Skip to main content

5 Petua untuk pematuhan PCI yang mudah

Pematuhan PCI mungkin kelihatan seperti seni jahat jika anda seorang saudagar kecil, tetapi anda mengabaikannya dengan bahaya anda. Ketidakpatuhan terhadap piawaian keselamatan yang dibangunkan oleh Piawaian Keselamatan Piagam Industri Kad Pembayaran (PCI) membawa hukuman $ 5,000 hingga $ 100,000 per bulan.

Piawaian Keselamatan Data PCI (DSS) dan banyak dokumen sokongan lain dapat diunduh dengan mudah dari laman web majlis, tetapi untuk perniagaan kecil tanpa profesional keselamatan IT, syarat-syarat boleh menjadi bingung. Walau bagaimanapun, terdapat beberapa perkara yang boleh anda lakukan untuk memudahkan proses pematuhan dan langkah-langkah keselamatan yang ditentukannya.

Jangan simpan data pemegang data

Untuk mempermudah langkah keselamatan yang diperlukan untuk pematuhan PCI, menyimpan atau menyimpan sebarang data pemegang kad dalam bentuk bertulis atau digital. Gunakan pembaca kad, POS, dan / atau pemproses pembayaran yang tidak menyimpan maklumat ini pada sistem anda supaya anda tidak perlu risau tentang melindungi dan menyulitkan data tersebut. Semak dengan penjual pembayaran untuk butir-butir mengenai model tertentu.

[Bacaan lanjut: Bagaimana untuk mengalih keluar perisian hasad dari PC Windows Anda]

Jangan menyimpan maklumat pengesahan kad kredit.

Jika anda perlu menyimpan data pemegang kad untuk reoccurring bil atau tujuan perniagaan lain yang diperlukan, periksa dengan pemproses pembayaran anda untuk melihat jika mereka menawarkan pilihan yang membolehkan anda memasukkan dan menyimpan data pada sistem mereka. Sekiranya anda mesti menyimpan data itu sendiri, ingatlah bahawa anda perlu mengikuti langkah-langkah keselamatan yang lebih banyak, dan anda tidak boleh menyimpan maklumat pengesahan yang sensitif: data jalur magnetik penuh, kod keselamatan, atau PIN.

Pilih mematuhi PCI Web host

Jika anda menjual produk atau mengambil pembayaran melalui laman web anda, pilih pelan hosting Web compliant PCI dan aplikasi e-dagang atau membeli-belah. Sesetengah syarikat hosting web secara umum menyiarkan butir-butir pematuhan mereka di laman web mereka, tetapi dalam banyak kes, anda perlu meminta jabatan jualan atau sokongan. Untuk aplikasi e-dagang dan gerai membeli-belah, anda boleh merujuk kepada Senarai Permohonan Pembayaran Yang Diperiksa dari majlis PCI.

Anda mungkin mempunyai peluang yang lebih sukar untuk mencapai pematuhan PCI jika anda menggunakan pelan hosting yang lebih murah kerana cara pelayan dibahagikan kepada beberapa pemilik laman web. Tetapi anda mungkin dapat melepaskan diri dengan menggunakan satu (yang bahkan tidak patuh) jika anda memilih penyelesaian pembayaran dihoskan di mana pelanggan dihantar ke tapak yang mematuhi untuk memasukkan butiran kad kredit mereka, seperti PayPal Standard, 2Checkout, atau Perizinan. Bersih. Dan anda mungkin ingin mempertimbangkan penyelesaian pembayaran dihoskan walaupun pelan hosting Web anda mematuhi, untuk mengurangkan langkah-langkah keselamatan yang perlu anda ambil. Walau bagaimanapun, jika anda ingin menyepadukan sepenuhnya proses pembayaran di dalam laman web anda, anda mungkin perlu menggunakan pelayan peribadi atau dedicated maya yang lebih mahal, yang biasanya mematuhi PCI.

Gunakan terminal dailan dan bukannya terminal IP

Terminal kad kredit dial-up menyambung ke saluran telefon anda dan berkomunikasi dengan pemproses pembayaran yang serupa dengan cara modem 56K lama yang disambungkan ke Internet dail. Mereka lebih perlahan daripada terminal berasaskan IP, tetapi mereka boleh mengurangkan Persekitaran Data Pemegang Kad anda - komputer dan komponen di mana maklumat pemegang kad disimpan, diproses, atau dihantar - sekali gus mengurangkan langkah-langkah keselamatan yang mesti anda ikuti.

Tidak kira apa jenis terminal kad kredit atau sistem POS yang anda pilih, pastikan ia mematuhi PCI, sama ada melalui vendor atau dengan memeriksa Peranti Keselamatan Urus Niaga PIN yang Diluluskan dan / atau Senarai Permohonan Pembayaran Yang Diperiksa dari majlis PCI. Juga periksa dengan vendor mengenai bagaimana terminal mereka berfungsi dan bertanya tentang mereka yang memudahkan pematuhan.

Gunakan rangkaian yang berasingan untuk pemprosesan pembayaran

Jika anda menggunakan terminal kad kredit berasaskan IP, mungkin lebih mudah untuk mempunyai rangkaian yang sepenuhnya berasingan dengan sambungan Internet sendiri untuk hanya pemprosesan pembayaran. Ini boleh mengurangkan langkah-langkah keselamatan yang perlu anda lakukan semasa persediaan rangkaian awal dan orang-orang yang perlu anda ikuti pada masa hadapan untuk mematuhi PCI.

Pembaca kad mudah alih selamat

Untuk perniagaan kecil yang menyediakan perkhidmatan di lokasi, penyelesaian pembaca kad mudah alih seperti Square, GoPayment, atau PayPal Berikut adalah sangat menarik. Mereka menawarkan cara yang cepat dan mudah untuk menerima bayaran kad kredit dan boleh digunakan dengan telefon pintar atau tablet melalui data sel atau sambungan Wi-Fi. Walaupun keperluan PCI DSS semasa (versi 2.0) tidak membincangkan secara khusus pembaca kad mudah alih, perniagaan masih diperlukan untuk memastikan bahawa penyelesaian ini berada dalam kepatuhan PCI.

PCI telah menerbitkan garis panduan keselamatan untuk mendapatkan penyelesaian pembayaran mudah alih yang anda gunakan dengan telefon pintar atau tablet anda. Pada asasnya, anda harus memastikan peranti mudah alih disimpan secara fizikal dan selamat daripada kecurian, penggunaan tidak sah, perisian hasad dan penggodaman. Jangan jailbreak atau root peranti anda atau dayakan fungsi lain yang boleh membuat peranti tidak selamat, seperti USB Debugging pada peranti Android. Pasang aplikasi antivirus dan muat turun aplikasi hanya dari sumber yang dipercayai seperti kedai aplikasi rasmi. Dan ingatlah jika peranti mudah alih disambungkan ke sambungan Wi-Fi di bawah kawalan perniagaan semasa menggunakan pembaca kad, rangkaian mesti berada dalam pematuhan PCI.