Hoe pci-compliant te worden

PCI, vaak PCI DSS genoemd, staat voor betaalkaart Industrie Gegevensbeveiligingsstandaard. Kortom, PCI is een reeks industriestandaarden die worden gebruikt om de beveiliging van bedrijven te meten die de creditcardgegevens accepteren, verwerken, opslaan en verzenden. Bedrijven die PCI-compatibel zijn, zijn minder waarschijnlijk lijden voor gegevensinbreuken die klanten kunnen blootstellen om diefstal te identificeren. Als u een Merchant-ID hebt en creditcards accepteert in uw fysieke of virtuele activiteiten, dan bent u onderworpen aan PCI DSS-industriestandaarden. De PCI-beveiligingsstandaardenraad is een onafhankelijke groep van branche-professionals die opkomende PCI-beveiligingsproblemen onderzoeken en de programma`s en normen creëren om de integriteit van het betaalkaartsysteem te behouden.

Stappen

Deel 1 van 3:
De PCI DSS-basics bekijken
  1. Titel afbeelding Krijg een baan als een bankverteller Stap 1
1. Bevestig uw handelaarsniveau. De eerste stap is om uw verkoper-niveau met de Bank of Clearinghouse te bespreken en te verifiëren die uw creditcardtransacties behandelt. Handelaars zijn onderverdeeld in vier categorieën op basis van visumkaarttransactie van meer dan 12 maanden. Uw verkopersniveau bepaalt hoe streng uw PCI-nalevingsprogramma`s moeten zijn.
  • A Niveau 1 Merchant-processen meer dan 6 miljoen visumtransacties per jaar of wordt aangewezen naar niveau 1 door het visumbedrijf.
  • Een niveau 2-verkoper accepteert jaarlijks tussen 1 en 6 miljoen visumtransacties. Dit omvat in-persoon en online.
  • Een level 3-handelaar zal tussen 20.000 en 1 miljoen visumtransacties per jaar verwerken.
  • Een verkoper van niveau 4, beschouwd als een kleine handelaar, kost minder dan 20.000 visumbetalingen per jaar.
  • PCI DSS-vereisten zijn ook van toepassing op bedrijven die andere creditcards accepteren, zoals American Express, Mastercard en Discover. Visa wordt gebruikt als de benchmark voor het vaststellen van verkoperspiegels.
  • Titel afbeelding Bespaar geld op batterijen Stap 3
    2. Begrijp de sancties voor PCI DSS-overtredingen. Bedrijven die geen PCI DSS-compatibel zijn, kunnen worden onderworpen aan boetes, sancties en verlies van privileges uit het Clearinghouse die creditcardbetalingen verwerkt. Als de PCI-falen resulteert in een werkelijk verlies van gegevens, zou het bedrijf kunnen worden geconfronteerd met boetes, hogere kosten en andere sancties van banken en creditcardprocessors.
  • Bedrijven die geen PCI-compliant zijn, kunnen onderworpen zijn aan rechtszaken en overheidsaansprakelijkheid om de klantgegevens niet te beschermen.
  • Titel afbeelding Presenteer jezelf en zakelijke krachtige stap 4
    3. Maak uzelf vertrouwd met de beste beveiligingspraktijken. De eerste PCI DSS-standaard, geïmplementeerd in september 2009 (DSS V 1.2) Introductie van de 12 vereisten die een handelaar moet onderzoeken om PCI-compliant te zijn. Afhankelijk van uw verkopersniveau, is de hoeveelheid technologie, training en expertise om de normen te implementeren. Een netwerk dat 2 miljoen transacties behandelt, zal bijvoorbeeld geavanceerder zijn dan een netwerk dat 2000 verwerkt.
  • PCI 3.1 ging in juni 2015 in werking en behandelt nieuwe normen in technologie en behandelt kwetsbaarheden in gemeenschappelijke versleutelingsprogramma`s.
  • PCI Compliance Best Practices vallen in vijf algemene categorieën: Veilig netwerk, gegevensbescherming, kwetsbaarheidsbeheer, toegangscontrole, monitoring en beveiligingsbeleid. De PCI-Raad heeft een zelfevaluatie-vragenlijst om kleine bedrijven te helpen de naleving van de beveiligingsnormen te bepalen.
    • Deel 2 van 3:
    Implementatie van PCI Compliance-programma`s
    1. Titel afbeelding Build Trust in een kleine business Stap 3
    1. Bouw en onderhoud een beveiligd netwerk. Voor bedrijven betekent dit een relatie met een vertrouwde aannemer. Tenzij u een IT-professional bent, moet u uw eigen netwerk niet installeren als deze klantgegevens opslaat. Zelfs een out-of-the-box-systeem kan kwetsbaarheden hebben, indien niet op de juiste manier is geïnstalleerd en bijgewerkt.
    • Houd uw firewalls up-to-date en operationeel. Laat werknemers geen firewalls uitschakelen voor welk doel dan ook.
    • Wijzig de wachtwoorden die door de leverancier onmiddellijk worden verstrekt. Implementeer ook een wachtwoordprogramma voor uw werknemers. Wachtwoorden moeten regelmatig worden gewijzigd in overeenstemming met de instructies van de leverancier. Wachtwoorden moeten bijvoorbeeld alfa-numeriek-tekencombinaties zijn die geen woordenboekwoorden zijn. Als uw leverancier op uw systeem werkt, moet u alle wachtwoorden wijzigen wanneer deze online wordt teruggekomen.
  • Titel afbeelding Open een bankrekening Stap 7
    2. Bescherm de kaarthouderinformatie. Als u handmatig creditcards verwerkt, moeten de slips en ontvangsten worden gehandhaafd in vergrendelde bestanden met beperkte toegang. Als de kaarthouderinformatie in uw netwerk is opgeslagen, moet deze worden gecodeerd en beschermd achter de bedrijfsfirewalls
  • Titel afbeelding Update Een DayCare Business Plan Stap 2
    3. Maak een kwetsbaarderbeheerprogramma. Uw systeem moet worden beschermd met geschikte antivirussoftware. U moet ook een bedrijfsprogramma hebben dat verbiedt het toevoegen van software, zoals games, die het systeem in gevaar kunnen brengen.
  • Titel afbeelding Be a Business Analyst in Top Management Stap 3
    4. Toegangscontrole implementeren. Wachtwoordtoegang tot uw systeem moet worden beperkt. Elke medewerker zou alleen de toegang moeten hebben die hij nodig heeft om zijn werk te doen. Leg uit dat dit zowel uw medewerkers als uw klanten beschermt. Als er een gegevensbreuk is, zal beperkte toegang de mogelijkheden verminderen en het onderzoek helpen.
  • Geef voor uw netwerk elke gebruiker en elke terminal een uniek ID-nummer. In het geval van een bevestigde of vermoedelijke inbreuk, kunnen uw IT-professionals snel het Entry Point identificeren.
  • Veilige fysieke gegevens die klant- en kaarthoudergegevens bevatten. Gebruik een kaartsleutelsysteem of een fysiek slot en sleutel.
    • Deel 3 van 3:
    Testen en onderhouden PCI Compliance
    1. Titel afbeelding Build Trust in een kleine bedrijfsstap 1
    1. Bewaak en test uw netwerken. Uw beveiligingsprogramma moet regelmatig scans en tests bevatten om de stroom van klantgegevens via uw netwerk te volgen en te bewaken. Uw IT-professional of leverancier kan tests implementeren, zowel wanneer het systeem bij lage gebruik is (bijvoorbeeld laat in de nacht in het weekend) en in realtime wanneer het systeem in gebruik is.
    • Behoud een logboek van testresultaten. Bespreek hoe lang de testrecords bij uw bank- en verzekeringsmaatschappij moet behouden.
  • Titel afbeelding Bouw vertrouwen in een kleine business Stap 6
    2. Een informatiebeveiligingsbeleid ontwikkelen. Alle stappen in uw PCI-Compliance-programma moeten worden gedocumenteerd in uw beveiligingsbeleid. Dit document moet alle stappen worden gedetailleerd die uw bedrijf neemt om klantgegevens te beveiligen. Voor niveau 1 tot 3 handelaren kan dit programma voor verschillende volumes uitvoeren en de werknemer-handleiding integreren.
  • Niveau 1 tot 3 handelaren zullen waarschijnlijk een contract opnemen met een beveiligingsprofessional of hebben toegewijd personeel getraind in de fijne kneepjes van het schrijven en het handhaven van het informatiebeveiligingsbeleid.
  • Een level 4-handelaar moet contact opnemen met het creditcardclearinghouse voor advies en hulp bij het maken van het beveiligingsbeleid. Als de processor geen programmaljabloon oplevert, moet u overwegen contracten met een beveiligingsprofessional om het document te maken. Tenzij u een IT-professional bent, is het onwaarschijnlijk dat u voldoende thuis bent in de technische details van uw systeem om een ​​PCI-conform beveiligingsbeleid te creëren. Zodra het is gemaakt, hoeft het alleen maar te worden bijgewerkt wanneer uw netwerk is uitgebreid of bijgewerkt. Uw IT-aannemer kan u de documenten verstrekken die u nodig hebt om uw veiligheidsbeleid up-to-date te houden.
  • Het grootste deel van uw beveiligingsprogramma is technisch in de natuur, net als bij keuze van firewall- en beveiligingssoftware, evenals de testprotocollen. U moet echter ook secties over het proces opnemen wanneer een werknemer het bedrijf en wachtwoorden verlaat, worden ingetrokken.
  • Ontwikkel een proces om sleutels en keycards bij te houden. Master-toetsen moeten net zo strikt worden gereguleerd als wachtwoorden op hoog niveau.
  • Titel afbeelding Build Trust in een kleine bedrijfsstap 4
    3. Beoordeel, corrigeren en rapporteren van uw PCI-naleving. Zodra de 12 delen van de best practices van de PCI worden geïmplementeerd, moet u periodiek door het PCI-Raad met drie stapsbeoordeling doorlopen om ervoor te zorgen dat de naleving wordt gehandhaafd.
  • Inventariseer uw IT-systemen en bedrijfsprocessen. Als er iets is gewijzigd, kunt u uw beveiligingsprogramma`s en kwetsbaarheidsbeheerplannen bijwerken.
  • Als u een zwakte in uw systeem vindt, maakt u het probleem op. Dit kan nieuwe apparatuur of software, gebruikerstraining vereisen of uw netwerk bijwerken. IT-professionals moeten deze wijzigingen implementeren.
  • Houd de registratie van uw acties en verzend rapporten van uw nalevingsinspanningen aan uw bank- en creditcardbedrijven. Uw rapporten, inspanningen en inzichten kunnen een ander bedrijf helpen klantengegevens te beschermen.

    • Waarschuwingen

    Niveau 4 Merchants moeten de PCI-naleving van het bank- of creditcardopruimhuis bespreken en de aanbevelingen volgen.
  • Als u een zeer kleine handelaar bent, zoals een thuisbedrijf, is het onwaarschijnlijk dat u kaartgegevens op uw persoonlijke netwerk zult opslaan. U moet echter nog steeds uw processen met uw bank bekijken. De PCI-Raad heeft online training en middelen om u te helpen diefstal van klantgegevens te voorkomen.
    • Deel in het sociale netwerk:
    Vergelijkbaar