Vad detaljhandeln borde veta om PCI-efterlevnad

Gör du det bästa av den nya onlinetrenden

Det är väldigt få människor som använder kontanter för inköp i dessa dagar och för att växa en detaljhandel är det fördelaktigt att göra det så enkelt som möjligt för kunderna att köpa produkterna, vilket vanligtvis innebär att man har betalningshantering som accepterar kreditkort.

För regeringskontor som också tar emot betalningar för produkter eller tjänster gäller detsamma, men i båda fallen finns det regler som måste följas. Alla betalningssystem som accepterar kort måste uppfylla PCI DSS (Payment Card Industry Data Security Standard). Detta säkerställer att personuppgifter som lagras med avseende på kreditkort och kundinformation alltid hålls säkra.

PCI-överensstämmelse i ett nötskal

Vad är PCI DSS?

För att skydda mot identitetsstöld har dessa säkerhetsstandarder utvecklats av ett råd bestående av stora betalkortföretag. Rådet skapade PCI-standarderna så att företagen hade ett ramverk att följa för att hålla all information om kortinnehavare i en säker miljö och för att hitta och stänga eventuella sårbarheter.

Är efterlevnad obligatorisk?

PCI DSS kanske inte klassas som en reglering, men det betyder inte att den kan ignoreras. Eftersom kortföretagen och bankerna hotas om luddiga säkerhetsåtgärder resulterar i cyberbrott och stulen känslig information kan detaljhandelsföretag eller statliga avdelningar som inte följer böter uppgå till 100 000 dollar i månaden. Det kan verka komplicerat att upprätthålla efterlevnaden, men när alternativet är en enorm böter som kan påverka både rykte och slutresultatet vem som helst som accepterar kortbetalningar skulle vara dumt att ignorera dem.

Hur bearbetningsstorlek påverkar PCI-efterlevnad

Alla företag eller myndigheter som accepterar kortinnehavarens uppgifter måste följa PCI DSS. Detta är fallet även om ingen information lagras. Din bearbetningsstorlek reglerar dock exakt hur du måste följa och relaterar till transaktionsvolym under 12 månader. Det finns fyra olika nivåer där nivå 1 fylls av återförsäljare som utgör den största risken. Även om nivåerna är lite olika beroende på det specifika kortmärket, är de väldigt lika och om du jobbar på en viss nivå med en typ av kort så förblir du på den nivån för alla kortmärken du accepterar.

Med hänsyn till mindre skillnader är dessa de breda kvalifikationerna för varje nivå:

Nivå 1: Varje handlare som behandlar mer än 6 miljoner korttransaktioner per år. Nivå 2: Varje handlare som behandlar 1 till 6 miljoner transaktioner per år. Nivå 3: Varje handlare som behandlar 20 000 till 1 miljon transaktioner per år. Nivå 4: Varje handlare som bearbetar färre än 20 000 transaktioner per år.

Tre steg för att följa PCI

Omfatta din miljö

Det första steget är att definiera din kortinnehavarmiljö, vilket finns var som helst i ditt system som innehåller all personlig identifierbar information. Detta skulle vara kortinnehavarens namn, kontonummer, utgångsdatum eller servicekod. PCI DSS-standarderna avser någon del av ditt system eller nätverk som lagrar eller överför någon av ovanstående data eller någon komponent som ansluter till nämnda nätverk. Dessa komponenter kan ha formen av servrar eller mindre hårdvara som bärbara datorer, och det övergripande systemet eller nätverket bör omfatta alla trådlösa eller mobila nätverk, routrar och servicepunkter.

När du väl har identifierat miljön måste du skydda informationen som strömmar genom den och att skapa ett arbetsflöde kan begränsa var data används. Segmentering kan också bidra till att minska ditt miljöutrymme för att göra det mer hanterbart.

Upprätta policyer och kontroller

Hjälpsamt har PCI DSS-överensstämmelse tydliga definitioner för alla dess standarder, inklusive förslag på exakt vilka krypteringsmetoder som är acceptabla. Dina policyer och kontroller bör klargöra alla processer och procedurer som behövs för att hålla kortinnehavarens data säkra, inklusive lösenordsskydd och tredjepartsleverantörsprogram och hårdvarukonfigurationer.

Kontinuerlig övervakning

Att bara följa en gång räcker inte, du behöver kontinuerlig övervakning av din kortinnehavarmiljö och eventuella tredjepartsleverantörer för att säkerställa att allt är säkert. Som en del av en granskning kommer din miljö och dess kontroller att granskas och kontrolleras för att säkerställa att de fungerar som förväntat. Övervakning av de potentiella sårbarheterna visar att du skyddar all känslig information från hackningshot och ser till att dina dators integritet är säker.

Automatisering

Även om dessa ändringar kan göras manuellt är det möjligt att använda programvara för styrning, risk och kontroll för att hjälpa dig att uppnå överensstämmelse med automatiska uppgifter. De kan hålla alla dina kontroller i ett centraliserat område som gör det lättare att granska och kan hjälpa till att föreslå sårbarheter och kritiska problem som sedan kan korrigeras. När du lägger till kontinuerlig övervakning till detta så att du blir uppmärksam på hot så tidigt som möjligt kan det göra PCI DSS-efterlevnad mycket säkrare och enklare.