Bạn có chấp nhận thanh toán tín dụng hoặc ghi nợ tại doanh nghiệp của bạn? Nếu vậy, rất có thể bạn cần tuân thủ Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI DSS).
PCI DSS thiết lập các biện pháp bảo mật dữ liệu tối thiểu cho các tổ chức trên toàn thế giới nắm giữ, xử lý hoặc trao đổi thông tin chủ thẻ từ bất kỳ thương hiệu thẻ lớn nào. Các tiêu chuẩn được xem xét hai năm một lần và được sửa đổi gần đây nhất vào tháng 10 năm 2010.
$config[code] not foundTheo nghiên cứu của Liên đoàn bán lẻ quốc gia và dữ liệu đầu tiên, 86% số người được hỏi vừa và nhỏ cho biết họ quan tâm đến việc giữ an toàn thông tin thẻ khách hàng và cảm thấy bảo mật dữ liệu thẻ là quan trọng đối với doanh nghiệp của họ. Nhưng trong khi hầu hết (66 phần trăm) biết về PCI DSS, chỉ 49 phần trăm đã hoàn thành việc tự đánh giá bắt buộc tại thời điểm khảo sát.
Bảo vệ dữ liệu chủ thẻ có vẻ tốn kém và hơi áp đảo đối với các chủ doanh nghiệp nhỏ, hầu hết trong số họ đã đội nhiều mũ. Tuy nhiên, chi phí tài chính và uy tín của một vi phạm có thể là đáng kể - trong một số trường hợp gây nguy hiểm cho doanh nghiệp của bạn hoàn toàn.
Nhưng bắt đầu từ đâu? Hy vọng rằng bạn đã giới hạn quyền truy cập vật lý vào thông tin chủ thẻ và luôn cập nhật phần mềm chống vi-rút. Dưới đây là những cách bổ sung mà bạn có thể tăng đáng kể bảo mật dữ liệu trong khi quản lý chi phí tuân thủ:
Mã hóa dữ liệu nhạy cảm Có lẽ biện pháp quan trọng nhất mà doanh nghiệp có thể thực hiện để bảo vệ thông tin chủ thẻ là mã hóa dữ liệu thẻ ngay sau khi thẻ được quẹt tại điểm bán. Thông tin phải ở trong trạng thái được mã hóa trong khi nó được truyền đến bộ xử lý thanh toán.
Bước này có nghĩa là giao dịch không bao giờ được truyền bằng văn bản đơn giản trong chuyển tiếp khung, quay số hoặc kết nối Internet, nơi tiềm năng tồn tại để đánh chặn bởi những kẻ lừa đảo. Nếu dữ liệu bị rút đi một khi nó được mã hóa, nó hầu như vô dụng đối với kẻ trộm. Giảm CDE của bạn Mọi hệ thống máy tính, tủ hồ sơ và ứng dụng sử dụng hoặc lưu trữ dữ liệu thẻ nhạy cảm, bao gồm dữ liệu được mã hóa, là một phần của môi trường dữ liệu chủ thẻ chung (CDE) và trong phạm vi tuân thủ PCI DSS. Nói cách khác, bạn càng có nhiều địa điểm dữ liệu, bạn càng cần phải lo lắng về việc bảo vệ.
Giới hạn - và thậm chí thu hẹp - phạm vi CDE của bạn bằng cách giới hạn việc sử dụng dữ liệu chủ thẻ chỉ cho các ứng dụng liên quan trực tiếp đến thanh toán (ví dụ: xác thực giao dịch, thanh toán hàng ngày và khoản bồi hoàn). Ôm token hóa Mã thông báo là một phần bổ sung của lớp được xếp vào phần mềm mã hóa. Dữ liệu chủ thẻ được gửi đến một máy chủ tập trung và bảo mật cao (vault) sau khi được ủy quyền và một số duy nhất ngẫu nhiên (mã thông báo) được tạo và trả lại cho các hệ thống kinh doanh, sử dụng bất cứ nơi nào dữ liệu chủ thẻ thường được sử dụng.
Mã thông báo dành riêng cho thẻ và vẫn có thể được sử dụng để xử lý tiền lãi, theo dõi thói quen chi tiêu và các chức năng kinh doanh khác, nhưng bản thân con số này không có giá trị đối với những kẻ lừa đảo. Điều này có thể làm giảm đáng kể tác động của vi phạm dữ liệu tiềm năng. Mã thông báo cũng có thể giúp giảm phạm vi của CDE vì không có dữ liệu chủ thẻ. Các doanh nghiệp thay thế dữ liệu chủ thẻ bằng mã thông báo trong tất cả các ứng dụng doanh nghiệp của họ có thể giảm đáng kể phạm vi CDE của họ và sau đó giảm phạm vi và chi phí tuân thủ PCI DSS và đánh giá hàng quý / quét hàng quý. Làm việc với bên thứ ba Một cách khác để thu hẹp môi trường mà tuân theo tiêu chuẩn PCI là giao trách nhiệm (và trách nhiệm pháp lý) trong việc lưu trữ dữ liệu thẻ cho nhà cung cấp dịch vụ bên thứ ba. Chẳng hạn, một doanh nghiệp có thể gửi dữ liệu thẻ được mã hóa đến bộ xử lý thanh toán để được ủy quyền và khi trả lời được ủy quyền được trả lại, một số mã thông báo cũng được gửi đến doanh nghiệp.
Cách tiếp cận này lớp mã hóa và mã thông báo đồng thời thu hẹp CDE kinh doanh về dấu chân nhỏ nhất có thể: hệ thống POS chứa dữ liệu thẻ ủy quyền trực tiếp. Giơ tay bạn lên Doanh nghiệp có trách nhiệm bảo vệ khách hàng của họ dữ liệu, nhưng bạn không thể làm điều đó một mình. Nói chuyện với nhà cung cấp thanh toán của bạn về các giải pháp và chuyên gia có thể giúp doanh nghiệp của bạn có được và tuân thủ. Hãy nhớ rằng, PCI DSS là một tiêu chuẩn tối thiểu và việc tìm đúng đối tác có thể giúp bạn đưa ra quyết định thông minh về cách bảo vệ tốt nhất cho khách hàng của bạn - và có khả năng là doanh nghiệp của bạn.
1