Skip to main content

5 Vinkkejä PCI-yhteensopivuuteen

PCI-vaatimustenmukaisuus voi tuntua kauhealta, jos olet pieni kauppias, mutta sivuutat sen vaarallasi. Maksuvalvontajärjestelmän (PCI) turvallisuusstandardeja käsittelevän turvallisuusstandardien noudattamatta jättäminen määrää rangaistuksia $ 5,000 - $ 100,000 kuukaudessa.

PCI-tietoturvastandardit (DSS) ja monet muut asiakirjat ovat helposti ladattavissa neuvoston verkkosivustolle, mutta pienille yrityksille, joilla ei ole tietotekniikan tietoturvan ammattilaista, vaatimukset voivat olla hämmentäviä. On kuitenkin joitain asioita, joita voit tehdä helpottamaan noudattamisprosessia ja sen edellyttämiä turvatoimia. Vaikka ehdotan edelleen, että olet ehdottanut laadukasta turvallisuusarviointia (QSA), nämä vinkit voivat viitata oikeaan suuntaan.

Älä säilytä kortinhaltijoiden tietoja

tallentaa tai tallentaa kaikki kortinhaltijoiden tiedot kirjallisessa tai digitaalisessa muodossa. Käytä kortinlukijaa, POS-laitetta ja / tai maksuprosessoria, joka ei säilytä tätä tietoa järjestelmissäsi, joten sinun ei tarvitse huolehtia näiden tietojen suojaamisesta ja salaamisesta.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Älä koskaan säilytä luottokortin todennustietoja.

Jos haluat säilyttää kortinhaltijoiden tiedot toistuvasti laskutusta tai muita vaadittuja liiketoiminnallisia tarkoituksia varten, tarkista maksuprosessorilla, onko ne tarjoavat vaihtoehtoja, joiden avulla voit syöttää ja tallentaa tietoja järjestelmissään. Jos sinun on tallennettava tiedot itse, muista, että sinun on noudatettava monia muita turvatoimia. Etkä voi koskaan tallentaa herkkiä todennustietoja: täydet magneettiraidat, suojakoodi tai PIN.

Valitse PCI-yhteensopiva Web-isäntä

Jos myydät tuotteita tai maksat verkkosivustosi kautta, valitse PCI-yhteensopiva Web-hosting-suunnitelma ja verkkokauppa- tai ostoskohteesi. Jotkut Web-hosting-yritykset julkistavat sääntöjenmukaisuutensa yksityiskohdat verkkosivuillaan, mutta monissa tapauksissa sinun on kysyttävä myynti- tai tukipalvelutoimistolta. Verkkokauppasovelluksissa ja ostoskärryissä voit tutustua PCI-neuvoston validoiduista maksupyynnöistä.

Sinulla todennäköisesti on tiukempi mahdollisuus PCI-vaatimusten täyttämiseen, jos käytät halvempia jaettua hosting-suunnitelmia, koska palvelimet jaetaan useiden verkkosivustojen omistajien kesken. Voit kuitenkin päästä eroon yhdestä (mikä ei ole vaatimusten mukainen), jos valitset isännöidyn maksuratkaisun, jossa asiakkaat toimitetaan vaatimustenmukaiseen sivustoon syöttääkseen luottokorttitiedot, kuten PayPal Standard, 2Checkout tai Authorize. Netto. Voit myös harkita isännöidyn maksuratkaisun, vaikka Web-hosting-suunnitelma olisi yhteensopiva, jotta voit vähentää turvatoimia. Jos haluat kuitenkin täysin integroida maksuprosessin sivustoosi, saatat joutua käymään kalliimmalla virtuaalisella yksityisellä tai omalla palvelimella, joka on tyypillisesti PCI-yhteensopiva.

Käytä puhelinverkkoyhteyksiä IP-päätelaitteiden sijasta

Valinnaiset luottokorttiliittimet yhdistävät puhelinlinjasi ja kommunikoivat maksuprosessorin kanssa samankaltaisesti kuin vanhan 56K modeemit yhdistetään puhelinverkkoon. Ne ovat hitaampia kuin IP-pohjaiset päätelaitteet, mutta ne voivat merkittävästi pienentää kortinhaltijoiden tietojärjestelmää - tietokoneita ja komponentteja, joissa kortinhaltijoiden tietoja tallennetaan, käsitellään tai lähetetään - mikä vähentää niitä turvallisuustoimenpiteitä, joita sinun on noudatettava.

luottokorttiliittymä tai POS-järjestelmä, varmista, että se on PCI-yhteensopiva joko myyjän kautta tai tarkistamalla Hyväksytty PIN -transaktioturva-laitteet ja / tai Validoitujen maksukorttien luettelo PCI-neuvostolta. Tarkista myös myyjät siitä, miten heidän terminaalit toimivat ja kysy neuvoista, jotka helpottavat vaatimusten noudattamista.

Käytä erillistä verkkoa maksuprosessointiin

Jos käytät IP-pohjaisia ​​luottokorttiliittimiä, voi olla helpompi olla täysin erillinen verkko, jolla on oma Internet-yhteys vain maksuprosessoinnille. Tämä voi helpottaa turvatoimia, joita sinun on ryhdyttävä alkuvaiheen verkkoasetusten aikana ja ne, jotka sinun on noudatettava tulevaisuudessa PCI-yhteensopivuuden säilyttämiseksi.

Turvalliset mobiilikortinlukijat

Paikallispalveluja tarjoaville pienyrityksille, mobiilikortinlukija kuten Square, GoPayment tai PayPal Tässä ovat erittäin houkuttelevia. Ne tarjoavat nopean ja helpon tavan aloittaa luottokorttimaksujen hyväksyminen ja niitä voidaan käyttää älypuhelinten tai tablettien kanssa solutietojen tai Wi-Fi-yhteyden kautta. Vaikka nykyiset PCI DSS -vaatimukset (versio 2.0) eivät liity nimenomaan mobiilikortinlukijoihin, yritysten on edelleen varmistettava, että nämä ratkaisut ovat PCI-yhteensopivuuden mukaisia.

PCI on julkaissut tietoturvaohjeet mobiilimaksujärjestelmän turvaamiseksi älypuhelimiin tai tabletteihisi. Periaatteessa kannattaa varmistaa, että mobiililaitteita pidetään fyysisesti ja digitaalisesti turvallisina varkauksilta, luvattomalta käytöltä, haittaohjelmilta ja hakkeroinnista. Älä vakoile tai perista laitetta tai ota käyttöön muita toimintoja, jotka voivat tehdä laitteesta turvattomuuden, kuten USB-virheenkorjaus Android-laitteissa. Asenna virustorjuntaohjelma ja lataa sovellukset vain luotettavista lähteistä, kuten virallinen sovelluskauppa. Ja muistaa, jos mobiililaitteet ovat liitettynä Wi-Fi-yhteyteen yrityksen valvonnan aikana kortinlukijan käytön aikana, verkon on oltava PCI-yhteensopivassa.