Comprendere il complesso mondo della compliance PCI è un compito impegnativo, soprattutto se sei un piccolo imprenditore la cui area di competenza non si basa sulla tecnologia e lo spazio di sicurezza.
C’è un sacco di informazioni, e disinformazione, che circonda Payment Card Industry Data Security Standard (PCI DSS), che può essere fonte di confusione per le persone che non hanno avuto esperienza con i requisiti di conformità prima. Potresti aver sentito parlare di PCI dal tuo gateway di pagamento, o dal tuo amico imprenditore, o forse hai fatto la tua ricerca e sai che c’è un questionario che dovresti compilare.
Mentre la conformità PCI potrebbe sembrare difficile o schiacciante a prima vista, con una buona guida e strumenti (che si hanno attraverso il programma MTI) può essere un processo semplice per essere conformi e proteggere il vostro business dalla minaccia di attacchi informatici.
Per una ripartizione completa di ciò che è necessario fare per soddisfare i requisiti PCI DSS per il vostro business vedere le nostre soluzioni di sicurezza aziendale. Ma se hai sentito alcune informazioni contrastanti che ti hanno lasciato in dubbio sul fatto che tu abbia o meno bisogno di essere compatibile con PCI, ecco alcuni dei principali equivoci sulla conformità PCI DSS e le informazioni per metterti sulla strada giusta.
Sono una piccola impresa con pochi clienti paganti, non devo preoccuparmi della conformità PCI DSS
Non importa quanto sia grande o piccola la tua azienda, la conformità PCI DSS si applica a tutte le aziende che elaborano, archiviano o trasmettono i dati della carta di credito. A meno che non si elaborino solo pagamenti con carta utilizzando un terminale eftpos autonomo per transazioni faccia a faccia, si ha la responsabilità di essere conformi ai requisiti PCI DSS. Ci vuole solo una violazione dei dati per essere multati per non proteggere i dati della carta di credito del cliente.
L’elaborazione delle carte in outsourcing rende my business compliant
L’obbligo di essere in grado di mostrare la conformità PCI DSS è con te, il commerciante. È possibile utilizzare terze parti conformi a PCI DSS come eWAY per gestire gli aspetti dell’elaborazione delle schede, ma ci sono ancora molti punti di contatto sul lato aziendale che richiedono l’implementazione delle best practice di conformità PCI DSS. Garantire che ogni punto di contatto soddisfi lo standard PCI DSS (Data Security Standard) significa che stai facendo la tua parte nella prevenzione degli attacchi informatici e delle enormi implicazioni (link to cost of cybercrime article) che un attacco può avere sulla tua azienda.
Non ho bisogno di seguire TUTTI i requisiti PCI DSS
La conformità PCI DSS non è un affare di scelta e scelta. Per essere PCI DSS compliant si sono tenuti a soddisfare tutti i 12 dei requisiti PCI DSS. Tutti i criteri costituiscono le misure di sicurezza di base che ogni azienda dovrebbe avere in atto per proteggere sia i propri clienti che se stessi dalle violazioni dei dati.
Sei personalmente responsabile se la tua azienda subisce una violazione dei dati?
Non ho mai avuto una violazione, quindi non devo preoccuparmi di PCI DSS
Potresti aver sentito che la conformità PCI DSS deve essere eseguita solo se hai riscontrato una violazione della tua sicurezza. Questo non è vero, anche se a seguito di una violazione il tuo acquirente potrebbe costringerti a sottoporsi a un programma di correzione della sicurezza e ad avere la tua conformità PCI-DSS controllata. Devi essere compatibile con PCI DSS indipendentemente dal fatto che tu abbia avuto o meno una violazione dei dati. Requisiti di sicurezza PCI DSS aiuterà a prevenire le violazioni dei dati, e probabilmente salvare il vostro business. Prevenire è molto meglio che curare.
La conformità PCI DSS è solo per le aziende che memorizzano i dati della carta di credito sui propri computer
Qualsiasi azienda che elabora i dati della carta di credito, che include l’acquisizione in formato cartaceo o elettronico, la trasmissione a un’altra organizzazione o la memorizzazione, deve essere un reclamo PCI-DSS. Ci sono molti punti di contatto nella tua azienda che possono entrare in contatto con i dati della carta di credito e quindi devono essere conformi a PCI DSS. È possibile elaborare i pagamenti per telefono, ricevere i dati della carta di credito tramite e-mail o archiviare i record fisici dei dettagli di pagamento nel proprio ufficio. Tutte le aree della tua azienda devono essere conformi ai requisiti PCI DSS, quindi assicurati di aver letto e compreso tutti i diversi punti di contatto.
Tutto quello che devo fare è rispondere sì a tutto sul questionario di autovalutazione
Il questionario di autovalutazione comporta rispondere a molte domande dettagliate su come gestire i dati della carta di credito e la sicurezza della tua attività. Questo è quello di ottenere una comprensione accurata dei processi di business’ intorno dati della carta di credito. Tuttavia, solo rispondendo ‘ sì ‘ ad ogni domanda non rende voi e il vostro business compliant. Rispondere onestamente alle domande significa che ti verrà richiesto di adottare le giuste misure di sicurezza per la tua azienda in modo da essere veramente conforme a PCI DSS. Rispondere a tutte le domande ” sì ” anche se questa non è la vera risposta significa che lascerai i tuoi clienti e te stesso vulnerabili a un hack dei dati.
I nostri sviluppatori hanno dichiarato che il nostro sito Web è conforme a PCI DSS
Mentre parti del tuo sito Web potrebbero essere conformi a PCI DSS, è tua responsabilità garantire che ogni area della tua attività sia conforme a PCI DSS. Ci sono molti altri punti di contatto che la tua azienda potrebbe avere con i dati della carta di credito di cui potresti non essere a conoscenza. Se si verifica una violazione dei dati, sarai l’unico responsabile della violazione e le ripercussioni atterreranno con te.
Se si elaborano solo i pagamenti attraverso il tuo sito web, ci sono ancora due requisiti che devi soddisfare:
- Assicurarsi che la pagina web è ospitato in modo sicuro, e regolarmente patchato e la scansione di vulnerabilità
- il tuo MTI abbonamento include uno scanner di vulnerabilità
- Completa il Questionario di Auto-Valutazione (SAQ-UNA o SAQ-A-EP)
- utilizzare il Trustkeeper strumento di valutazione la selezione come sistema di pagamento di fornire e “io delegare completamente la mia elaborazione dei pagamenti”
conformità PCI DSS è costoso
L’idea che potrebbe essere necessario assumere uno specialista per aiutarvi con il vostro conformità PCI DSS non è corretto. I proprietari di aziende iscritti al nostro programma Merchant Trust Initiative (MTI) ricevono gli strumenti e l’aiuto di cui hanno bisogno per adempiere a tutte le loro responsabilità di conformità PCI DSS. Se ti senti sopraffatto o hai bisogno di assistenza per soddisfare i requisiti di conformità PCI DSS o per condurre il questionario di autovalutazione PCI DSS, chiamaci al numero 1300 763 256 o invia un’e-mail al nostro team che può aiutarti con tutte le tue esigenze di conformità PCI DSS.