Akzeptieren Sie in Ihrem Unternehmen Kredit- oder Lastschriftzahlungen? Wenn ja, besteht die Gefahr, dass Sie den PCI Data Security Standard (PCI DSS) der Payment Card Industry-Branche einhalten.
PCI DSS legt Mindeststandards für die Datensicherheit für Organisationen auf der ganzen Welt fest, die Karteninhaberdaten der wichtigsten Kartenmarken speichern, verarbeiten oder austauschen. Die Standards werden alle zwei Jahre überprüft und zuletzt im Oktober 2010 überarbeitet.
$config[code] not foundLaut einer Studie der National Retail Federation und First Data sagten 86 Prozent der Befragten aus kleinen und mittelständischen Unternehmen, dass sie Wert darauf legen, die Kundendaten sicher zu halten und dass die Datensicherheit der Kartendaten für ihr Unternehmen wichtig ist. Während die meisten (66 Prozent) PCI DSS kennen, hatten nur 49 Prozent zum Zeitpunkt der Umfrage eine erforderliche Selbsteinschätzung durchgeführt.
Der Schutz von Karteninhaberdaten kann für Kleinunternehmer, von denen die meisten bereits viele Hüte tragen, teuer und ein wenig überwältigend erscheinen. Die finanziellen und Reputationskosten eines Verstoßes können jedoch erheblich sein - in einigen Fällen können Sie Ihr Geschäft insgesamt gefährden.
Aber wo soll ich anfangen? Hoffentlich beschränken Sie den physischen Zugriff auf die Karteninhaberdaten bereits und halten die Antivirensoftware auf dem neuesten Stand. Hier sind weitere Möglichkeiten, wie Sie die Datensicherheit erheblich steigern und gleichzeitig die Compliance-Kosten verwalten können:
Vertrauliche Daten verschlüsseln Die wichtigste Maßnahme, die ein Unternehmen zum Schutz der Karteninhaberdaten ergreifen kann, ist wahrscheinlich die Verschlüsselung der Kartendaten, unmittelbar nachdem die Karte an der Verkaufsstelle geklaut wurde. Die Informationen sollten in einem verschlüsselten Zustand bleiben, während sie an den Zahlungsprozessor übermittelt werden.
Dieser Schritt bedeutet, dass die Transaktion niemals in Klartext in der Frame-Relay-, DFÜ- oder Internetverbindung übertragen wird, wo das Potenzial für die Überwachung durch Betrüger besteht. Wenn die Daten einmal verschlüsselt werden, sind sie für Diebe praktisch unbrauchbar. Reduzieren Sie Ihre "CDE" Jedes Computersystem, Aktenschrank und jede Anwendung, die sensible Kartendaten, einschließlich verschlüsselter Daten, verwendet oder speichert, ist Teil der gesamten Karteninhaberdatenumgebung (CDE) und unterliegt der PCI-DSS-Konformität. Mit anderen Worten, je mehr Orte Sie über Daten verfügen, desto mehr Orte müssen Sie um den Schutz kümmern.
Schränken Sie den Umfang Ihres CDE ein, oder verringern Sie ihn sogar, indem Sie die Verwendung von Karteninhaberdaten auf diejenigen Anwendungen beschränken, die sich direkt auf Zahlungen beziehen (z. B. Transaktionsauthentifizierung, tägliche Zahlungen und Rückbelastungen). Umarmung Tokenisierung Die Tokenisierung ist eine "geschichtete" Ergänzung zur Verschlüsselung. Die Karteninhaberdaten werden nach der Autorisierung an einen zentralisierten und hochsicheren Server (Tresor) gesendet, und eine zufällige eindeutige Nummer (das Token) wird generiert und an die Unternehmenssysteme zurückgegeben, wo die Karteninhaberdaten normalerweise verwendet werden.
Das Token ist kartenspezifisch und kann immer noch verwendet werden, um Retouren zu verarbeiten, Ausgabengewohnheiten und andere Geschäftsfunktionen zu verfolgen, aber die Anzahl selbst hat keinen Wert für Betrüger. Dies kann die Auswirkungen einer potenziellen Datenverletzung drastisch reduzieren. Die Tokenisierung kann auch dazu beitragen, den Umfang der CDE zu reduzieren, da keine Karteninhaberdaten vorhanden sind. Unternehmen, die Karteninhaberdaten in allen Unternehmensanwendungen durch Token ersetzen, können den Umfang ihrer CDE erheblich reduzieren und anschließend den Umfang und die Kosten der PCI-DSS-Konformität und der jährlichen Beurteilungen / vierteljährlichen Scans reduzieren. Mit einer dritten Partei arbeiten Eine weitere Möglichkeit, die Umgebung, die der PCI-Konformität unterliegt, zu verkleinern, besteht darin, die Verantwortung (und Haftung) für die Speicherung von Kartendaten an einen Drittanbieter zu übergeben. Zum Beispiel kann ein Unternehmen verschlüsselte Kartendaten zur Autorisierung an den Zahlungsprozessor senden. Wenn die autorisierte Antwort zurückgegeben wird, wird auch eine Token-Nummer an das Unternehmen gesendet.
Bei diesem Ansatz werden Verschlüsselung und Tokenisierung überlagert, während gleichzeitig die CDE eines Unternehmens auf die kleinstmögliche Ausdehnung reduziert wird: das Kassensystem, das Live-Daten einer vorautorisierten Kartendaten enthält. Erhebe deine Hand Unternehmen haben die Verantwortung, die Daten ihrer Kunden zu schützen, aber Sie müssen dies nicht alleine tun. Sprechen Sie mit Ihrem Zahlungsanbieter über Lösungen und Experten, die Ihrem Unternehmen helfen, konform zu bleiben. Denken Sie daran, dass PCI DSS ein Mindeststandard ist. Wenn Sie den richtigen Partner finden, können Sie kluge Entscheidungen treffen, wie Sie Ihre Kunden und möglicherweise Ihr Unternehmen am besten schützen.
1