Apakah Anda menerima pembayaran kredit atau debit di bisnis Anda? Jika demikian, kemungkinan Anda harus mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).
PCI DSS menetapkan langkah-langkah keamanan data minimum untuk organisasi di seluruh dunia yang menyimpan, memproses, atau bertukar informasi pemegang kartu dari salah satu merek kartu utama. Standar tersebut ditinjau setiap dua tahun, dan terakhir direvisi pada Oktober 2010.
$config[code] not foundMenurut sebuah studi oleh National Retail Federation dan First Data, 86 persen responden bisnis kecil dan menengah mengatakan bahwa mereka peduli tentang menjaga keamanan informasi kartu pelanggan dan merasa keamanan data kartu penting bagi bisnis mereka. Tetapi sementara sebagian besar (66 persen) menyadari PCI DSS, hanya 49 persen telah menyelesaikan penilaian sendiri yang disyaratkan pada saat survei.
Melindungi data pemegang kartu bisa tampak mahal dan sedikit berlebihan bagi pemilik usaha kecil, yang kebanyakan sudah memakai banyak topi. Namun, biaya finansial dan reputasi dari suatu pelanggaran dapat menjadi signifikan - dalam beberapa kasus membahayakan bisnis Anda sama sekali.
Tapi dari mana harus memulai? Semoga Anda sudah membatasi akses fisik ke informasi pemegang kartu dan memperbarui perangkat lunak anti-virus. Berikut adalah cara tambahan Anda dapat meningkatkan keamanan data secara signifikan sambil mengelola biaya kepatuhan:
Enkripsi Data Sensitif Mungkin ukuran paling penting yang dapat diambil bisnis untuk melindungi informasi pemegang kartu adalah dengan mengenkripsi data kartu segera setelah kartu digesek di titik penjualan. Informasi harus tetap dalam status terenkripsi saat dikirimkan ke prosesor pembayaran.
Langkah ini berarti transaksi tidak pernah ditransmisikan dalam teks biasa dalam frame relay, dial-up atau koneksi Internet, di mana ada potensi untuk intersepsi oleh penipu. Jika data tidak disedot setelah dienkripsi, itu sebenarnya tidak berguna bagi pencuri. Kurangi "CDE" Anda Setiap sistem komputer, lemari arsip, dan aplikasi yang menggunakan atau menyimpan data kartu sensitif, termasuk data yang dienkripsi, adalah bagian dari keseluruhan lingkungan data pemegang kartu (CDE) dan dalam lingkup kepatuhan PCI DSS. Dengan kata lain, semakin banyak tempat Anda memiliki data, semakin banyak tempat yang perlu Anda khawatirkan untuk dilindungi.
Batasi - dan bahkan susutkan - ruang lingkup CDE Anda dengan membatasi penggunaan data pemegang kartu hanya untuk aplikasi yang berkaitan langsung dengan pembayaran (mis., Otentikasi transaksi, penyelesaian harian dan tolak bayar). Tokenisasi Pelukan Tokenisasi adalah pelengkap "berlapis" untuk enkripsi. Data pemegang kartu dikirim ke server (vault) yang terpusat dan sangat aman setelah otorisasi, dan nomor unik acak (token) dihasilkan dan dikembalikan ke sistem bisnis untuk digunakan di mana pun data pemegang kartu biasanya digunakan.
Token khusus untuk kartu dan masih dapat digunakan untuk memproses pengembalian, melacak kebiasaan pengeluaran dan fungsi bisnis lainnya, tetapi nomor itu sendiri tidak memiliki nilai bagi penipu. Ini secara dramatis dapat mengurangi dampak dari pelanggaran data potensial. Tokenisasi juga dapat membantu mengurangi ruang lingkup CDE karena tidak ada data pemegang kartu. Bisnis yang mengganti data pemegang kartu dengan token di semua aplikasi perusahaan mereka dapat secara signifikan mengurangi ruang lingkup CDE mereka, dan selanjutnya mengurangi ruang lingkup dan biaya kepatuhan PCI DSS dan penilaian tahunan / pemindaian triwulanan. Bekerja dengan Pihak Ketiga Cara lain untuk mengecilkan lingkungan yang tunduk pada kepatuhan PCI adalah menyerahkan tanggung jawab (dan kewajiban) untuk menyimpan data kartu ke penyedia layanan pihak ketiga. Misalnya, bisnis dapat mengirim data kartu terenkripsi ke prosesor pembayaran untuk otorisasi, dan ketika respons yang sah dikembalikan, nomor tokenized juga dikirim ke bisnis.
Pendekatan ini melapisi enkripsi dan tokenization sementara juga menyusutkan CDE bisnis ke jejak sekecil mungkin: sistem POS yang menyimpan data kartu pra-otorisasi langsung. Angkat tanganmu Bisnis memiliki tanggung jawab untuk melindungi data pelanggan mereka, tetapi Anda tidak harus melakukannya sendiri. Bicaralah dengan penyedia pembayaran Anda tentang solusi dan pakar yang dapat membantu bisnis Anda mendapatkan dan tetap patuh. Ingat, PCI DSS adalah standar minimum, dan menemukan mitra yang tepat dapat membantu Anda membuat keputusan cerdas tentang bagaimana cara terbaik melindungi pelanggan Anda - dan berpotensi bisnis Anda.
1