هل تقبل مدفوعات الائتمان أو الخصم في عملك؟ إذا كان الأمر كذلك ، فاحتمال أن تلتزم بمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS).
يحدد PCI DSS الحد الأدنى من إجراءات أمان البيانات للمؤسسات في جميع أنحاء العالم التي تحتفظ أو تعالج أو تتبادل معلومات حامل البطاقة من أي من العلامات التجارية الرئيسية للبطاقات. تتم مراجعة المعايير كل عامين ، وقد تمت مراجعتها مؤخرًا في أكتوبر 2010.
$config[code] not foundووفقًا لدراسة أجرتها مؤسسة البيع بالتجزئة الوطنية وبيانات فيرست داتا ، قال 86٪ من المشاركين في الأعمال الصغيرة والمتوسطة إنهم يهتمون بالحفاظ على أمان معلومات بطاقة العملاء ويشعرون بأمان بيانات البطاقة أمرًا مهمًا لأعمالهم. ولكن في حين أن معظمهم (66 في المئة) على دراية بـ DSS ، إلا أن 49 في المئة فقط هم الذين أتموا التقييم الذاتي المطلوب في وقت المسح.
يمكن أن تبدو حماية بيانات حامل البطاقة باهظة الثمن وقليلة بعض الشيء بالنسبة لمالكي الشركات الصغيرة ، ومعظمهم يرتدي بالفعل العديد من القبعات. ومع ذلك ، يمكن أن تكون التكاليف المالية والسمعية لحدوث خرق كبير - في بعض الحالات قد يهدد عملك تمامًا.
لكن من أين تبدأ؟ نأمل بالفعل أن تحد من الوصول الفعلي إلى معلومات حامل البطاقة والحفاظ على تحديث برامج مكافحة الفيروسات. في ما يلي طرق إضافية يمكنك من خلالها زيادة أمان البيانات إلى حد كبير مع إدارة تكاليف الامتثال:
تشفير البيانات الحساسة من المحتمل أن الإجراء الوحيد الأكثر أهمية الذي يمكن أن تقوم به الشركة لحماية معلومات حامل البطاقة هو تشفير بيانات البطاقة فورًا بعد تمرير البطاقة في نقطة البيع. يجب أن تظل المعلومات في حالة مشفرة أثناء نقلها إلى معالج الدفع.
وتعني هذه الخطوة أن المعاملة لا يتم إرسالها أبداً بنص عادي في ترحيل الرتل أو الاتصال الهاتفي أو اتصال الإنترنت ، حيث توجد إمكانية اعتراض المحتالين. إذا تم استنزاف البيانات مرة واحدة يتم تشفيرها ، فإنه لا جدوى من اللصوص. تقليل "CDE" الخاص بك كل نظام كمبيوتر ، خزانة الملفات والتطبيق الذي يستخدم أو يخزن بيانات البطاقة الحساسة ، بما في ذلك البيانات المشفرة ، هو جزء من بيئة بيانات حامل البطاقة الكلية (CDE) وضمن نطاق الامتثال لـ PCI DSS. بعبارة أخرى ، كلما زاد عدد الأماكن التي لديك بها بيانات ، زادت الأماكن التي تحتاج إلى القلق بشأن حمايتها.
الحد - بل وحتى تقليص - نطاق CDE الخاص بك من خلال تقييد استخدام بيانات حامل البطاقة فقط لتلك التطبيقات المتعلقة مباشرة بالدفعات (على سبيل المثال ، توثيق المعاملات ، التسويات اليومية وعمليات رد المبالغ المدفوعة). احتضان Tokenization Tokenization هو مكمل "الطبقات" للتشفير. يتم إرسال بيانات حامل البطاقة إلى خادم مركزي آمن للغاية (الخزنة) بعد التخويل ، ويتم إنشاء رقم فريد عشوائي (الرمز المميز) ويتم إعادته إلى أنظمة الأعمال للاستخدام في أي مكان تستخدم فيه عادة بيانات حامل البطاقة.
الرمز المميز خاص بالبطاقة ويمكن الاستمرار في استخدامه لمعالجة عمليات العائد ، وتتبع عادات الإنفاق ووظائف العمل الأخرى ، ولكن الرقم نفسه ليس له قيمة للمحتالين. هذا يمكن أن يقلل بشكل كبير من تأثير خرق البيانات المحتملة. يمكن أن تساعد ميزة Tokenization أيضًا على تقليل نطاق CDE بسبب عدم وجود بيانات حامل البطاقة. يمكن للأنشطة التجارية التي تحل محل بيانات حامل البطاقة مع الرموز في جميع تطبيقات المؤسسات الخاصة بهم أن تقلل بشكل كبير من نطاق CDE ، وبالتالي تقليل نطاق وتكلفة الامتثال لـ PCI DSS والتقييمات السنوية / الفحوصات الفصلية. العمل مع طرف ثالث هناك طريقة أخرى لتقليص البيئة التي تخضع لامتثال PCI وهي تسليم المسؤولية (والمسؤولية) عن تخزين بيانات البطاقة إلى مقدم خدمة تابع لجهة خارجية. على سبيل المثال ، يمكن لنشاط تجاري إرسال بيانات بطاقة مشفرة إلى معالج الدفعات للحصول على إذن ، وعندما يتم إرجاع الاستجابة المصرح بها ، يتم أيضًا إرسال رقم مميز إلى النشاط التجاري.
يعمل هذا الأسلوب على ترميز التشفير والارتقاء مع تقليص CDE الخاص بالأعمال إلى أصغر بصمة ممكنة: نظام POS الذي يحتوي على بيانات البطاقة الحية التفويض المسبق. ارفع يدك تتحمل الشركات مسؤولية حماية بيانات عملائها ، ولكن لا يتعين عليك القيام بذلك وحدك. تحدث إلى موفر الدفعات الخاص بك عن الحلول والخبراء القادرين على مساعدة نشاطك التجاري في الحصول على الخدمات والالتزام بها. تذكر أن معيار PCI DSS هو الحد الأدنى من المعايير ، ويمكن أن يساعدك العثور على الشريك / الشركاء المناسبين في اتخاذ قرارات ذكية حول كيفية حماية عملائك بشكل أفضل - وربما أعمالك.
1
