Kreditkarten akzeptieren? PCI Compliance ein Anliegen für kleine Unternehmen


Kreditkarten akzeptieren? PCI Compliance ein Anliegen für kleine Unternehmen

Durch die jüngsten Verstöße gegen große Einzelhändler stehen die Vorschriften für die Zahlungskartenindustrie (PCI) im Rampenlicht. Es sind jedoch nicht nur große Unternehmen, die sich um die Einhaltung dieser Vorschriften kümmern müssen. Die Regeln gelten für jedes Geschäft, das für Transaktionen auf Kredit- und Debitkarten angewiesen ist. Selbst wenn Ihr Unternehmen vier Mitarbeiter beschäftigt und monatlich eine Kreditkartentransaktion durchführt, muss es PCI-konform sein.

Dies ist leichter gesagt als getan. Der PCI-Compliance-Bericht von Verizon 2014 hat ergeben, dass die meisten Unternehmen Schwierigkeiten haben, den PCI Data Security Standard zu erfüllen, ein Regelwerk, das entwickelt wurde, um Kredit- und Debitkartendaten sicher und geschützt zu halten. Laut Computerworld erfüllten mehr als 82 Prozent der Unternehmen zum Zeitpunkt ihrer jährlichen Bewertungen nur etwa 8 von 10 dieser Anforderungen und benötigten mehrere Monate, um die Lücken zu schließen. Darüber hinaus behalten nur 11,1 Prozent der Unternehmen ihren Compliance-Status zwischen den Assessments.

PCI-kompatibel ist nicht verhandelbar, wenn Sie Kredit- und Debitkarten akzeptieren, sich aber auf ein PCI-Audit vorbereiten und sicherstellen, dass Ihr Unternehmen die Compliance-Standards erfüllt entmutigend. Jeff VanSickel, Senior Consultant bei IT-Compliance-Consulting-Unternehmen SystemExperts, gab ein paar Tipps, um sich auf eine PCI-Beurteilung vorzubereiten und Ihre Standards jederzeit auf einem sicheren Niveau zu halten.

1. Identifizieren Sie alle Geschäfts- und Kundendaten, einschließlich aller Karteninhaberdaten, ihrer Sensitivität und Kritikalität. Die korrekte Definition des PCI-Prüfumfangs ist wahrscheinlich der schwierigste und wichtigste Teil jedes PCI-Compliance-Programms, sagte VanSickel. Ein zu enger Geltungsbereich kann die Karteninhaberdaten gefährden, während ein zu breiter Geltungsbereich zu einem PCI-Compliance-Programm immense und unnötige Kosten und Anstrengungen verursachen kann.

2 . Verstehen Sie die Grenzen der Karteninhaberdatenumgebung und aller die Daten, die hinein- und herausfließen. Jedes System, das eine Verbindung zur Karteninhaberdaten-Umgebung herstellt, unterliegt der Compliance und muss daher die PCI-Anforderungen erfüllen. Die Karteninhaberdatenumgebung umfasst alle Prozesse und Technologien sowie die Personen, die Kundenkarteninhaberdaten oder Authentifizierungsdaten speichern, verarbeiten oder übertragen, sowie alle angeschlossenen Systemkomponenten und alle Virtualisierungskomponenten wie Server.

Hinweis des Herausgebers: Unter Berücksichtigung a Kreditkarten-Processing-Service für Ihr Unternehmen? Wenn Sie nach Informationen suchen, die Ihnen bei der Auswahl des für Sie richtigen Produkts helfen, können Sie mithilfe des unten stehenden Fragebogens kostenlos Informationen von verschiedenen Anbietern abrufen.

3. Einrichtung von Betriebskontrollen zum Schutz der Vertraulichkeit und Integrität von Karteninhaberdaten. Karteninhaberdaten sollten geschützt werden, wo immer sie importiert, verarbeitet, gespeichert und übertragen werden. Es muss dann am Ende seiner Lebensdauer ordnungsgemäß entsorgt werden.

"Backups müssen auch die Vertraulichkeit und Integrität der Karteninhaberdaten wahren", fügte VanSickel hinzu. "Darüber hinaus müssen alle Medien ordnungsgemäß entsorgt werden, um die kontinuierliche Vertraulichkeit der Daten zu gewährleisten. Achten Sie darauf, nicht nur die von unternehmenseigenen Computersystemen verwendeten Festplatten, sondern auch gemietete Systeme und den in modernen Kopierern und Druckern enthaltenen Speicher einzuschließen. "

4. Halten Sie einen Reaktionsplan für Incidents bereit. Wenn ein Vorfall auftritt, ist es wichtig, einen Plan zu haben, so schnell wie möglich zum sicheren Betrieb zurückzukehren. In diesem Vorfallreaktionsplan sollten Rollen, Verantwortlichkeiten, Kommunikationsanforderungen und Kontaktstrategien im Falle eines Kompromisses festgelegt werden, einschließlich der Benachrichtigung der Zahlungsmarken, des Rechtsbeistands und der Öffentlichkeitsarbeit. Dies stellt eine rechtzeitige und effektive Behandlung aller kompromittierten Situationen sicher.

"Im Idealfall sollten Unternehmen einen zertifizierten Forensik-Spezialisten in Sachen Retainer haben, der Beweise sammeln und gegebenenfalls als Sachverständiger aussagen kann", sagte VanSickel.

5. Erklären und erzwingen Sie Sicherheitsverfahren. Sie können nie sicher sein, dass Mitarbeiter bewährte Sicherheitsverfahren und andere Verhaltensweisen verstehen, die Ihr Unternehmen gefährden können. Es liegt an Ihnen, sicherzustellen, dass alle Mitarbeiter im Unternehmen, von den unteren Angestellten über die IT-Spezialisten bis hin zum Management, über Sicherheitsverfahren und PCI-Compliance-Verfahren aufgeklärt werden.

Sobald Ihr Kunde eine Kredit- oder Debitkarte aushändigt sich dafür verantwortlich machen, die mit dieser Karte verbundenen Daten sicher zu verwahren. Während die oben genannten Schritte in erster Linie Sie auf ein PCI-Audit vorbereiten sollen, bieten sie auch ein Sicherheitsnetz zwischen den Assessments. Weitere Informationen finden Sie unter PCIComplianceGuide.org.


Erinnerung, Kunst & Nachhaltigkeit: Mein ungewöhnlicher Weg in die Modeindustrie

Erinnerung, Kunst & Nachhaltigkeit: Mein ungewöhnlicher Weg in die Modeindustrie

Für die Mehrheit der Individuen können alltägliche Erinnerungen nur bis zu einer Woche zurückverfolgt werden. Ich kann mich jedoch an jeden einzelnen Moment meines Lebens seit dem 15. Dezember 2000 erinnern. Die Diagnose einer seltenen neurologischen Erkrankung, Hyperthyme, hat es mir ermöglicht, die Zeit anders zu sehen.

(Geschäft)

Executes Watching Porn eine Hauptursache für Malware-Probleme

Executes Watching Porn eine Hauptursache für Malware-Probleme

Während Angestellte die Hauptschuld von Sicherheitsverstößen bekommen können, leisten Unternehmensführer auch ihren gerechten Teil des Schadens, eine neue Studie findet. Forschung von ThreatTrack Security enthüllte, dass 40 Ein Prozent der Sicherheitsexperten fand heraus, dass ein Gerät, das von einem Mitglied des Senior Leadership-Teams des Unternehmens verwendet wurde, aufgrund eines Besuchs einer pornografischen Website von Malware infiziert wurde.

(Geschäft)