PCI compliance-regler blev oprettet af betalingskortindustrien (PCI) for at hjælpe med at forbedre datasikkerheden og reducere svig. Selvom disse retningslinjer ikke er teknisk obligatoriske, kan kortaccepterende virksomheder være underlagt bøder, retssager eller opsigelse af deres handelskonti, hvis der opstår svig inden for deres betalingsmiljøer. Med andre ord kan banker og betalingsprocessorer levere teknologien til at acceptere betalinger, men handlende er stadig ansvarlige for den måde, de behandler og gemmer følsomme kreditkortdata på, og enhver svigagtig aktivitet, der måtte opstå som følge heraf. Selv i mangel af ansvarsregler er PCI-overholdelse en god ide, da disse retningslinjer for datasikkerhed hjælper med at beskytte din virksomhed og kunder mod svigagtige angreb. En nyttig analogi er sikkerhedsselen. Voksne chauffører er for eksempel ikke teknisk “påkrævet” for at bære dem. Men fordi sikkerhedsseler redder liv, skal du spænde op, når som helst du er i en bil.
PCI-overholdelse i onlineverdenen
PCI-kompatibel svindelbeskyttelse er afgørende for alle virksomheder. Det er især vigtigt i e-handel, da købere og sælgere aldrig mødes ansigt til ansigt. Med ingen måde at uafhængigt kontrollere identiteten af anonyme shoppere, online kreditkortsvindel er nu en $ 6.4 milliarder industri for kriminelle. De største mål for svigagtige angreb er normalt de mindste spillere. Ifølge nogle estimater er 60 procent af alle cyberangreb rettet mod små til mellemstore virksomheder, fordi disse købmænd ofte mangler den tekniske viden og ressourcer til at beskytte sig selv. Heldigvis er et stigende antal e-handelsværktøjer begyndt at lægge større vægt på bedragerihåndtering — fra indkøbsvogne til plugins til indholdsstyringssystem (CMS) suiter. Hvis du i øjeblikket bruger platforme som f.eks. Men det er ikke automatisk. Der er trin, du skal tage for at gøre din hjemmeside kompatibel med Betalingskortbranchens retningslinjer for datasikkerhed. Disse trin gælder for enhver købmand, der accepterer kreditkorttransaktioner, uanset om du stoler på Drupal, Joomla! eller Magento til at drive din virksomhed. Da dette er den mest anvendte CMS-pakke, og plugin ‘ et er uden tvivl den mest populære e-handelsplatform, bruger vi disse værktøjer i eksemplerne nedenfor.PCI-overholdelse: at tage skridt til at beskytte dig selv
det vigtigste udgangspunkt indebærer at vælge en PCI-kompatibel betalingsprocessor. Hvis din udbyder ikke følger den nyeste bedste sikkerhedspraksis, betyder ingen af de andre trin på denne liste noget. Vælg en processor, der kan give dig en sikker betalingsport. Når dette er gjort, kan du gå videre til de næste trin.
Bestem dit forhandlerniveau
PCI-overholdelsesreglerne ændres afhængigt af din virksomheds transaktionsvolumen. For at vide, hvilke retningslinjer du skal følge, skal du bestemme din forhandlerniveau type. Hvis du er som de fleste små virksomheder, kvalificerer du dig sandsynligvis til niveau 4 — som har den nemmeste overholdelsesproces. For at være sikker skal du først bekræfte din status.
selvvurderingsspørgeskema
det næste trin indebærer at tage et selvvurderingsspørgeskema (sak) for at bestemme din nuværende risikoeksponering. Disse tests kan virke overvældende i starten, men de fleste af spørgsmålene kræver enkle ja/nej svar.
godkendt scanningsleverandør
selvom det ikke altid er nødvendigt, er det en god ide at medtage en godkendt scanningsleverandør (ASV), der kan bruge automatiserede værktøjer til at registrere potentielle sårbarheder i det program og udstyr, der administrerer betalingsdata.
4. Sikkerhedspolitikker og træning
ovenstående trin vil skubbe dig mod PCI-overholdelse, men for at forblive kompatibel skal du også være på toppen af:
- programopdateringer
- sikkerhedsrettelser
- antivirusbeskyttelse
- ondsindet scanning
derudover skal du træne dine medarbejdere i, hvordan de håndterer betalingsoplysninger korrekt — helst på et behov for at vide grundlag. Det hjælper også med at få alle til at vælge lange, alfanumeriske adgangskoder til alle logins.
Tjek din SITES sikkerhed SCORE for PCI overholdelse
• find sårbarheder i koden
Secure sockets layer certificate
et SSL-certifikat (Secure sockets layer) er et tillægsbevis, der lader onlinekunderne vide, at de har en direkte, krypteret forbindelse til din hjemmeside (i stedet for en copycat). Når dette SSL-certifikat er installeret, vil dit sides domæne have et ekstra ” S “i slutningen af” http ” – præfikset (dvs.https).
flere verifikationsdetaljer
for at et online salg kan gå igennem, kræver de fleste e-indkøbsvogne kortholderens navn, kontonummer og udløbsdato. Disse repræsenterer det absolutte minimum i sikkerhed, især i betragtning af at onlinesvindel fører til milliarder i årlige tab. Derfor bør du også overveje at kræve yderligere godkendelsesoplysninger såsom faktureringsadresser og kortverifikationsværdier (cvv ‘ er).
de rigtige plugins og værktøjer
teknisk set er
PCI Compliance — et sidste trin
der er et sidste stykke af puslespillet: du skal dele alt det ovenstående med din betalingsprocessor og bank for at få status som “PCI Compliance” (og du skal sende kvartalsrapporter for at forblive i god status). Ægte overholdelse er ikke en engangsrettelse. Efterhånden som svigagtige strategier udvikler sig, skal de trin, der bruges til at forhindre fremtidige angreb, også ændre sig over tid. Hvis du har spørgsmål om PCI-overholdelse, eller hvis du ikke er sikker på, hvordan du kommer i gang, kan du henvise til den medfølgende infografik. Det dækker mange af de mest populære myter og misforståelser, som små online-virksomheder har om betalingssikkerhed.
forfatter bio: Kristen Gramigna er Chief Marketing Officer for BluePay, udbyder af hurtige, nemme og sikre betalingsbehandlingsløsninger. Hun bringer mere end 20 års erfaring i bankkortbranchen inden for direkte salg, salgsledelse og marketing.