Skip to main content

5 Tipp a könnyű PCI-megfelelőséghez

A PCI-megfelelőség szörnyű művészetnek tűnhet, ha kicsi kereskedő vagy, de figyelmen kívül hagyja a veszélyt. A Payment Card Industry (PCI) Biztonsági Szabványok Tanács által kidolgozott biztonsági szabványok be nem tartása havonta 5 000 és 100 000 dollár közötti szankciókat tartalmaz.

A PCI adatbiztonsági szabványok (DSS) és számos egyéb dokumentum könnyen letölthető a a tanács weboldalán, de az IT-biztonsági szakemberek nélküli kisvállalkozások esetében a követelmények meglepőek lehetnek. Van azonban néhány dolog, amit tehetünk, hogy megkönnyítsük a megfelelés folyamatát és az általa meghatározott biztonsági intézkedéseket. Bár még mindig javaslom egy Minősített Biztonsági Értékelő (QSA) felvételét, ezek a tippek a helyes irányba mutathatnak.

Ne tároljon semmilyen kártyatulajdonos adatot

A PCI megfelelőségének megkönnyítése érdekében ne tegye tárolja vagy tárolja a kártyabirtokosok adatait írásban vagy digitális formában. Olyan kártyaolvasót, POS-et és / vagy fizetési processzort használjon, amely nem tartja meg ezt az információt a rendszerén, így nem kell aggódnia az adatok védelmével és titkosításával kapcsolatban.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

Soha ne tárolj hitelkártya hitelesítési adatait

Ha meg kell őrizned a kártyatulajdonosok adatait az ismétlődő számlázás vagy egyéb szükséges üzleti célok érdekében, ellenőrizze a fizetési processzort, hogy láthassa, kínálnak-e olyan opciókat, amelyek lehetővé teszik, hogy adatokat bocsássanak és tároljanak a rendszerükön. Ha magad kell tárolnod az adatokat, ne felejtsd el, hogy sok további biztonsági intézkedést kell követnie, és soha nem tárolhatja az érzékeny hitelesítési adatokat: teljes mágnescsíkos adatokat, biztonsági kódot vagy PIN kódot.

Válasszon PCI-kompatibilitást Webhoszt

Ha termékeket árul vagy fizet webhelyein keresztül, válasszon PCI-kompatibilis web hosting tervet és e-kereskedelmi vagy bevásárlókosarendszert. Néhány web hosting cég nyilvánosan közzéteszi a megfelelőségi adatait weboldalán, de sok esetben fel kell kérnie az értékesítési vagy támogatási osztályt. Az e-kereskedelmi alkalmazásokhoz és bevásárlókocsikhoz lásd a PCI tanács által jóváhagyott fizetési kérelmek listáját.

Valószínűsíthető, hogy nagyobb a PCI-megfelelés elérése, ha olcsóbb megosztott tárhelyeket használsz, mivel a szerverek több weboldal tulajdonosai között oszlik meg. De lehet, hogy megszabadulhat az egyiktől (amely még akkor is nem megfelelő), ha olyan fogadott fizetési megoldást választasz, ahol az ügyfeleket egy megfelelő webhelyre továbbítják, hogy megadják a hitelkártya adatait, például PayPal Standard, 2Checkout vagy Authorize. Háló. És érdemes fontolóra venni egy hosted fizetési megoldást, még akkor is, ha az Ön web hosting tervének megfelel, annak érdekében, hogy csökkentse a biztonsági intézkedéseket. Ha azonban szeretné a fizetési folyamatot teljes mértékben integrálni a webhelyén, előfordulhat, hogy drágább virtuális magán- vagy dedikált szerverrel kell ellátnia, amely jellemzően PCI-kompatibilis.

IP-terminálok helyett dial-up terminálok használata

A tárcsázó hitelkártya-terminálok csatlakoznak a telefonvonalához, és kommunikálnak a fizetési processzorral, hasonlóan a régi 56K-os modemhez a betárcsázós internethez. Lassabbak, mint az IP-alapú terminálok, de jelentősen csökkenthetik kártyabirtokosok adatkörnyezetét - azon számítógépek és összetevők, amelyekben a kártyatulajdonosok adatait tárolják, feldolgozzák vagy továbbítják - ezáltal csökkentve a biztonsági intézkedéseket.

az Ön által választott hitelkártya-terminál vagy POS-rendszer típusa, biztosítja a PCI-kompatibilitást, akár az eladóján keresztül, akár a jóváhagyott PIN-tranzakció-biztonsági eszközök és / vagy a hitelesített fizetési kérelmek ellenőrzése a PCI-tanácsból. Ellenőrizze az értékesítőkkel, hogyan működnek a terminálok, és érdeklődnek azokról, amelyek megkönnyítik a megfelelést.

Használjon külön hálózat fizetési feldolgozást

Ha IP-alapú hitelkártya terminálokat használ, előfordulhat, hogy egyszerűen csak egy teljesen különálló hálózat áll rendelkezésére a saját internetkapcsolattal a fizetés feldolgozásához. Ez megkönnyíti a biztonsági beállításokat, amelyeket a kezdeti hálózati beállítások során meg kell tennie, és amelyeket a jövőben követnie kell a PCI-kompatibilitás fenntartásához.

Biztonságos mobil kártyaolvasók

A kis helyigényű szolgáltatók számára a mobil kártyaolvasó megoldások mint a tér, GoPayment vagy PayPal Itt nagyon vonzóak. Gyors és egyszerű módja a hitelkártyás fizetések elfogadásának elkezdéséhez, és okostelefonokon vagy táblagépeken cellaadatokkal vagy Wi-Fi kapcsolaton keresztül is használható. Bár a jelenlegi PCI DSS követelmények (2.0-s verzió) nem foglalkoznak kifejezetten a mobil kártyaolvasókkal, a vállalkozásoknak továbbra is biztosítaniuk kell, hogy ezek a megoldások PCI-kompatibilisek legyenek.

A PCI biztonsági iránymutatásokat tett közzé a mobil fizetési megoldások biztosítására az okostelefonokat vagy táblagépeket. Alapvetően biztosítania kell, hogy a mobileszközök fizikailag és digitálisan védettek legyenek a lopástól, a jogosulatlan használatból, a rosszindulatú programoktól és a hackeléstől. Ne húzza ki a börtönözést, ne gyökítse le a készüléket, és ne engedélyezzen egyéb olyan funkciókat, amelyek biztonságossá tehetik az eszközt, például az USB-eszközök hibaelhárítását. Telepítsen egy víruskereső alkalmazást, és csak megbízható forrásból töltsön le alkalmazásokat, például a hivatalos alkalmazásboltot. És vegye figyelembe, hogy a mobileszközök a kártyaolvasó használatakor a vállalkozás irányítása alatt Wi-Fi-kapcsolathoz csatlakoznak, a hálózatnak PCI-kompatibilitással kell rendelkeznie.