Hur man blir pci-kompatibel

PCI, som ofta kallas PCI DSS, står för betalningskortindustrin datasäkerhetsstandard. Kort sagt är PCI en uppsättning industristandarder som används för att mäta säkerheten för företag som accepterar, bearbetar, lagrar och skickar kreditkortsinformation. Företag som är PCI-kompatibla är mindre benägna att få dataöverträdelser som kan utsätta kunder för att identifiera stöld. Om du har ett Merchant ID och acceptera kreditkort i antingen din fysiska eller virtuella verksamhet, är du föremål för PCI DSS Industry Standards. PCI Security Standards Council är en oberoende grupp av branschpersonal som undersöker nya säkerhetsproblem och skapar programmen och standarderna för att upprätthålla betalningskortssystemets integritet.

Steg

Del 1 av 3:
Granska PCI DSS-grunderna
  1. Bilden med titeln Få ett jobb som en bankräknare Steg 1
1. Bekräfta din köpmän. Det första steget är att diskutera och verifiera din handelsnivå med banken eller clearinghuset som hanterar dina kreditkortstransaktioner. Merchants är uppdelade i fyra kategorier baserade på viseringskortstransaktion över 12 månader. Din handelsnivå kommer att avgöra hur stränga dina PCI-överensstämmelsesprogram måste vara.
  • En nivå 1-köpman behandlar över 6 miljoner viseringstransaktioner per år eller är utsedd Nivå 1 av visumföretaget.
  • En nivå 2 köpman accepterar mellan 1 och 6 miljoner viseringstransaktioner årligen. Detta inkluderar personligen och online.
  • En nivå 3-köpman kommer att behandla mellan 20 000 och 1 miljon viseringstransaktioner per år.
  • En nivå 4-köpman, som anses vara en liten handlare, tar in färre än 20 000 visumbetalningar per år.
  • PCI DSS-krav gäller även för företag som accepterar andra kreditkort, som American Express, MasterCard och Upptäck. Visa används som riktmärke för att etablera handelsnivåer.
  • Bild med titeln Spara pengar på batterier Steg 3
    2. Förstå sanktionerna för PCI DSS-överträdelser. Företag som inte är PCI DSS-kompatibla kan vara föremål för böter, sanktioner och förlust av privilegier från clearinghuset som behandlar kreditkortsbetalningar. Om PCI-felet resulterar i en faktisk förlust av data, kan verksamheten möta böter, högre avgifter och andra sanktioner från banker och kreditkortsprocessorer.
  • Företag som inte är PCI-kompatibla kan vara föremål för rättegångar och statligt åtal för att inte skydda kunddata.
  • Bild med titeln Presentera dig själv och företag kraftigt steg 4
    3. Bekanta dig med de bästa säkerhetsmetoderna. Den första PCI DSS-standarden, genomförd september 2009 (DSS V 1.2) introducerade de 12 kraven som en köpman ska undersöka för att vara PCI-kompatibel. Beroende på din handelsnivå, kommer mängden teknik, utbildning och expertis att genomföra standarderna att variera. Ett nätverk som hanterar 2 miljoner transaktioner kommer till exempel att vara mer sofistikerade än ett nätverk som behandlar 2000.
  • PCI 3.1 trädde i kraft i juni 2015 och behandlar nya standarder inom teknik och adresserar sårbarheter i gemensamma krypteringsprogram.
  • PCI-överensstämmelse Bästa praxis faller i fem allmänna kategorier: Säkert nätverk, dataskydd, sårbarhetshantering, åtkomstkontroll, övervakning och säkerhetspolitik. PCI-rådet har ett självbedömningsformulär för att hjälpa småföretag att fastställa överensstämmelse med säkerhetsnormerna.
    • Del 2 av 3:
    Genomförandet av PCI-överensstämmelseprogram
    1. Bild med titeln Bygg tillit i ett litet företag Steg 3
    1. Bygg och behåll ett säkert nätverk. För företag kommer det att innebära att man utvecklar ett förhållande med en betrodd entreprenör. Om du inte är en IT-professionell bör du inte installera ditt eget nätverk om det kommer att lagra kunddata. Även ett out-of-the-box-system kan ha sårbarheter om det inte är installerat och uppdaterat ordentligt.
    • Håll dina brandväggar uppdaterade och operativa. Låt inte anställda inaktivera brandväggar för något ändamål.
    • Ändra lösenord som tillhandahålls av leverantören omedelbart. Också implementera ett lösenordsprogram för dina anställda. Lösenord bör ändras regelbundet i överensstämmelse med leverantörsinstruktionerna. Till exempel bör lösenord vara alfa-numeriska teckenkombinationer som inte är ordboksord. Om din leverantör fungerar på ditt system, bör du ändra alla lösenord när det kommer tillbaka online.
  • Bild med titeln Öppna ett bankkonto Steg 7
    2. Skydda kortinnehavaren information. Om du manuellt behandlar kreditkort, bör slipsarna och kvitton hållas i låsta filer med begränsad åtkomst. Om kortinnehavaren lagras i ditt nätverk ska det krypteras och skyddas bakom företagets brandväggar
  • Bild med titeln Uppdatera en daghems affärsplan Steg 2
    3. Skapa ett sårbarhetshanteringsprogram. Ditt system ska skyddas med lämplig antivirusprogram. Du bör också ha ett företagsprogram som förbjuder att lägga till programvara, till exempel spel, som kan äventyra systemet.
  • Bild med titeln vara en affärsanalytiker i toppledningen Steg 3
    4. Implementera åtkomstkontroll. Lösenordsåtkomst till ditt system bör begränsas. Varje anställd bör bara ha den tillgång han behöver göra sitt jobb. Förklara att detta skyddar både dina anställda och dina kunder. Om det finns ett dataöverträdelse, kommer begränsad åtkomst att begränsa möjligheterna och hjälpa utredningen.
  • För ditt nätverk, ge varje användare och varje terminal ett unikt ID-nummer. I händelse av ett bekräftat eller misstänkt brott kommer dina IT-proffs att kunna snabbt identifiera ingångspunkten.
  • Säkra fysiska poster som innehåller kund- och kortinnehavardata. Använd antingen ett kortnyckelsystem eller ett fysiskt lås och nyckel.
    • Del 3 av 3:
    Testning och underhåll av PCI-överensstämmelse
    1. Bild med titeln Bygg tillit i ett litet företag Steg 1
    1. Övervaka och testa dina nätverk. Ditt säkerhetsprogram måste innehålla regelbundna skanningar och tester för att spåra och övervaka flödet av kunddata via ditt nätverk. Din IT-professionell eller leverantör kan implementera test både när systemet är lågt (till exempel sent på kvällen på helgerna) och i realtid när systemet är i bruk.
    • Håll en logg av testresultat. Diskutera hur länge att upprätthålla testrekord med ditt bank- och försäkringsbolag.
  • Bild med titeln Bygg tillit i ett litet företag Steg 6
    2. Utveckla en informationssäkerhetspolitik. Alla steg i ditt PCI-Compliance-program måste dokumenteras i din säkerhetspolicy. Detta dokument ska beskriva alla steg som ditt företag tar för att säkra kunddata. För nivå 1 till 3 köpmän kan detta program köras för flera volymer och integrera anställningshandboken.
  • Nivå 1 till 3 köpmän kommer sannolikt antingen att kontrahera med en säkerhetspersonal eller har dedikerad personal utbildad i att skriva och upprätthålla informationssäkerhetspolitiken.
  • En nivå 4-handlare bör kontakta kreditkorts clearinghouse för råd och hjälp med att skapa säkerhetspolitiken. Om processorn inte ger en programmall, bör du överväga att kontrahera med en säkerhetspersonal för att skapa dokumentet. Om du inte är en IT-professionell är det osannolikt att du kommer att vara tillräckligt känslig i de tekniska detaljerna i ditt system för att skapa en PCI-kompatibel säkerhetspolicy. När det är skapat måste det bara uppdateras när ditt nätverk utökas eller uppdateras. Din IT-entreprenör kan ge dig de dokument du behöver för att hålla din säkerhetspolicy uppdaterad.
  • Det mesta av ditt säkerhetsprogram kommer att vara tekniskt i naturen, som i valet av brandvägg och säkerhetsprogram, liksom testprotokollen. Du bör dock också innehålla avsnitt om processen när en anställd lämnar företaget och lösenorden återkallas.
  • Utveckla en process för att hålla reda på nycklar och nyckelkort. Masterknapparna ska vara lika strikt reglerade som högnivålösenord.
  • Bild med titeln Bygg tillit i ett litet företag Steg 4
    3. Bedöma, avhjälpa och rapportera din PCI-överensstämmelse. När de 12 delarna av PCI-bästa praxis implementeras, ska du regelbundet gå igenom PCI-rådets tre stegs granskningsprocess för att säkerställa att överensstämmelse upprätthålls.
  • Inventory Your IT-system och affärsprocesser. Om något har ändrats, uppdatera dina säkerhetsprogram och sårbarhetshanteringsplaner.
  • Om du hittar en svaghet i ditt system, löser problemet. Detta kan kräva ny utrustning eller programvara, användarutbildning eller uppdatering av ditt nätverk. IT-proffs bör genomföra dessa förändringar.
  • Håll register över dina handlingar och skicka rapporter om dina överensstämmelsesinsatser till dina bank- och kreditkortsföretag. Dina rapporter, ansträngningar och insikter kan hjälpa ett annat företag att skydda kunddata.

    • Varningar

    Nivå 4 Merchants bör diskutera PCI-överensstämmelse med bank- eller kreditkorts clearinghouse och följ rekommendationerna.
  • Om du är en mycket liten handlare, till exempel ett hemföretag, är det osannolikt att du kommer att lagra kortdata på ditt personliga nätverk. Men du borde fortfarande granska dina processer med din bank. PCI-rådet har online-utbildning och resurser för att hjälpa dig att förhindra stöld av kunddata.
    • Dela på det sociala nätverket:
    Liknande