zrozumienie złożonego świata zgodności PCI to trudne zadanie, zwłaszcza jeśli jesteś właścicielem małej firmy, której specjalizacja nie opiera się na technologii i bezpieczeństwie.
istnieje wiele informacji i dezinformacji dotyczących standardu bezpieczeństwa danych w branży kart płatniczych (PCI DSS), co może być mylące dla osób, które wcześniej nie miały doświadczenia z wymaganiami zgodności. Być może słyszałeś o PCI ze swojej bramki płatności lub od znajomego właściciela firmy, a może przeprowadziłeś badania i wiesz, że powinieneś wypełnić kwestionariusz.
chociaż zgodność z PCI może wydawać się trudna lub przytłaczająca na pierwszy rzut oka, dzięki dobrym wskazówkom i narzędziom (które posiadasz za pośrednictwem programu MTI) może być prostym procesem, aby zachować zgodność i chronić swoją firmę przed cyberatakami.
aby dowiedzieć się, co musisz zrobić, aby spełnić wymagania PCI DSS dla Twojej firmy, zapoznaj się z naszymi rozwiązaniami bezpieczeństwa biznesowego. Ale jeśli słyszałeś mieszane informacje, które pozostawiły cię w wątpliwość, czy musisz być zgodny z PCI, oto niektóre z najważniejszych nieporozumień dotyczących zgodności z PCI DSS i informacji, które pomogą ci skierować cię na właściwą drogę.
jestem małą firmą, która ma tylko kilku klientów płacących kartą, nie muszę się martwić o zgodność z PCI DSS
niezależnie od tego, jak duża lub mała jest Twoja firma, zgodność z PCI DSS dotyczy każdej firmy, która przetwarza, przechowuje lub przesyła dane karty kredytowej. O ile nie przetwarzasz płatności kartą wyłącznie za pomocą samodzielnego terminala eftpos do transakcji bezpośrednich, masz obowiązek przestrzegać wymagań PCI DSS. Wystarczy jedno naruszenie danych, aby zostać ukaranym grzywną za brak ochrony danych karty kredytowej klienta.
Outsourcing card processing makes my business compliant
obowiązek wykazania zgodności z PCI DSS spoczywa na Tobie, sprzedawcy. Możesz korzystać ze zgodnych z PCI DSS stron trzecich, takich jak eWAY, do zarządzania aspektami przetwarzania kart, ale nadal istnieje wiele punktów kontaktowych po stronie Twojej firmy, które wymagają wdrożenia najlepszych praktyk zgodności z PCI DSS. Zapewnienie zgodności każdego punktu kontaktu z PCI DSS (Data Security Standard) oznacza, że bierzesz udział w zapobieganiu cyberatakom i ogromnym implikacjom (link do artykułu cost of cybercrime), które mogą mieć wpływ na Twoją firmę.
nie muszę przestrzegać wszystkich wymagań PCI DSS
zgodność z PCI DSS nie jest ofertą typu pick and choose. Aby uzyskać zgodność z PCI DSS, musisz spełnić wszystkie 12 wymagań PCI DSS. Wszystkie kryteria składają się na podstawowe środki bezpieczeństwa, które każda firma powinna mieć w celu ochrony zarówno swoich klientów, jak i samych siebie przed naruszeniem danych.
czy jesteś osobiście odpowiedzialny za naruszenie danych w Twojej firmie?
nigdy nie miałem naruszenia, więc nie muszę się martwić o PCI DSS
być może słyszałeś, że zgodność z PCI DSS musi być wykonana tylko wtedy, gdy doświadczyłeś naruszenia bezpieczeństwa. Nie jest to prawdą, jednak po naruszeniu bezpieczeństwa twój agent autoryzacyjny może zmusić cię do poddania się programowi naprawy zabezpieczeń i poddania kontroli zgodności PCI-DSS. Musisz być zgodny z PCI DSS, niezależnie od tego, czy doszło do naruszenia danych. Wymagania bezpieczeństwa PCI DSS pomogą zapobiec naruszeniom danych i prawdopodobnie uratują Twoją firmę. Lepiej zapobiegać niż leczyć.
zgodność z PCI DSS dotyczy tylko firm, które przechowują informacje o kartach kredytowych na swoich komputerach
każda firma, która przetwarza informacje o kartach kredytowych, w tym przechwytuje je w formie papierowej lub elektronicznej, przesyła do innej organizacji lub przechowuje, musi podlegać reklamacji PCI-DSS. Istnieje wiele punktów kontaktu w Twojej firmie, które mogą mieć kontakt z danymi karty kredytowej i dlatego muszą być zgodne z PCI DSS. Możesz przetwarzać płatności przez telefon, otrzymywać dane karty kredytowej za pośrednictwem wiadomości e-mail lub przechowywać fizyczne zapisy szczegółów płatności w swoim biurze. Wszystkie obszary w Twojej firmie muszą spełniać wymagania PCI DSS, więc upewnij się, że przeczytałeś i zrozumiałeś wszystkie różne punkty kontaktu.
wszystko, co muszę zrobić, to odpowiedzieć tak na wszystko w kwestionariuszu samooceny
kwestionariusz samooceny obejmuje odpowiedzi na wiele szczegółowych pytań dotyczących zarządzania danymi karty kredytowej i bezpieczeństwa Twojej firmy. Ma to na celu dokładne zrozumienie procesów biznesowych związanych z danymi kart kredytowych. Jednak samo odpowiadanie ” tak ” na każde pytanie nie czyni Ciebie i Twojej firmy zgodnymi. Uczciwa odpowiedź na pytania oznacza, że zostaniesz poproszony o podjęcie odpowiednich środków bezpieczeństwa dla Twojej firmy, aby być prawdziwie zgodnym z PCI DSS. Odpowiedź na wszystkie pytania „tak”, nawet jeśli nie jest to prawdziwa odpowiedź, oznacza, że pozostawisz swoich klientów i siebie narażonych na włamanie do danych.
nasi programiści powiedzieli, że nasza strona internetowa jest zgodna z PCI DSS
podczas gdy części witryny mogą być rzeczywiście zgodne z PCI DSS, Twoim obowiązkiem jest upewnienie się, że każdy obszar Twojej firmy jest zgodny z PCI DSS. Istnieje wiele innych punktów kontaktowych, które Twoja firma może mieć z danymi karty kredytowej, o których możesz nie wiedzieć. Jeśli dojdzie do naruszenia danych, zostaniesz pociągnięty do odpowiedzialności za naruszenie, a reperkusje spadną na ciebie.
jeśli przetwarzasz płatności tylko za pośrednictwem swojej witryny, nadal musisz spełnić dwa wymagania:
- upewnij się, że Twoja strona internetowa jest bezpiecznie hostowana, regularnie aktualizowana i skanowana w poszukiwaniu luk w zabezpieczeniach
- Twoja subskrypcja MTI zawiera skaner luk w zabezpieczeniach
- wypełnij kwestionariusz samooceny (SAQ-a lub SAQ-a-EP)
- użyj narzędzia trustkeeper assessment wybierając jako dostarczenie płatności i „w pełni zlecam przetwarzanie płatności”
zgodność z PCI DSS jest droga
pomysł, że być może będziesz musiał zatrudnić specjalistę, który pomoże Ci w uzyskaniu zgodności z PCI DSS, jest nieprawidłowy. Właściciele firm zapisani do naszego programu Merchant Trust Initiative (MTI) otrzymują narzędzia i pomoc, których potrzebują do wypełniania wszystkich obowiązków w zakresie zgodności z przepisami PCI DSS. Jeśli czujesz się przytłoczony lub potrzebujesz pomocy w spełnieniu wymagań dotyczących zgodności z PCI DSS lub w przeprowadzeniu kwestionariusza samooceny PCI DSS, zadzwoń do nas pod numer 1300 763 256 lub wyślij wiadomość e-mail do naszego zespołu, który pomoże Ci spełnić wszystkie twoje potrzeby w zakresie zgodności z PCI DSS.