compreender o complexo mundo da conformidade PCI é uma tarefa desafiadora, especialmente se você é um pequeno empresário cuja área de especialização não é baseada no espaço de tecnologia e segurança.
há muita informação, e desinformação, em torno do padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS), que pode ser confuso para pessoas que não tiveram experiência com os requisitos de Conformidade antes. Você pode ter ouvido falar sobre PCI de seu gateway de pagamentos, ou de seu amigo proprietário da empresa, ou talvez você tenha feito sua pesquisa e saiba que há um questionário que você deve preencher.Embora a conformidade com PCI possa parecer complicada ou esmagadora à primeira vista, com boas orientações e ferramentas (que você tem através do programa MTI), pode ser um processo simples para ser compatível e proteger sua empresa da ameaça de ataques cibernéticos.
para obter uma análise completa do que você precisa fazer para atender aos requisitos do PCI DSS para sua empresa, consulte nossas soluções de segurança de negócios. Mas se você tem ouvido algumas informações mistas que o deixaram em dúvida sobre se precisa ou não ser compatível com PCI, Aqui estão alguns dos principais mal-entendidos sobre a conformidade com PCI DSS e as informações para colocá-lo no caminho certo.
sou uma pequena empresa com apenas alguns clientes pagantes de cartões, não preciso me preocupar com a conformidade com o PCI DSS
não importa quão grande ou pequeno seja o seu negócio, a conformidade com o PCI DSS se aplica a todas as empresas que processam, armazenam ou transmitem dados de cartão de crédito. A menos que você processe apenas pagamentos com cartão usando um terminal eftpos autônomo para transações presenciais, você tem a responsabilidade de estar em conformidade com os requisitos do PCI DSS. É necessária apenas uma violação de dados para que você seja multado por não proteger os detalhes do cartão de crédito do seu cliente.
o processamento de cartão de terceirização torna meu negócio compatível
a obrigação de poder mostrar a conformidade com o PCI DSS é com você, o comerciante. Você pode usar terceiros compatíveis com PCI DSS, como a eWAY, para gerenciar aspectos do processamento da sua placa, mas ainda há muitos pontos de contato na extremidade da sua empresa que exigem que você implemente as melhores práticas de conformidade com PCI DSS. Garantir que cada ponto de contato atenda ao PCI DSS (padrão de segurança de dados) significa que você está fazendo sua parte na prevenção de ataques cibernéticos e as enormes implicações (link para o custo do artigo sobre cibercrime) que um ataque pode ter em sua empresa.
não preciso seguir todos os requisitos do PCI DSS
a conformidade do PCI DSS não é uma escolha e escolha o negócio. Para ser compatível com PCI DSS, você deve atender a todos os 12 requisitos do PCI DSS. Todos os critérios compõem as medidas básicas de segurança que todas as empresas devem ter em vigor para proteger seus clientes e a si mesmas contra violações de dados.
você é pessoalmente responsável se sua empresa sofre uma violação de dados?
eu nunca tive uma violação, então eu não preciso me preocupar com PCI DSS
você pode ter ouvido que a conformidade com PCI DSS só precisa ser feita se você tiver experimentado uma violação em sua segurança. Isso não é verdade, embora, após uma violação, seu adquirente possa forçá-lo a se submeter a um programa de correção de segurança e ter sua conformidade com PCI-DSS auditada. Você precisa estar em conformidade com o PCI DSS, independentemente de ter ou não uma violação de dados. Os requisitos de segurança do PCI DSS ajudarão a evitar violações de dados e provavelmente salvarão sua empresa. A prevenção é muito melhor do que a cura.
PCI DSS compliance é só para empresas que armazenam informações de cartão de crédito em seus computadores
Qualquer empresa que processa informações de cartão de crédito, o que inclui capturando-os em papel ou formulário eletrônico, transmitir uma outra organização, ou armazena-lo, deve ser PCI-DSS queixa. Existem muitos pontos de contato em sua empresa que podem entrar em contato com os dados do cartão de crédito e, portanto, precisam ser compatíveis com PCI DSS. Você pode processar pagamentos por telefone, receber dados de cartão de crédito por e-mail ou armazenar registros físicos de detalhes de pagamento em seu escritório. Todas as áreas da sua empresa precisam cumprir os requisitos do PCI DSS, portanto, certifique-se de ler e entender todos os diferentes pontos de contato.
tudo o que preciso fazer é responder sim a tudo no questionário de autoavaliação
o questionário de autoavaliação envolve responder a muitas perguntas detalhadas sobre como você gerencia os detalhes do cartão de crédito e a segurança do seu negócio. Isso é para obter uma compreensão precisa dos processos da sua empresa em torno dos dados do cartão de crédito. No entanto, apenas responder ” sim ” a todas as perguntas não torna você e sua empresa compatíveis. Responder às perguntas honestamente significa que você será solicitado a tomar as medidas de segurança certas para o seu negócio, para que você seja verdadeiramente compatível com PCI DSS. Responder a todas as perguntas “sim”, mesmo que esta não seja a verdadeira resposta, significa que você deixará seus clientes e a si mesmo vulneráveis a um hack de dados.
nossos desenvolvedores disseram que nosso site é compatível com PCI DSS
embora partes do seu site possam realmente ser compatíveis com PCI DSS, é sua responsabilidade garantir que todas as áreas do seu negócio sejam compatíveis com PCI DSS. Existem muitos outros pontos de contato que sua empresa pode ter com dados de cartão de crédito que você pode não estar ciente. Se ocorrer uma violação de dados, você será o responsável pela violação e as repercussões pousarão com você.
se você só processar pagamentos através do seu site, ainda existem dois requisitos que você precisa atender:
- Garantir que a sua página web é hospedado com segurança e regularidade, corrigida e analisada para vulnerabilidades
- seu MTI assinatura inclui um scanner de vulnerabilidade
- Complete o Questionário de Auto-Avaliação (SAQ-UM ou SAQ-UM-EP)
- usar o Trustkeeper ferramenta de avaliação de selecionar o seu pagamento, fornecer e “estou plenamente de terceirizar a minha processamento de pagamentos”
o PCI DSS compliance é caro
A idéia de que você pode ter que contratar um especialista para ajudá-lo com o PCI DSS compliance é incorreto. Os empresários inscritos em nosso Programa Merchant Trust Initiative (MTI) recebem as ferramentas e a ajuda de que precisam para cumprir todas as suas responsabilidades de conformidade com o PCI DSS. Se você estiver se sentindo sobrecarregado ou precisar de assistência para atender aos requisitos de conformidade do PCI DSS ou para conduzir o questionário de Autoavaliação do PCI DSS, ligue para 1300 763 256 ou envie um e-mail para nossa equipe que pode ajudá-lo com todas as suas necessidades de conformidade do PCI DSS.