Skip to main content

5 Mga tip para sa madaling pagkakasunod sa PCI

Ang pagsunod sa PCI ay maaaring mukhang tulad ng isang arcane art kung ikaw ay isang maliit na merchant, ngunit hindi mo pinansin ito sa iyong panganib. Ang hindi pagsunod sa mga pamantayan ng seguridad na binuo ng Payment Card Industry (PCI) Security Standards Council ay nagdadala ng mga parusa na $ 5,000 hanggang $ 100,000 bawat buwan.

Ang PCI Data Security Standards (DSS) at maraming iba pang mga sumusuportang dokumento ay maaaring madaling ma-download mula sa website ng konseho, ngunit para sa maliliit na negosyo na walang IT security professional, ang mga kinakailangan ay maaaring maging mahirap. Gayunpaman, may ilang mga bagay na maaari mong gawin upang mabawasan ang proseso ng pagsunod at ang mga panukalang panseguridad na itinutulak nito. Kahit na iminumungkahi ko ang pag-hire ng Qualified Security Assessor (QSA), maaaring ituro sa iyo ng mga tip na ito sa tamang direksyon.

Huwag mag-imbak ng anumang data ng cardholder

Upang lubos na gawing simple ang iyong kinakailangang mga hakbang sa seguridad para sa PCI compliance save o iimbak ang anumang data cardholder sa nakasulat o digital na form. Gumamit ng card reader, POS, at / o processor ng pagbabayad na hindi nananatili ang impormasyong ito sa iyong mga sistema upang hindi mo na kailangang mag-alala tungkol sa pagprotekta at pag-encrypt ng data na iyon.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Huwag kailanman mag-iimbak ng impormasyon sa pagpapatunay ng credit card.

Kung kailangan mong panatilihin ang data ng cardholder para sa reoccurring pagsingil o iba pang mga kinakailangang layuning pang-negosyo, suriin sa iyong processor ng pagbabayad upang makita kung nag-aalok sila ng mga pagpipilian na nagbibigay-daan sa iyo upang input at iimbak ang data sa kanilang mga system. Kung dapat mong iimbak ang data sa iyong sarili, tandaan na kailangan mong sundin ang marami pang mga panukala sa seguridad, at hindi ka maaaring mag-imbak ng sensitibong impormasyon ng pagpapatunay: ang buong magnetic strip data, ang security code, o ang PIN.

Pumili ng isang PCI na sumusunod Web host

Kung nagbebenta ka ng mga produkto o gumawa ng mga pagbabayad sa pamamagitan ng iyong website, pumili ng isang PCI compliant Web hosting plan at ecommerce o shopping cart application. Ang ilang mga web hosting company ay nagpo-publish ng kanilang mga detalye sa pagsunod sa kanilang website, ngunit sa maraming mga kaso kailangan mong hilingin ang departamento ng mga benta o suporta. Para sa mga application ng ecommerce at mga shopping cart, maaari kang sumangguni sa Listahan ng Mga Aplikasyon ng Pagbabayad na Napatunayan mula sa PCI na konseho.

Malamang na magkaroon ka ng isang mapagpahirap na pagkakataon na matamo ang pagsunod sa PCI kung gumagamit ka ng mas mura na ibinahaging mga plano sa hosting dahil sa paraan ng mga server ay nahahati sa maraming may-ari ng website. Ngunit maaari kang makakuha ng paggamit ng isang (na kahit na hindi sumusunod) kung pipiliin mo ang isang naka-host na solusyon sa pagbabayad kung saan ang mga customer ay maipasa sa isang compliant site upang ipasok ang kanilang mga detalye ng credit card, tulad ng PayPal Standard, 2Checkout, o Pahintulutan. Net. At maaari mong isaalang-alang ang isang naka-host na solusyon sa pagbabayad kahit na ang iyong Web hosting plan ay sumusunod, upang mabawasan ang mga hakbang sa seguridad na dapat mong gawin. Gayunpaman, kung nais mong ganap na maisama ang proseso ng pagbabayad sa loob ng iyong site, maaaring kailangan mong pumunta sa isang mas mahal na virtual na pribado o dedikadong server, na karaniwang sumusunod sa PCI.

Gumamit ng dial-up na mga terminal sa halip ng mga IP terminal

Ang mga terminal ng credit card ng dial-up ay kumunekta sa linya ng iyong telepono at makipag-ugnayan sa processor ng pagbabayad katulad ng paraan ng lumang 56K modem na konektado sa dial-up Internet. Ang mga ito ay mas mabagal kaysa sa mga terminal na nakabatay sa IP, ngunit maaari nilang lubos na bawasan ang iyong Kapaligiran ng Data ng Cardholder - ang mga computer at mga bahagi kung saan ang impormasyon ng cardholder ay naka-imbak, naproseso, o naipadala-kaya binabawasan ang mga panukalang panseguridad na dapat mong sundin. uri ng terminal ng credit card o POS na iyong pinili, tiyaking compliant PCI, alinman sa pamamagitan ng vendor o sa pamamagitan ng pagsuri sa Mga Apat na Apat na Aparato sa Seguridad ng Transaksyon ng PIN at / o Listahan ng Mga Pinagtibay na Mga Aplikasyon sa Pagbabayad mula sa konseho ng PCI. Tingnan din sa mga vendor sa kung paano gumagana ang kanilang mga terminal at magtanong tungkol sa mga na kadalian sa pagsunod.

Gumamit ng isang hiwalay na network para sa pagpoproseso ng pagbabayad

Kung gumagamit ka ng mga IP-based na mga terminal ng credit card, maaaring mas madaling magkaroon ng isang ganap na hiwalay na network na may sarili nitong koneksyon sa Internet para lamang sa pagpoproseso ng pagbabayad. Ito ay maaaring magaan ang mga panukala ng seguridad na dapat mong gawin sa panahon ng paunang pag-setup ng network at mga dapat mong sundin sa hinaharap para manatiling sumusunod sa PCI.

Mga secure na mobile card reader

Para sa mga maliliit na negosyo na nagbibigay ng serbisyo sa site, mga solusyon sa mobile card reader tulad ng Square, GoPayment, o PayPal Narito ang kaakit-akit. Nag-aalok sila ng isang mabilis at madaling paraan upang simulan ang pagtanggap ng mga pagbabayad ng credit card at maaaring magamit sa mga smartphone o tablet sa pamamagitan ng isang data ng cell o koneksyon sa Wi-Fi. Kahit na ang kasalukuyang PCI DSS requirements (bersyon 2.0) ay hindi partikular na tumutugon sa mga mambabasa ng mobile card, kailangan pa rin ng mga negosyo upang matiyak na ang mga solusyon na ito ay nasa loob ng pagsunod sa PCI.

Ang PCI ay nag-publish ng mga alituntunin sa seguridad para sa pag-secure ng mga solusyon sa pagbabayad sa mobile na iyong ginagamit sa ang iyong mga smartphone o tablet. Karaniwang dapat mong tiyakin na ang mga aparatong mobile ay pinananatiling pisikal at ligtas na digital mula sa pagnanakaw, hindi awtorisadong paggamit, malware, at pag-hack. Huwag jailbreak o i-root ang iyong aparato o paganahin ang iba pang mga function na maaaring gumawa ng hindi secure na aparato, tulad ng USB Pag-debug sa mga Android device. Mag-install ng isang antivirus app at mag-download ng mga app mula sa mga mapagkakatiwalaang pinagkukunan tulad ng opisyal na app store. At tandaan kung ang mga mobile device ay nakakonekta sa isang koneksyon sa Wi-Fi sa ilalim ng kontrol ng negosyo habang ginagamit ang card reader, ang network ay dapat nasa pagsunod sa PCI.