at forstå den komplekse verden af PCI compliance er en udfordrende opgave, især hvis du er en lille virksomhedsejer, hvis ekspertiseområde ikke er baseret på teknologi og sikkerhed.
der er en masse information og misinformation omkring Payment Card Industry Data Security Standard (PCI DSS), hvilket kan være forvirrende for folk, der ikke har haft erfaring med overholdelseskravene før. Du har måske hørt om PCI fra din betalingsportal eller fra din virksomhedsejerven, eller måske har du gjort din forskning og ved, at der er et spørgeskema, du skal udfylde.
mens PCI-overholdelse kan virke vanskelig eller overvældende ved første øjekast, med god vejledning og værktøjer (som du har gennem MTI-programmet), kan det være en simpel proces at være kompatibel og beskytte din virksomhed mod truslen om cyberangreb.
For en komplet oversigt over, hvad du skal gøre for at opfylde PCI DSS-kravene til din virksomhed, se vores business security solutions. Men hvis du har hørt nogle blandede oplysninger, der har efterladt dig i tvivl om, hvorvidt du skal være PCI-kompatibel, her er nogle af de største misforståelser omkring PCI DSS-overholdelse og oplysningerne, der sætter dig på rette spor.
jeg er en lille virksomhed med kun få kortbetalende kunder, Jeg behøver ikke bekymre mig om PCI DSS-overholdelse
uanset hvor stor eller lille din virksomhed er, Gælder PCI DSS-overholdelse for enhver virksomhed, der behandler, gemmer eller transmitterer kreditkortdata. Medmindre du kun behandler kortbetalinger ved hjælp af en enkeltstående Eftpos-terminal til ansigt til ansigt-transaktioner, har du et ansvar for at overholde PCI DSS-kravene. Det tager kun et databrud for dig at blive bødet for ikke at beskytte din kundes kreditkortoplysninger.
Outsourcing kortbehandling gør min virksomhed kompatibel
forpligtelsen til at kunne vise PCI DSS-overholdelse er med dig, købmanden. Du kan bruge PCI DSS-kompatible tredjeparter til at administrere aspekter af din kortbehandling, men der er stadig mange berøringspunkter i din virksomheds ende, der kræver, at du implementerer bedste praksis for PCI DSS-overholdelse. At sikre, at hvert berøringspunkt opfylder PCI DSS (Datasikkerhedsstandard) betyder, at du gør din del for at forhindre cyberangreb og de enorme konsekvenser (link til omkostninger ved cyberkriminalitet), som et angreb kan have på din virksomhed.
jeg behøver ikke at følge alle PCI DSS-kravene
PCI DSS-overholdelse er ikke en pick and choose-aftale. For at være PCI DSS-kompatibel skal du opfylde alle 12 af PCI DSS-kravene. Alle kriterierne udgør de grundlæggende sikkerhedsforanstaltninger, som enhver virksomhed skal have på plads for at beskytte både deres kunder og sig selv mod databrud.
er du personligt ansvarlig, hvis din virksomhed lider af et databrud?
jeg har aldrig haft et brud, så jeg behøver ikke bekymre mig om PCI DSS
du har måske hørt, at PCI DSS-overholdelse kun skal gøres, hvis du har oplevet et brud på din sikkerhed. Dette er ikke sandt, selvom din indløser efter et brud kan tvinge dig til at gennemgå et sikkerhedsredigeringsprogram og få din PCI-DSS-overholdelse revideret. Du skal være PCI DSS-kompatibel, uanset om du har haft et databrud eller ej. PCI DSS sikkerhedskrav vil hjælpe med at forhindre brud på datasikkerheden, og sandsynligvis gemme din virksomhed. Forebyggelse er meget bedre end helbredelse.
PCI DSS compliance er kun for virksomheder, der gemmer kreditkortoplysninger på deres computere
enhver virksomhed, der behandler kreditkortoplysninger, som omfatter indfangning af dem i papirform eller elektronisk form, overførsel til en anden organisation eller lagring af dem, skal være PCI-DSS-klage. Der er mange berøringspunkter i din virksomhed, der kan komme i kontakt med kreditkortdata og derfor skal være PCI DSS-kompatible. Du kan behandle betalinger over telefonen, modtage kreditkortdata via e-mails eller gemme fysiske optegnelser over betalingsoplysninger på dit kontor. Alle områder i din virksomhed skal overholde PCI DSS-kravene, så sørg for at du har læst og forstået alle de forskellige berøringspunkter.
alt hvad jeg skal gøre er at svare ja til alt på Selvvurderingsspørgeskemaet
selvvurderingsspørgeskemaet indebærer at besvare en masse detaljerede spørgsmål om, hvordan du administrerer kreditkortoplysninger og sikkerheden i din virksomhed. Dette er for at få en nøjagtig forståelse af din virksomheds processer omkring kreditkortdata. Men bare at svare ‘ ja ‘ til hvert spørgsmål gør ikke dig og din virksomhed kompatibel. At besvare spørgsmålene ærligt betyder, at du bliver bedt om at tage de rigtige sikkerhedsforanstaltninger for din virksomhed, så du virkelig overholder PCI DSS. Besvarelse af alle spørgsmål ‘ja’, selvom dette ikke er det rigtige svar, betyder, at du forlader dine kunder og dig selv sårbare over for et datahack.
vores udviklere sagde, at vores hjemmeside er PCI DSS-kompatibel
mens dele af din hjemmeside faktisk kan være PCI DSS-kompatible, er det dit ansvar at sikre, at alle områder af din virksomhed er PCI DSS-kompatible. Der er mange andre berøringspunkter, som din virksomhed kan have med kreditkortdata, som du muligvis ikke er opmærksom på. Hvis der opstår et databrud, vil du være den, der holdes ansvarlig for bruddet, og konsekvenserne vil lande med dig.
hvis du kun behandler betalinger via din hjemmeside, er der stadig to krav, du skal opfylde:
- sørg for, at din hjemmeside hostes sikkert og regelmæssigt lappes og scannes for sårbarheder
- dit MTI-abonnement indeholder en sårbarhedsscanner
- udfyld Selvvurderingsspørgeskemaet (SAK-A eller SAK-a-EP)
- brug trustkeeper assessment tool valg som din betaling giver og “jeg outsourcer fuldt ud min betalingsbehandling”
PCI DSS compliance er dyrt
ideen om, at du måske skal ansætte en specialist til at hjælpe dig med din PCI DSS compliance, er forkert. Virksomhedsejere, der er tilmeldt vores Merchant Trust Initiative (MTI) – program, får de værktøjer og hjælp, de har brug for til at opfylde alle deres PCI DSS-overholdelsesansvar. Hvis du føler dig overvældet eller har brug for hjælp til at opfylde dine PCI DSS-overholdelseskrav eller til at gennemføre PCI DSS-Selvvurderingsspørgeskemaet, ring til os på 1300 763 256 eller send en e-mail til vores team, der kan hjælpe dig med alle dine PCI DSS-overholdelsesbehov.