Sådan gør du din hjemmeside PCI DSS kompatibel

for små virksomheder, der ønsker at sælge produkter online, kan de lovgivningsmæssige bøjler, som du skal springe igennem, hvis du skal tage betalingskort, være noget skræmmende. Men hvis du ikke overholder, risikerer du en stor bøde og endda har evnen til at tage kort taget væk fra virksomheden.

comic of credit card betaling overdragelse

kortbetalinger online er reguleret af Betalingskortindustriens Datasikkerhedsstandarder (PCI DSS), og der er 12 Krav til overholdelse, der falder ind under følgende oversigtsoverskrifter:

  • Opbyg og vedligehold et sikkert forretningsnetværk
  • Beskyt kortholderdata
  • vedligehold et sårbarhedsstyringsprogram
  • Implementer stærke adgangskontrolforanstaltninger
  • regelmæssigt overvåge og teste forretningsnetværk
  • Vedligehold en politik, der adresserer informationssikkerhed

det er værd at påpege, at du kan forenkle overholdelsesprocessen væsentligt ved at sikre, at du ikke gemmer eller gemmer kortholderdata. Dette betyder, at du i stedet skal bruge en kortlæser eller POS-processor (POS), der ikke opbevarer oplysningerne om forretningssystemer. Du kan også bruge en betalingsportal som dem, der leveres af PayPal og Stripe, men du skal være opmærksom på, at ansvaret for din kundes data forbliver hos dig. Uanset hvilken mulighed du vælger, skal du først sikre dig, at du kontrollerer, at brug af dem betyder, at du er kompatibel.

 comic of To Do list

for eksempel, selvom du bruger en betalingsprocessor, skal din side stadig være sikker, hvis og når betalingsoplysninger indlæses og overføres. Det betyder, at din server skal være kompatibel, og din hjemmeside skal bruge SSL-kryptering (Secure Socket Layer). Du bør kontakte din udbyder, hvis du kan gemme disse data på deres sikre systemer, hvis du har brug for at holde betalingsoplysninger for fremtidige betalinger.

1 Når du vælger en vært til din hjemmeside, skal du sikre dig, at serverne, hostingplanen og e-handels-og indkøbskurvapplikationerne overholder kravene. Du kan finde en liste over validerede betalingsapplikationer på PCI-Rådets hjemmeside for at hjælpe dig med at vælge, og jeg vil også anbefale at ramme nogle e-handelsfora for at tjekke, hvad andre siger. Det er værd at påpege her, at hvis du er ny inden for e-handel, vil billige eller gratis internetværter sjældent være gode nok til at sikre overholdelse. Du bør også overveje at bruge dedikeret hosting over delt, da det betyder, at du og kun du bruger den maskine. Med delt hosting deler du ofte en maskine med flere hjemmesider, og det gør overholdelse vanskelig. Men hvis du vælger dedikerede eller virtuelle private servere, er de meget mere tilbøjelige til at være kompatible, omend ganske lidt dyrere.

 tegneseriebillede af manager, der taber penge

sørg for, at den vært, du vælger, også giver dig mulighed for at bruge PHP – og Myskl-databaser-de fleste gør det i disse dage, og hvis du ikke er sikker, Kan du altid ringe til hostingfirmaet for at diskutere dine behov mere detaljeret. At sikre, at serveren og site transaktioner er sikre, før du bygger din hjemmeside vil spare dig hjertesorg på lang sigt. Men hvis du virkelig ikke har brug for at gemme data, vil jeg opfordre dig til at overveje at bruge en betalingsport, der fører kunden til et eksternt, sikkert sted, før du beder om detaljer.

2 at vælge en indkøbskurv

der er en enorm mængde indkøbsvogne at vælge imellem, og som sådan kan det blive ret forvirrende, når det kommer til at vælge det bedste for dig. For at sikre, at du beskytter både din virksomhed og dine kunders data, du bør sigte mod at vælge en, der er PA DSS (Payment Application Data Security Standard) kompatibel . Dette betyder, at cart-programmet allerede er blevet gennemført en række strenge tests for at sikre, at det krypterer data tilstrækkeligt til at beskytte mod cyberangreb, når de er i transit.

Leder du efter bedre kunderelationer?

Test Userlike gratis og chat med dine kunder på din hjemmeside, Facebook Messenger og Telegram.

igen, hvis du ikke er særlig teknologisk minded, kan du vælge en hosted vogn, der tager shopper fra din hjemmeside og på sin egen, som er fuldt sikret. Med en hostet vogn indlæses alle de følsomme data fra din side og detaljerne på en sikker server.

3 medarbejdere og PCI DSS

sikkerheden af dine kundedata er dit ansvar, og det betyder, at det er vigtigt, at dine medarbejdere forstår, hvor vigtigt det er for din virksomhed, at det holdes sikkert. Med dette i tankerne skal alt personale, der beskæftiger sig med kundedetaljer som en del af deres job, sikre, at de følger reglerne.

du skal sikre, at alle medarbejdere, der beskæftiger sig med data:

  • er opmærksomme på de processer, der bruges til at beskytte følsomme data.
  • gem ikke kundedata på uautoriserede computere eller på papir.
  • brug stærke adgangskoder på alle brugerkonti.

derudover skal du sikre dig, at alle computere, enheder og servere på virksomhedsnetværket (eller dem, der opretter forbindelse til det) har følgende:

  • AV-programmer og up-to-date programrettelser, der anvendes på almindeligt udnyttede programmer som f.eks.
  • er beskyttet af en brandvæg på netværket.
  • er beskyttet ved at have sikker adgangskode og kryptering på alle netværksroutere, inklusive trådløs.

for de virksomheder, der tillader medarbejdere at bringe deres egne enheder til at arbejde, bør disse styres med en robust BYOD-politik, der beskriver, hvad der kræves af medarbejderen. Hvis du eller de stadig er usikre på, hvad processen indebærer, kan du tage bevidsthedstræningskurser gennem PCI-Rådet.

 tegneseriebillede af arbejdere, der kigger gennem et teleskop

sikkerhed er noget, som mange IT-fagfolk anser for at være et problem, der ikke kan løses på grund af menneskelig indgriben. Langt de fleste sikkerhedsproblemer, der påvirker erhvervslivet, skyldes manglende viden hos slutbrugeren. Det betyder, at det ofte er svært at afbøde risikoen, fordi slutbrugeren ikke ved nok til at vide, at de ikke skal klikke på det phishing-link, for eksempel. I de senere år er sikkerhedstrusler blevet mere og mere sofistikerede og gør alt, hvad de kan for at undgå afsløring. Dette forværres af det faktum, at phishing-forsøg nu ofte er meget målrettet mod at nå den mest sårbare person til angreb, såsom administrativt personale.

trusler i disse dage understøttes af den store mængde information, der kan indsamles på sociale medier om en person i en organisation, før et angreb forsøges. Dette betyder, at cyberkriminelle er bevæbnet med nok information til at lyde som om den e-mail, de sender igennem med et ondsindet link, ser ud til at være fra en ven eller kendt leverandør. Med dette i tankerne er uddannelse om risiciene afgørende, og en sund politik på sociale medier og hvad der kan hentes, bør også indføres.

 comic billede af arbejdstager røvet af Internet kriminel cyberkriminalitet

Link scannere kan også installeres for at sikre, at eventuelle ondsindede links fysisk ikke kan klikkes på, og dermed fjerne en masse af slutbrugeren risiko.

4 PCI DSS niveauer

der er fire niveauer af overholdelse, som afhænger af, hvor mange korttransaktioner, du tager i løbet af et år.

  • Niveau 1: for handlende, der behandler mere end 6 millioner Visumtransaktioner om året – kræver du en sikkerhedsvurdering på stedet årligt og en kvartalsvis netværkssårbarhedsscanning.
  • niveau 2: for forhandlere, der behandler mellem 1 million til 6 millioner Visumtransaktioner om året – Onsite security assessment efter eget skøn, er du også forpligtet til at levere et årligt selvvurderingsspørgeskema og en kvartalsvis netværkssårbarhedsscanning.
  • niveau 3: for handlende, der behandler 20.000 til 1 million Visa – e-handelstransaktioner om året-selvvurderingsspørgeskema kræves årligt og en kvartalsvis netværkssårbarhedsscanning.
  • niveau 4: for forhandlere, der behandler mindre end 20.000 Visa – e-handelstransaktioner om året, og alle andre forhandlere, der behandler op til 1 million Visumtransaktioner om året, kræves der årligt selvvurderingsspørgeskema og en kvartalsvis netværkssårbarhedsscanning.

husk-det er en løbende proces

mange virksomheder sikrer, at de er kompatible i første omgang og derefter glemmer det, indtil det er revisionstid. Desværre fører dette til, at bøder og yderligere revisioner (som koster penge) udføres oftere. Det er vigtigt at huske, at compliance er en løbende proces, og det skal kontrolleres ofte, ikke lige før revisor er ved at sætte i en udseende.

 tegneseriebillede af arbejder, der drukner i filer

du skal altid:

  • Vurder-tag en oversigt over eksisterende IT-aktiver og forretningsprocesser til kortbehandling, analyser for sårbarheder, som du gør, og identificering af kundedata, og hvor de opbevares.
  • Afhjælp – ikke lagring af data, medmindre det er absolut nødvendigt og fastsættelse af kendte udnyttelser.
  • rapport – kompilere og indsende rapporter til erhverve tilbage og kort mærker, som du beskæftiger dig med.

der er mange ting at overveje, når det kommer til overholdelse, og langt den nemmeste måde for den mindre e-handelsvirksomhedsejer er at bruge en betalingsportal eller hostet vogn. Dette fjerner mange af de nødvendige skridt og tager meget af risikoen væk, når det kommer til medarbejdere, der håndterer betalinger og sikkerheden i dit forretningsnetværk.

det er dog ikke at sige, at det er den bedste løsning for dig, og så skal du sigte mod at lægge en masse planlægning og grundarbejde, hvis du planlægger at tage betalinger via din hjemmeside og bevare kundeoplysninger. Ideelt set bør du undgå at gøre sidstnævnte og tale med din betalingskortbehandlingsudbyder for at se, hvad dine muligheder er. Det er ikke helt så skræmmende, som det først ser ud, men det betaler sig at være meget forsigtig, da mange virksomheder, der ikke beskytter kundedata tilstrækkeligt, går ud af drift efter et databrud takket være omkostningerne ved at sikre, at det ikke sker igen.

For de bedste resultater, har en læse gennem PCI DSS 3.0 (og nedenfor) dokumenter bibliotek på PCI Rådets hjemmeside . Må ikke blive afskrækket af alle de jargon enten, en hurtig Google kan hjælpe dig med at forstå de tekniske eller du kan gå gennem hjælpefiler på PCI Rådets hjemmeside.

Leave a Reply

Din e-mailadresse vil ikke blive publiceret.