificatie, dagelijkse vereffeningen en chargebacks). Omarm Tokenization Tokenisatie is een "gelaagde" aanvulling op codering. Gegevens van kaarthouders worden na autorisatie verzonden naar een gecentraliseerde en uiterst veilige server (kluis) en een willekeurig uniek nummer (het token) wordt gegenereerd en teruggestuurd naar de systemen van het bedrijf voor gebruik waar de gegevens van de kaarthouder normaliter zouden worden gebruikt.
Het token is specifiek voor de kaart en kan nog steeds worden gebruikt voor het verwerken van retouren, het bijhouden van bestedingspraktijken en andere zakelijke functies, maar het nummer zelf heeft geen waarde voor fraudeurs. Dit kan de impact van een potentiële datalek aanzienlijk verminderen. Tokenisatie kan ook helpen de reikwijdte van de CDE te verkleinen, omdat er geen kaarthoudergegevens aanwezig zijn. Bedrijven die kaarthoudergegevens vervangen door tokens in al hun bedrijfsapplicaties, kunnen de reikwijdte van hun CDE aanzienlijk verminderen en vervolgens de reikwijdte en kosten van PCI DSS-naleving en jaarlijkse beoordelingen / driemaandelijkse scans verminderen. Werk met een derde partij Een andere manier om de omgeving die onderworpen is aan PCI-compliance te verkleinen, is om de verantwoordelijkheid (en aansprakelijkheid) voor het opslaan van kaartgegevens over te dragen aan een externe serviceprovider. Een bedrijf kan bijvoorbeeld gecodeerde kaartgegevens naar de betalingsverwerker sturen voor autorisatie, en wanneer het geautoriseerde antwoord wordt geretourneerd, wordt ook een tokenized nummer naar het bedrijf verzonden.
Met deze aanpak worden versleuteling en tokenisatie gelaagd, terwijl ook het CDE van een bedrijf tot de kleinst mogelijke voetafdruk wordt verkleind: het POS-systeem dat live gegevens van de pre-autorisatiekaart bijhoudt. Steek je hand omhoog Bedrijven hebben de verantwoordelijkheid om de gegevens van hun klanten te beschermen, maar u hoeft het niet alleen te doen. Praat met uw betalingsprovider over oplossingen en experts die uw bedrijf kunnen helpen om compliant te worden en te blijven. Onthoud dat PCI DSS een minimumstandaard is en dat het vinden van de juiste partner (s) u kan helpen slimme beslissingen te nemen over hoe u uw klanten - en mogelijk uw bedrijf - het best kunt beschermen.
1