Å Forstå DEN komplekse VERDEN AV PCI compliance er en utfordrende oppgave, spesielt hvis du er en liten bedriftseier hvis kompetanseområde ikke er basert på teknologi og sikkerhet plass.
Det er mye informasjon og feilinformasjon rundt Payment Card Industry Data Security Standard (PCI DSS), som kan være forvirrende for folk som ikke har hatt erfaring med samsvarskravene før. DU har kanskje hørt OM PCI fra betalingsgatewayen din, eller fra bedriftseieren din, eller kanskje du har gjort din forskning og vet at det er et spørreskjema du bør fylle ut.
SELV OM PCI-overholdelse kan virke vanskelig eller overveldende ved første øyekast, med god veiledning og verktøy (som du har gjennom MTI-programmet), kan det være en enkel prosess å være kompatibel og beskytte virksomheten mot trusselen om cyberangrep.
for en fullstendig oversikt over hva du må gjøre for å oppfylle PCI DSS-kravene for din bedrift, se våre sikkerhetsløsninger for bedrifter. Men hvis du har hørt noen blandet informasjon som har forlatt deg i tvil om hvorvidt du trenger Å VÆRE PCI-kompatibel, her er noen av de største misforståelsene rundt PCI DSS-overholdelse og informasjonen for å sette deg på rett spor.
JEG er en liten bedrift med bare noen få kortbetalende kunder, jeg trenger ikke å bekymre MEG FOR PCI DSS-overholdelse
UANSETT hvor stor eller liten bedriften din er, GJELDER PCI DSS-overholdelse for alle virksomheter som behandler, lagrer eller overfører kredittkortdata. Med mindre du bare behandler kortbetalinger ved hjelp av en frittstående eftpos-terminal for ansikt-til-ansikt-transaksjoner, har du et ansvar for å være i samsvar med PCI DSS-kravene. Det tar bare ett datainnbrudd for deg å bli bøtelagt for ikke å beskytte kundens kredittkortdetaljer.
Outsourcing kortbehandling gjør min virksomhet kompatibel
plikten til å vise PCI DSS samsvar er med deg, selgeren. Du kan bruke PCI dss-kompatible tredjeparter som eWAY til å administrere aspekter av kortbehandlingen din, men det er fortsatt mange berøringspunkter på bedriftens slutt som krever at DU implementerer BESTE PRAKSIS FOR PCI DSS-samsvar. Å sikre at hvert kontaktpunkt oppfyller PCI Dss (Data Security Standard) betyr at du gjør din del i å forhindre cyberangrep og de store implikasjonene (link til cost of cybercrime article) et angrep kan ha på virksomheten din.
JEG trenger ikke å følge ALLE PCI DSS-kravene
PCI DSS-overholdelse er ikke en velg og velg avtale. FOR Å VÆRE PCI dss-kompatibel må du oppfylle alle 12 AV PCI DSS-kravene. Alle kriteriene utgjør de grunnleggende sikkerhetstiltakene hver bedrift bør ha på plass for å beskytte både sine kunder og seg selv fra databrudd.
er du personlig ansvarlig hvis bedriften din har et datainnbrudd?
jeg har aldri hatt brudd, så jeg trenger ikke å bekymre MEG FOR PCI DSS
DU har kanskje hørt AT PCI DSS-overholdelse bare må gjøres hvis du har opplevd brudd på sikkerheten din. Dette er ikke sant, men etter et brudd kan innløseren din tvinge deg til å gjennomgå et sikkerhetsprogram og få PCI-DSS-samsvaret ditt revidert. DU må VÆRE PCI DSS-kompatibel om du har hatt et datainnbrudd eller ikke. PCI dss sikkerhetskrav vil bidra til å forhindre databrudd, og sannsynligvis redde virksomheten din. Forebygging er mye bedre enn kur.
PCI DSS-overholdelse er bare for bedrifter som lagrer kredittkortinformasjon på sine datamaskiner
enhver bedrift som behandler kredittkortinformasjon, som inkluderer å fange den i papir eller elektronisk form, overføre til en annen organisasjon eller lagrer DEN, må VÆRE PCI-DSS-klage. Det er mange berøringspunkter i virksomheten din som kan komme i kontakt med kredittkortdata og må derfor VÆRE PCI DSS-kompatible. Du kan behandle betalinger over telefon, motta kredittkortdata via e-post eller lagre fysiske registreringer av betalingsdetaljer på kontoret. ALLE områder i bedriften din må overholde PCI DSS-kravene, så sørg for at du har lest og forstått alle de forskjellige berøringspunktene.
alt jeg trenger å gjøre er å svare ja På Alt På Selvvurderingsskjemaet
selvvurderingsskjemaet innebærer å svare på mange detaljerte spørsmål om hvordan du administrerer kredittkortdetaljer og sikkerheten til virksomheten din. Dette er for å få en nøyaktig forståelse av bedriftens prosesser rundt kredittkortdata. Men bare å svare ‘ ja ‘ på alle spørsmål gjør ikke du og din bedrift kompatibel. Å svare på spørsmålene ærlig betyr at du blir bedt om å ta de riktige sikkerhetstiltakene for din bedrift, slik at du virkelig VIL VÆRE PCI DSS-kompatibel. Svare på alle spørsmål ‘ja’ selv om dette ikke er det sanne svaret betyr at du vil forlate kundene og deg selv sårbare for en data hack.
våre utviklere sa at nettstedet vårt er PCI dss-kompatibelt
mens deler av nettstedet ditt faktisk kan VÆRE PCI DSS-kompatibelt, er det ditt ansvar å sikre at alle områder av virksomheten din er PCI DSS-kompatible. Det er mange andre kontaktpunkter bedriften din kan ha med kredittkortdata du kanskje ikke er klar over. Hvis det oppstår et datainnbrudd, vil du være den som holdes ansvarlig for bruddet, og konsekvensene vil lande med deg.
hvis du bare behandler betalinger via nettstedet ditt, er det fortsatt to krav du må oppfylle:
- Sørg for at nettsiden din er vert sikkert, og regelmessig oppdatert og skannet for sårbarheter
- MTI-abonnementet ditt inneholder en sårbarhetsskanner
- Fullfør Spørreskjemaet For Egenvurdering (SAQ-a eller SAQ-A-EP)
- bruk Trustkeeper-vurderingsverktøyet til å velge som betalingsformidling og «jeg outsourcer fullstendig betalingsbehandlingen min»
PCI DSS-overholdelse er dyrt
ideen om at du kanskje må ansette en spesialist for å hjelpe DEG med PCI DSS-overholdelse, er feil. Bedriftseiere som er registrert i Merchant Trust Initiative (MTI) – programmet, får verktøyene og hjelpen de trenger for å oppfylle ALLE SINE PCI DSS-samsvarsansvar. Hvis du føler deg overveldet eller trenger hjelp med å oppfylle DINE PCI DSS-samsvarskrav eller ved å gjennomføre PCI Dss-Spørreskjemaet, ring oss på 1300 763 256 eller send en e-post til vårt team som kan hjelpe deg med ALLE DINE PCI DSS-samsvarsbehov.