您是否接受了公司的信用卡或借记卡付款?如果是这样,您可能需要遵守支付卡行业数据安全标准(PCI DSS)。
PCI DSS为世界各地的组织建立了最低限度的数据安全措施,这些组织持有,处理或交换来自任何主要卡品牌的持卡人信息。该标准每两年审查一次,最近于2010年10月进行了修订。
$config[code] not found根据全国零售联合会和First Data的一项研究,86%的中小型企业受访者表示他们关心如何保证客户卡信息的安全,并认为卡数据安全对他们的业务至关重要。但是,尽管大多数(66%)了解PCI DSS,但只有49%的人在调查时完成了必要的自我评估。
保护持卡人数据看起来既昂贵又对小企业主来说有点压倒性,他们中的大多数已经戴了很多帽子。但是,违规行为的财务和声誉成本可能很高 - 在某些情况下会完全危及您的业务。
但从哪里开始? 希望您已经限制对持卡人信息的物理访问并使防病毒软件保持最新。以下是在管理合规性成本的同时显着提高数据安全性的其他方法:
加密敏感数据 企业可以采取的保护持卡人信息的最重要措施可能是在销售点刷卡后立即对卡数据进行加密。信息在传输到支付处理器时应保持加密状态。
此步骤意味着事务永远不会在帧中继,拨号或Internet连接中以纯文本形式传输,欺诈者可能会拦截该事务。如果数据在加密后确实被虹吸掉了,那么盗贼几乎没用。 减少你的“CDE” 每个使用或存储敏感卡数据(包括加密数据)的计算机系统,文件柜和应用程序都是整个持卡人数据环境(CDE)的一部分,并且属于PCI DSS合规范围。换句话说,您拥有数据的位置越多,您需要担心的保护位置就越多。
通过将持卡人数据的使用限制为仅与支付直接相关的应用程序(例如,交易认证,每日结算和退款)来限制 - 甚至缩小 - CDE的范围。 拥抱令牌化 标记化是加密的“分层”补充。持卡人数据在授权后发送到集中且高度安全的服务器(保险库),并生成随机唯一编号(令牌)并返回到业务系统,以便在通常使用持卡人数据的任何地方使用。
该令牌特定于该卡,并且仍可用于处理退货,跟踪消费习惯和其他业务功能,但该数字本身对欺诈者没有价值。这可以大大减少潜在数据泄露的影响。 标记化还可以帮助减少CDE的范围,因为不存在持卡人数据。在所有企业应用程序中使用令牌替换持卡人数据的企业可以显着缩小其CDE的范围,从而降低PCI DSS合规性和年度评估/季度扫描的范围和成本。 与第三方合作 缩小符合PCI合规性的环境的另一种方法是将卡数据存储的责任(和责任)移交给第三方服务提供商。例如,企业可以将加密的卡数据发送到支付处理器以进行授权,并且当返回授权的响应时,还将令牌化的号码发送给企业。
这种方法将加密和标记化分层,同时还将业务的CDE缩小到尽可能小的占用空间:POS系统,其中包含实时的预授权卡数据。 举起你的手 企业有责任保护客户的数据,但您无需单独完成。与您的支付提供商讨论可以帮助您的企业获得并保持合规的解决方案和专家。请记住,PCI DSS是最低标准,找到合适的合作伙伴可以帮助您做出明智的决策,确保如何最好地保护您的客户 - 以及潜在的业务。
1
