Skip to main content

5 Tips for enkel PCI-overholdelse

PCI-overholdelse kan virke som en arcane kunst hvis du er en liten handelsmann, men du ignorerer det for din fare. Manglende overholdelse av sikkerhetsstandardene som er utviklet av Payment Card Industry (PCI) Security Standards Council, utfører straffer på $ 5.000 til $ 100.000 per måned.

PCI Data Security Standards (DSS) og mange andre støttedokumenter kan enkelt lastes ned fra råds nettsted, men for små bedrifter uten IT-sikkerhet profesjonell, kravene kan være forvirrende. Det er imidlertid noen ting du kan gjøre for å lette overholdelsesprosessen og sikkerhetsforanstaltningene det dikterer. Selv om jeg fremdeles foreslår å ansette en kvalifisert sikkerhetsvurdering (QSA), kan disse tipsene peke deg i riktig retning.

Ikke lagre kortinnehaverdata

For å forenkle de nødvendige sikkerhetstiltakene for PCI-overholdelse, må du ikke lagre eller lagre kortinnehaverdata i skriftlig eller digital form. Bruk en kortleser, POS og / eller betalingsprosessor som ikke beholder denne informasjonen på systemene dine, slik at du ikke trenger å bekymre deg for å beskytte og kryptere dataene. Sjekk med betalingsleverandører for detaljer om deres spesifikke modeller.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Ikke lagre kredittkortets autentiseringsinformasjon.

Hvis du trenger å beholde kortinnehaverens data igjen fakturering eller andre nødvendige forretningsformål, sjekk med betalingsprosessoren din for å se om de tilbyr alternativer som lar deg legge inn og lagre dataene på sine systemer. Hvis du må lagre dataene selv, må du huske at du må følge mange flere sikkerhetsforanstaltninger, og du kan aldri lagre den sensitive autentiseringsinformasjonen: fulle magnetiske stripedata, sikkerhetskoden eller PIN-koden.

Velg en PCI-kompatibel Webverten

Hvis du selger produkter eller tar betalinger via nettstedet ditt, velger du en PCI-kompatibel web hosting plan og e-handel eller handlekurv program. Noen webvertsfirmaer publiserer offentlig informasjon om overholdelse på deres hjemmeside, men i mange tilfeller må du spørre salgs- eller supportavdelingen. For e-handelsprogrammer og handlekurver kan du se listen over godkjente betalingsprogrammer fra PCI-rådet.

Du vil sannsynligvis ha en tøffere sjanse for å oppnå PCI-samsvar hvis du bruker billigere delte hostingplaner på grunn av måten serverne er delt mellom flere nettstedseiere. Men du kan være i stand til å komme unna med å bruke en (det er til og med ikke-kompatibel) hvis du velger en vertsbasert betalingsløsning der kundene blir videresendt til et kompatibelt nettsted for å angi kredittkortdetaljer, for eksempel PayPal Standard, 2Kontroll eller Autorisasjon. Nett. Og du vil kanskje vurdere en vertsbasert betalingsløsning selv om webhotellplanen din er kompatibel, for å redusere sikkerhetstiltakene du må ta. Hvis du imidlertid ønsker å integrere betalingsprosessen fullt ut på nettstedet ditt, må du kanskje gå med en dyrere virtuell privat eller dedikert server, som vanligvis er kompatibel med PCI.

Bruk oppringt terminaler i stedet for IP-terminaler

Oppringte kredittkortterminaler kobles til telefonlinjen og kommuniserer med betalingsprosessoren på samme måte som de gamle 56K-modemene er koblet til oppringt Internett. De er langsommere enn IP-baserte terminaler, men de kan i stor grad redusere Cardholder Data Environment-datamaskinene og komponentene der kortholderinformasjon lagres, behandles eller overføres, og dermed reduserer sikkerhetsmåtene du må følge.

Uansett hva type kredittkortterminal eller POS-system du velger, forsikre deg om at det er PCI-kompatibelt, enten via leverandøren eller ved å sjekke godkjente PIN-transaksjonssikkerhetsenheter og / eller Liste over godkjente betalingsapplikasjoner fra PCI-rådet. Ta også kontakt med leverandørene om hvordan terminalerne fungerer og spørre om de som lette etterlevelse.

Bruk et eget nettverk for betalingsbehandling

Hvis du bruker IP-baserte kredittkortterminaler, kan det være lettere å ha et helt eget nettverk med egen Internett-tilkobling for bare betalingsbehandling. Dette kan lette de sikkerhetstiltakene du må ta under det opprinnelige nettverksoppsettet og de som du må følge i fremtiden for å holde PCI-kompatible.

Sikre mobilkortlesere

For små bedrifter som tilbyr tjenester på stedet, mobilkortleserløsninger som Square, GoPayment eller PayPal Her er det veldig attraktivt. De tilbyr en rask og enkel måte å begynne å godta kredittkortbetalinger på og kan brukes med smarttelefoner eller tabletter via en celle data eller Wi-Fi-tilkobling. Selv om dagens PCI DSS-krav (versjon 2.0) ikke spesifikt adresserer mobilkortlesere, er det fortsatt nødvendig å foreta virksomheter for å sikre at disse løsningene er innenfor PCI-samsvar.

PCI har publisert sikkerhetsretningslinjer for å sikre mobile betalingsløsninger du bruker med smarttelefonene eller nettbrettene dine. I utgangspunktet bør du sørge for at de mobile enhetene holdes fysisk og digitalt sikre mot tyveri, uautorisert bruk, skadelig programvare og hacking. Ikke jailbreak eller rot din enhet eller aktiver andre funksjoner som kan gjøre enheten usikker, som USB-feilsøking på Android-enheter. Installer et antivirusprogram og last ned apper bare fra klarerte kilder som den offisielle appbutikken. Og husk om de mobile enhetene er koblet til en Wi-Fi-forbindelse under bedriftens kontroll mens du bruker kortleseren, nettverket må være i samsvar med PCI.