Hoe om pci te word

PCI, wat dikwels PCI DSS genoem word, staan ​​vir die betalingskaartbedryf data sekuriteit standaard. Kortom, PCI is `n stel bedryfstandaarde wat gebruik word om die sekuriteit van besighede wat kredietkaartinligting aanvaar, te verwerk, te verwerk, te verwerk en te stoor en te stuur. Maatskappye wat PCI-voldoening is, is minder waarskynlik, ly data oortredings wat kliënte kan blootstel om diefstal te identifiseer. As u `n handelaar-ID het en kredietkaarte in u fisiese of virtuele besigheid aanvaar, is u onderhewig aan PCI DSS-bedryfstandaarde. Die PCI Security Standards Raad is `n onafhanklike groep professionele persone wat opkomende PCI sekuriteitskwessies ondersoek en die programme en standaarde skep om die integriteit van die betalingskaartstelsel te handhaaf.

Stappe

Deel 1 van 3:
Die hersiening van die PCI DSS-basiese beginsels
  1. Beeld getiteld Kry `n werk as `n bankvertelling Stap 1
1. Bevestig jou handelaarsvlak. Die eerste stap is om u handelaarvlak te bespreek en te verifieer met die bank of skoonmaakhuis wat u kredietkaarttransaksies hanteer. Handelaars word verdeel in vier kategorieë gebaseer op Visa-kaarttransaksie oor 12 maande. U handelaarvlak sal bepaal hoe streng u PCI-nakomingsprogramme moet wees.
  • `N Vlak 1 handelaar prosesse meer as 6 miljoen visumtransaksies per jaar of is aangewese vlak 1 deur die visummaatskappy.
  • `N Vlak 2-handelaar aanvaar jaarliks ​​tussen 1 en 6 miljoen visumtransaksies. Dit sluit in persoon en aanlyn in.
  • `N Vlak 3-handelaar sal tussen 20,000 en 1 miljoen visumtransaksies per jaar verwerk.
  • `N Vlak 4-handelaar, wat `n klein handelaar beskou word, neem minder as 20 000 visumbetalings per jaar in.
  • PCI DSS vereistes is ook van toepassing op besighede wat ander kredietkaarte aanvaar, soos American Express, MasterCard, en ontdek. Visa word gebruik as die maatstaf vir die vestiging van handelaarsvlakke.
  • Beeld getiteld spaar geld op batterye Stap 3
    2. Verstaan ​​die strawwe vir PCI DSS oortredings. Besighede wat nie PCI DSS-voldoening is nie, kan onderhewig wees aan boetes, sanksies en verlies aan voorregte van die skoonmaakhuis wat kredietkaartbetalings verwerk. As die PCI-mislukking lei tot `n werklike verlies van data, kan die besigheid boetes, hoër fooie en ander sanksies van banke en kredietkaartverwerkers in die gesig staar.
  • Besighede wat nie PCI-voldoening is nie, kan onderhewig wees aan regsgedinge en regerings vervolging vir die versuim om kliënte data te beskerm.
  • Beeld getiteld bied jouself en besigheid kragtig Stap 4
    3. Vergewis jouself van die beste sekuriteitspraktyke. Die eerste PCI DSS-standaard, geïmplementeer September 2009 (DSS v 1.2) het die 12 vereistes ingestel wat `n handelaar moet ondersoek om PCI te voldoen. Afhangende van jou handelaarvlak, sal die hoeveelheid tegnologie, opleiding en kundigheid om die standaarde te implementeer, wissel. Byvoorbeeld, `n netwerk wat 2 miljoen transaksies hanteer, sal meer gesofistikeerd wees as `n netwerk wat 2000 verwerk.
  • PCI 3.1 het in Junie 2015 in werking getree en handel oor nuwe standaarde in tegnologie en spreek kwesbaarhede in gemeenskaplike enkripsieprogramme aan.
  • PCI nakoming Beste praktyke val in vyf algemene kategorieë: veilige netwerk, data beskerming, kwesbaarheidsbestuur, toegangsbeheer, monitering en sekuriteitsbeleid. Die PCI-raad het `n selfevalueringsvraelys om klein ondernemings te help om nakoming van die sekuriteitsstandaarde te bepaal.
    • Deel 2 van 3:
    Implementering van PCI-nakomingsprogramme
    1. Beeld getiteld bou vertroue in `n klein besigheid Stap 3
    1. Bou en onderhou `n veilige netwerk. Vir besighede sal dit beteken dat `n verhouding met `n betroubare kontrakteur ontwikkel word. Tensy jy `n IT-professionele is, moet jy nie jou eie netwerk installeer as dit kliëntdata sal stoor nie. Selfs `n buite-die-boks-stelsel kan kwesbaarhede hê indien dit nie behoorlik geïnstalleer en opgedateer is nie.
    • Hou u firewalls up-to-date en operasioneel. Moenie toelaat dat werknemers vir enige doel firewalls uitskakel nie.
    • Verander wagwoorde wat onmiddellik deur die verskaffer verskaf word. Implementeer ook `n wagwoordprogram vir u werknemers. Wagwoorde moet gereeld verander word in ooreenstemming met Verkoper-instruksies. Byvoorbeeld, wagwoorde moet alfa-numeriese karakter kombinasies wees wat nie woordeboek is nie. As u verskaffer op u stelsel werk, moet u alle wagwoorde verander wanneer dit aanlyn terugkom.
  • Beeld getiteld Open `n bankrekening Stap 7
    2. Beskerm Kaarthouerinligting. As u kredietkaarte handmatig verwerk, moet die strokies en kwitansies in geslote lêers met beperkte toegang gehandhaaf word. As kaarthouerinligting in u netwerk gestoor word, moet dit geënkripteer en beskerm word agter die maatskappy firewalls
  • Beeld getiteld update `n dagsorg sakeplan Stap 2
    3. Skep `n kwesbaarheidsbestuursprogram. U stelsel moet beskerm word met toepaslike anti-virus sagteware. U moet ook `n maatskappyprogram hê wat verbied om sagteware, soos speletjies, te voeg, wat die stelsel kan in gevaar stel.
  • Beeld getiteld `n besigheidsontleder in topbestuur Stap 3
    4. Implementeer toegangsbeheer. Wagwoord Toegang tot u stelsel moet beperk word. Elke werknemer moet slegs die toegang hê wat hy nodig het om sy werk te doen. Verduidelik dat dit beide jou werknemers en jou kliënte beskerm. As daar `n data-oortreding is, sal beperkte toegang die moontlikhede verlaag en die ondersoek help.
  • Vir u netwerk, gee elke gebruiker en elke terminaal `n unieke ID nommer. In die geval van `n bevestigde of vermoedde oortreding, sal u IT-professionele persone die toegangspunt vinnig kan identifiseer.
  • Veilige fisiese rekords wat kliënt- en kaarthouerdata bevat. Gebruik `n kaart sleutel stelsel of `n fisiese slot en sleutel.
    • Deel 3 van 3:
    Toets en instandhouding van PCI-nakoming
    1. Beeld getiteld bou vertroue in `n klein besigheid Stap 1
    1. Monitor en toets jou netwerke. U sekuriteitsprogram moet gereelde skanderings en toetse insluit om die vloei van kliëntdata deur u netwerk op te spoor en te monitor. U IT-professionele of ondernemer kan toetse implementeer wanneer die stelsel teen lae gebruik is (byvoorbeeld, laat in die nag in die naweke) en in reële tyd wanneer die stelsel in gebruik is.
    • Handhaaf `n logboek van toetsuitslae. Bespreek hoe lank om toetsrekords met u bank- en versekeringsmaatskappy te handhaaf.
  • Beeld getiteld bou vertroue in `n klein besigheid Stap 6
    2. Ontwikkel `n inligtingsbeveiligingsbeleid. Al die stappe in u PCI-nakomingsprogram moet in u sekuriteitsbeleid gedokumenteer word. Hierdie dokument moet alle stappe wat u maatskappy neem om kliënte data te verseker. Vir vlak 1 tot 3 handelaars kan hierdie program vir verskeie volumes hardloop en die werknemerhandleiding integreer.
  • Vlak 1 tot 3 handelaars sal waarskynlik ook met `n sekuriteitswerker kontrakteer of toegewyde personeel opgelei het in die ingewikkeldhede van die skryf en instandhouding van die inligtingsekuriteitsbeleid.
  • `N Vlak 4-handelaar moet die kredietkaart skoonmaakhuis kontak vir advies en hulp om die sekuriteitsbeleid te skep. As die verwerker nie `n programsjabloon verskaf nie, moet u oorweeg om met `n sekuriteitswerker te kontrakteer om die dokument te skep. Tensy u `n IT-professionele is, is dit onwaarskynlik dat u voldoende in die tegniese besonderhede van u stelsel sal wees om `n PCI-voldoenende sekuriteitsbeleid te skep. Sodra dit geskep is, moet dit slegs opgedateer word wanneer u netwerk uitgebrei of opgedateer word. U IT-kontrakteur kan u voorsien van die dokumente wat u nodig het om u sekuriteitsbeleid op datum te hou.
  • Die meeste van u sekuriteitsprogram sal tegnies van aard wees, soos in die keuse van firewall en sekuriteitsagteware, sowel as die toetsprotokolle. U moet egter ook afdelings insluit oor die proses wanneer `n werknemer die maatskappy verlaat en wagwoorde word ingetrek.
  • Ontwikkel `n proses om tred te hou met sleutels en sleutelkaarte. Meester sleutels moet so streng gereguleer word as hoë vlak wagwoorde.
  • Beeld getiteld bou vertroue in `n klein besigheid Stap 4
    3. Assesseer, remedieer en rapporteer jou PCI-nakoming. Sodra die 12 dele van die PCI beste praktyke geïmplementeer is, moet u periodiek deur die PCI-Raad se drie-stap-hersieningsproses loop om te verseker dat voldoening gehandhaaf word.
  • Inventaris jou IT-stelsels en besigheidsprosesse. As iets verander het, werk u sekuriteitsprogramme en kwesbaarheidsbestuursplanne op.
  • As jy `n swakheid in jou stelsel vind, remedieer die probleem. Dit kan nuwe toerusting of sagteware, gebruikersopleiding vereis of u netwerk opdateer. IT-professionele persone moet hierdie veranderinge implementeer.
  • Hou rekords van u aksies en stuur verslae van u nakoming pogings aan u bank- en kredietkaartmaatskappye. Jou verslae, pogings en insigte kan `n ander maatskappy help om kliëntdata te beskerm.

    • Waarskuwings

    Vlak 4 handelaars moet PCI-nakoming van die bank- of kredietkaart-skoonmaakhuis bespreek en die aanbevelings volg.
  • As jy `n baie klein handelaar is, soos `n huisbesigheid, is dit onwaarskynlik dat jy kaartdata op jou persoonlike netwerk sal stoor. U moet egter steeds u prosesse met u bank hersien. Die PCI-raad het aanlyn opleiding en hulpbronne om u te help om diefstal van kliëntdata te voorkom.
    • Deel op sosiale netwerke:
    Soortgelyk