Skip to main content

5 Tips för enkel PCI-överensstämmelse

PCI-överensstämmelse kan verka som en arcansk konst om du är en liten köpman, men du ignorerar det för din fara. Bristande överensstämmelse med de säkerhetsstandarder som utvecklats av Payment Card Industry (PCI) Säkerhetsnämndsrådet utövar straff på $ 5 000 till $ 100 000 per månad.

PCI Data Security Standards (DSS) och många andra stöddokument kan enkelt laddas ner från rådets hemsida, men för småföretag utan IT-säkerhet, kan kraven vara förvirrande. Det finns emellertid några saker du kan göra för att underlätta efterlevnadsprocessen och de säkerhetsåtgärder som det dikterar. Även om jag fortfarande föreslår att du anställer en kvalificerad säkerhetsbedömare (QSA), kan dessa tips peka dig i rätt riktning.

Spara inte kortinnehavarens data

För att förenkla de nödvändiga säkerhetsåtgärderna för PCI-överensstämmelse, gör inte spara eller lagra kortinnehavsdata i skriftlig eller digital form. Använd en kortläsare, POS och / eller betalningsprocessor som inte behåller denna information på dina system så att du inte behöver oroa dig för att skydda och kryptera den data. Kontrollera med betalningsleverantörer för detaljer om deras specifika modeller.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Spara aldrig ett kreditkorts autentiseringsinformation.

Om du behöver behålla korthållardata för återuppringning fakturering eller andra skyldiga affärsändamål, kolla med din betalningsprocessor för att se om de erbjuder alternativ som låter dig mata in och lagra data på sina system. Om du måste lagra uppgifterna själv, kom ihåg att du måste följa många fler säkerhetsåtgärder, och du kan aldrig lagra den känsliga autentiseringsinformationen: fullständig magnetbanddata, säkerhetskoden eller PIN-koden.

Välj en PCI-kompatibel Webbhotell

Om du säljer produkter eller betalar via din webbplats, välj en PCI-kompatibel webbhotell plan och e-handel eller kundvagn program. Vissa webbhotell företag publicerar sina överensstämmelsesuppgifter på deras hemsida, men i många fall måste du fråga försäljnings- eller supportavdelningen. För e-handelsprogram och kundvagnar kan du referera till listan över validerade betalningsansökningar från PCI-rådet.

Du kommer sannolikt att ha en hårdare chans att uppnå PCI-överensstämmelse om du använder billigare delade hostingplaner på grund av hur servrarna är uppdelade bland flera webbplatsägare. Men du kanske kan komma undan med att använda en (det är till och med icke-kompatibel) om du väljer en hosterad betalningslösning där kunder vidarebefordras till en kompatibel webbplats för att ange sina kreditkortsuppgifter, till exempel PayPal Standard, 2Kontrollera eller Auktorisera. Netto. Och du kanske vill överväga en hostad betalningslösning även om din webbhotell plan är kompatibel, för att minska säkerhetsåtgärderna du måste ta. Om du vill integrera betalningsprocessen på din webbplats, kan du dock gå med en dyrare virtuell privat eller dedikerad server, som vanligtvis är kompatibel med PCI.

Använd uppringningsterminaler i stället för IP-terminaler

Uppringda kreditkortsterminaler ansluter till telefonlinjen och kommunicerar med betalningsprocessorn på samma sätt som de gamla 56K-modemen anslutit till uppringd Internet. De är långsammare än IP-baserade terminaler, men de kan kraftigt minska din Cardholder Data Environment-datorer och komponenter där kortinnehavsinformation lagras, behandlas eller överförs, vilket minskar de säkerhetsåtgärder du måste följa.

Oavsett vad typ av kreditkortsterminal eller POS-system du väljer, se till att det är PCI-kompatibelt, antingen via leverantören eller genom att kontrollera de godkända PIN-transaktionssäkerhetsenheterna och / eller listan över validerade betalningsansökningar från PCI-rådet. Kontrollera också med leverantörerna hur deras terminaler fungerar och fråga om dem som underlättar efterlevnaden.

Använd ett separat nätverk för betalningsbehandling

Om du använder IP-baserade kreditkortsterminaler kan det vara lättare att ha ett helt separat nätverk med egen Internetanslutning för bara betalningsbehandling. Detta kan underlätta säkerhetsåtgärderna som du måste vidta under den första nätverksinstallationen och de som du måste följa i framtiden för att hålla PCI-kompatibilitet.

Säkra mobilkortläsare

För småföretag som tillhandahåller tjänster på plats, lösningar för mobila kortläsare som Square, GoPayment eller PayPal Här är mycket attraktiva. De erbjuder ett snabbt och enkelt sätt att börja acceptera kreditkortsbetalningar och kan användas med smartphones eller tabletter via en celldata eller Wi-Fi-anslutning. Trots att de nuvarande PCI DSS-kraven (version 2.0) inte specifikt riktar till mobilkortläsare krävs det fortfarande att företagslösningar omfattas av PCI-överensstämmelse.

PCI har publicerat säkerhetsriktlinjer för att säkerställa mobila betalningslösningar du använder med dina smartphones eller surfplattor. I grund och botten bör du se till att de mobila enheterna hålls fysiskt och digitalt säkra från stöld, obehörig användning, skadlig kod och hacking. Jailbreak inte eller rotera din enhet eller aktivera andra funktioner som kan göra enheten osäker, som USB-felsökning på Android-enheter. Installera en antivirusapp och hämta bara appar från betrodda källor som den officiella appbutiken. Och kom ihåg om de mobila enheterna är anslutna till en Wi-Fi-anslutning under företagets kontroll medan du använder kortläsaren, nätverket måste vara i PCI-överensstämmelse.