att förstå den komplexa världen av PCI compliance är en utmanande uppgift, särskilt om du är en småföretagare vars kompetensområde inte är baserat på teknik och säkerhetsutrymme.
det finns mycket information och felinformation kring Payment Card Industry Data Security Standard (PCI DSS), vilket kan vara förvirrande för personer som inte har haft erfarenhet av efterlevnadskraven tidigare. Du kanske har hört talas om PCI från din betalningsgateway, eller från din företagsägarvän, eller kanske har du gjort din forskning och vet att det finns ett frågeformulär som du borde fylla i.
medan PCI-efterlevnad kan verka knepigt eller överväldigande vid första anblicken, med bra vägledning och verktyg (som du har genom mti-programmet) kan det vara en enkel process att vara kompatibel och skydda ditt företag från hotet om cyberattacker.
för en fullständig sammanfattning av vad du behöver göra för att uppfylla PCI DSS-kraven för ditt företag, se våra säkerhetslösningar för företag. Men om du har hört lite blandad information som har lämnat dig i tvivel om huruvida du behöver vara PCI-kompatibel, här är några av de bästa missförstånden kring PCI DSS-överensstämmelse och informationen för att ställa dig på rätt spår.
jag är ett litet företag med endast ett fåtal kort betalande kunder, jag behöver inte oroa dig för PCI DSS efterlevnad
oavsett hur stor eller liten ditt företag är, PCI DSS efterlevnad gäller för alla företag som bearbetar, lagrar eller överför kreditkortsdata. Om du inte bara behandlar kortbetalningar med en fristående eftpos-terminal för ansikte mot ansikte transaktioner, har du ett ansvar att följa PCI DSS-kraven. Det tar bara en dataintrång för dig att bli böter för att inte skydda kundens kreditkortsuppgifter.
Outsourcing kort bearbetning gör my business kompatibel
skyldigheten att kunna visa PCI DSS efterlevnad är med dig, Handlaren. Du kan använda PCI DSS-kompatibla tredje parter som eWAY för att hantera aspekter av din kortbehandling, men det finns fortfarande många beröringspunkter i ditt företags slut som kräver att du implementerar bästa praxis för PCI DSS-efterlevnad. Att säkerställa att varje kontaktpunkt uppfyller PCI DSS (Data Security Standard) innebär att du gör din del för att förebygga cyberattacker och de enorma konsekvenserna (länk till cost of cybercrime-artikeln) som en attack kan ha på ditt företag.
jag behöver inte följa alla PCI DSS-krav
PCI DSS-överensstämmelse är inte en pick and choose-affär. För att vara PCI DSS-kompatibel måste du uppfylla alla 12 av PCI DSS-kraven. Alla kriterier utgör de grundläggande säkerhetsåtgärder som varje företag bör ha för att skydda både sina kunder och sig själva från dataintrång.
är du personligen ansvarig om ditt företag drabbas av ett dataintrång?
jag har aldrig haft ett brott så jag behöver inte oroa dig för PCI DSS
du kanske har hört att PCI DSS-överensstämmelse bara behöver göras om du har upplevt ett brott i din säkerhet. Detta är inte sant, men efter ett brott kan din förvärvare tvinga dig att genomgå ett säkerhetsprogram och få din PCI-DSS-efterlevnad granskad. Du måste vara PCI DSS-kompatibel oavsett om du har haft ett dataintrång eller inte. PCI DSS säkerhetskrav kommer att bidra till att förhindra dataintrång, och förmodligen spara ditt företag. Förebyggande är mycket bättre än botemedel.
PCI DSS-efterlevnad är endast för företag som lagrar kreditkortsinformation på sina datorer
alla företag som behandlar kreditkortsinformation, vilket inkluderar att fånga in den i pappersform eller elektronisk form, överföra till en annan organisation eller lagra den, måste vara PCI-DSS-klagomål. Det finns många beröringspunkter i ditt företag som kan komma i kontakt med kreditkortsdata och därför måste vara PCI DSS-kompatibla. Du kan behandla betalningar via telefon, ta emot kreditkortsdata via e-post eller lagra fysiska register över betalningsuppgifter på ditt kontor. Alla områden i din verksamhet måste uppfylla PCI DSS-kraven så se till att du har läst och förstått alla olika beröringspunkter.
allt jag behöver göra är att svara ja på allt på Självbedömningsformuläret
självbedömningsformuläret innebär att du svarar på många detaljerade frågor kring hur du hanterar kreditkortsuppgifter och säkerheten för ditt företag. Detta för att få en korrekt förståelse för ditt företags processer kring kreditkortsdata. Men att bara svara ja på varje fråga gör inte dig och ditt företag kompatibelt. Att svara på frågorna ärligt innebär att du kommer att uppmanas att vidta rätt säkerhetsåtgärder för ditt företag så att du verkligen kommer att uppfylla PCI DSS. Svara på alla frågor ’ ja ’ även om detta inte är det sanna svaret innebär att du kommer att lämna dina kunder och dig själv sårbara för en data hacka.
våra utvecklare sa att vår webbplats är PCI DSS-kompatibel
medan delar av din webbplats verkligen kan vara PCI DSS-kompatibla, är det ditt ansvar att se till att alla delar av ditt företag är PCI DSS-kompatibla. Det finns många andra kontaktpunkter som ditt företag kan ha med kreditkortsdata som du kanske inte känner till. Om ett dataintrång inträffar kommer du att vara den som hålls ansvarig för överträdelsen och konsekvenserna kommer att landa med dig.
om du bara behandlar betalningar via din webbplats finns det fortfarande två krav du behöver uppfylla:
- se till att din webbsida är värd säkert och regelbundet patchad och skannad för sårbarheter
- din mti-prenumeration innehåller en sårbarhetsskanner
- fyll i Självbedömningsformuläret (SAQ-A eller SAQ-a-EP)
- använd trustkeeper assessment tool som din betalningsleverantör och ”jag lägger helt ut min betalningsbehandling”
PCI DSS-efterlevnad är dyrt
tanken att du kanske måste anställa en specialist för att hjälpa dig med din PCI DSS-efterlevnad är felaktig. Företagare som är inskrivna i vårt Merchant Trust Initiative (MTI) – program får de verktyg och hjälp de behöver för att uppfylla alla sina PCI DSS-efterlevnadsansvar. Om du känner dig överväldigad eller behöver hjälp med att uppfylla dina PCI DSS-efterlevnadskrav eller genomföra PCI DSS-Självbedömningsfrågeformuläret, ring oss på 1300 763 256 eller skicka ett mail till vårt team som kan hjälpa dig med alla dina PCI DSS-efterlevnadsbehov.