HVORDAN Lage DITT NETTSTED PCI Dss-Kompatibelt

HVORDAN Lage DITT NETTSTED PCI Dss-Kompatibelt

for små bedrifter som ønsker å selge produkter på nettet, kan de regulatoriske hoops som du må hoppe gjennom hvis du trenger å ta betalingskort, være litt skremmende. Men hvis du ikke overholder, risikerer du en heftig bot og til og med å ha muligheten til å ta kort tatt bort fra virksomheten.

tegneserie av kredittkort betaling overlevering

kortbetalinger online er regulert Av Payment Card Industry Data Security Standards (PCI DSS) og det er 12 krav til samsvar som kommer under følgende sammendrag overskrifter:

  • Bygge og vedlikeholde et sikkert forretningsnettverk
  • Beskytt kortholderdata
  • Vedlikeholde et sikkerhetsproblemstyringsprogram
  • Implementere sterke tilgangskontrolltiltak
  • overvåke Og teste forretningsnettverk Regelmessig
  • Opprettholde en policy som adresserer informasjonssikkerhet

det er verdt å påpeke at du kan forenkle samsvarsprosessen vesentlig Ved å sikre at du ikke lagrer eller lagrer kortholderdata. Dette betyr at du i stedet bør bruke en kortleser eller POS-prosessor som ikke beholder informasjonen på forretningssystemer. Du kan også bruke en betalingsgateway som De som Leveres Av PayPal og Stripe, men du bør være oppmerksom på at ansvaret for kundens data forblir hos deg. Uansett hvilket alternativ du velger, bør du først sørge for at du kontrollerer at bruk av dem betyr at du er kompatibel.

tegneserie av gjøremålsliste

for eksempel, selv om du bruker en betalingsprosessor, må nettstedet ditt fortsatt være sikkert hvis og når betalingsdetaljer blir lagt inn og overført. Dette betyr at webserveren din må være kompatibel, og nettstedet ditt bør bruke Ssl-kryptering (Secure Socket Layer). Du bør sjekke med leverandøren din om du kan lagre disse dataene på deres sikre systemer hvis du trenger å beholde betalingsinformasjon for fremtidige betalinger.

1 Velge En Sikker Webvert

når du velger en vert for nettstedet ditt, bør du sørge for at serverne, hostingplanen og e-handel-og handlekurvprogrammene overholder. DU kan finne en liste over validerte betalingsprogrammer på PCI-rådets nettsted for å hjelpe deg med å velge, og jeg vil også anbefale å treffe noen e-handelsfora for å sjekke ut hva andre sier. Det er verdt å påpeke at hvis du er ny på e-handel, vil billige eller gratis webverter sjelden være gode nok til å sikre overholdelse. Du bør også vurdere å bruke dedikert hosting over delt, da dette betyr at du og bare du bruker den maskinen. Med delt hosting deler du ofte en maskin med flere nettsteder, og dette gjør overholdelse vanskelig. Men hvis du velger dedikerte eller virtuelle private servere, er de mye mer sannsynlig å være kompatible, om enn ganske dyrere.

comic bilde av manager taper penger

Sørg for at verten du velger lar deg bruke PHP og MySQL databaser også-de fleste gjør i disse dager, og hvis du ikke er sikker, så kan du alltid gi webvert en samtale for å diskutere dine behov i mer detalj. Sikre at serveren og området transaksjoner er sikre før bygge nettstedet ditt vil spare deg hjertesorg på lang sikt. Men hvis du virkelig ikke trenger å lagre data, vil jeg oppfordre deg til å vurdere å bruke en betalingsgateway som tar kunden til et eksternt, sikkert nettsted før du ber om detaljer.

2 Velge En Handlekurv

Det er en enorm mengde handlekurver å velge mellom, og som sådan kan det bli ganske forvirrende når det gjelder å velge det beste for deg. For å sikre at du beskytter både din virksomhet og dine kunders data, bør du sikte på å velge EN SOM ER PA DSS (Payment Application Data Security Standard) kompatibel . Dette betyr at cart-programvaren allerede har blitt satt gjennom en rekke strenge tester for å sikre at den krypterer data tilstrekkelig for å beskytte mot cyberangrep når den er i transitt.

på jakt etter bedre kundeforhold?

Test Userlike gratis og chatte med kundene dine på nettstedet Ditt, Facebook Messenger og Telegram.

Igjen, hvis du ikke er spesielt teknologisk tenkende, kan du velge en hosted cart som tar shopper av nettstedet ditt og på egen hånd som er fullt sikret. Med en hosted handlevogn, alle sensitive data er lagt inn av nettstedet ditt og detaljene holdes på en sikker server.

3 Ansatte og PCI DSS

sikkerheten til dine kundedata er ditt ansvar, og dette betyr at det er viktig at de ansatte forstår hvor viktig det er for din bedrift at det holdes sikkert. Med dette i tankene må alle ansatte som håndterer kundeinformasjon som en del av jobben, sørge for at de følger reglene.

du bør sørge for at alle ansatte som håndterer data:

  • er klar over prosessene som brukes til å beskytte sensitive data.
  • ikke lagre kundedata på uautoriserte datamaskiner eller på papir.
  • Bruk sterke passord på alle brukerkontoer.

i Tillegg bør du sørge for at alle datamaskiner, enheter og servere på bedriftsnettverket (eller de som kobler til det) har følgende:

  • AV-programvare og oppdaterte oppdateringer som brukes på vanlig utnyttet programvare som Windows/OS, Office, Adobe-produkter og Java.
  • er beskyttet av en brannmur på nettverket.
  • er beskyttet ved å ha sikkert passord og kryptering på alle nettverksrutere, inkludert trådløst.

for de bedrifter som tillater ansatte å ta med sine egne enheter på jobb, bør disse administreres med en robust BYOD-policy som angir hva som kreves av den ansatte. Hvis du eller de fortsatt er usikre på hva prosessen innebærer, kan du ta bevissthetskurs gjennom PCI-rådet.

komisk bilde av arbeidere som ser gjennom et teleskop

Sikkerhet er Noe SOM MANGE IT-fagfolk anser for å være et problem som ikke kan løses på grunn av menneskelig inngrep. Langt de fleste sikkerhetsproblemer som påvirker virksomheten skyldes mangel på kunnskap hos sluttbrukeren. Dette betyr at det ofte er vanskelig å redusere risikoen fordi sluttbrukeren ikke vet nok til å vite at de ikke skal klikke på den phishing-lenken, for eksempel. De siste årene har sikkerhetstrusler blitt stadig mer sofistikerte og gjør alt de kan for å unngå deteksjon. Dette forverres av det faktum at phishing-forsøk nå ofte er svært målrettet for å nå den mest sårbare personen å angripe, for eksempel administrativt personale.

Trusler i disse dager støttes av den rene mengden informasjon som kan samles på sosiale medier om en person i en organisasjon før et angrep forsøkes. Dette betyr at nettkriminelle er forearmed med nok informasjon til å høres ut som om e-posten de sender gjennom med en ondsinnet lenke ser ut til å være fra en venn eller kjent leverandør. Med dette i tankene er utdanning om risikoen viktig, og en god politikk på sosiale medier, og hva som kan lastes ned, bør også settes på plass.

komisk bilde av arbeidstaker ranet av internett kriminell nettkriminalitet

Link skannere kan også installeres for å sikre at eventuelle skadelige koblinger fysisk ikke kan klikkes på, og dermed tar bort mye av sluttbrukerens risiko.

4 PCI DSS Nivåer

det er fire nivåer av samsvar, som avhenger av hvor mange korttransaksjoner du tar i løpet av et år.

  • Nivå 1: for forhandlere som behandler mer enn 6 millioner Visa – transaksjoner per år-krever at du har en sikkerhetsvurdering på stedet årlig og en kvartalsvis nettverkssårbarhetssøk.

  • Nivå 2: for forhandlere som behandler Mellom 1 million og 6 millioner Visa – transaksjoner per år-sikkerhetsvurdering på stedet etter eget skjønn, må du også gi et årlig spørreskjema for egenvurdering og en kvartalsvis nettverkssårbarhetsskanning.

  • Nivå 3: for selgere som behandler 20.000 Til 1 million visa-netthandelstransaksjoner per år-selvvurderingsskjema kreves årlig og en kvartalsvis nettverkssårbarhetsskanning.

  • Nivå 4: for forhandlere som behandler mindre enn 20 000 visa-netthandelstransaksjoner per år, og alle andre forhandlere som behandler opptil 1 million Visa-transaksjoner per år, kreves selvvurderingsskjema årlig og en kvartalsvis nettverkssårbarhetsskanning.

Husk-Det Er En Pågående Prosess

Mange bedrifter sikrer at de er kompatible i første omgang og deretter glemmer det til det er revisjonstid. Dessverre fører dette til bøter og ytterligere revisjoner (som koster penger) blir utført oftere. Det er viktig å huske at compliance er en pågående prosess, og det må kontrolleres ofte, ikke bare før revisor er i ferd med å sette i en opptreden.

tegneseriebilde av arbeider som drukner i filer

Du må alltid:

  • Vurder – ta en oversikt over eksisterende IT-ressurser og forretningsprosesser for kortbehandling, analyser for sårbarheter som du gjør og identifiser kundedata og hvor den holdes.

  • Avhjelpe-ikke lagre data med mindre det er absolutt nødvendig og fikse noen kjente utnyttelser.

  • Rapporter-kompilere og sende rapporter til å anskaffe tilbake og kort merker som du håndtere.

Det er mange ting å vurdere når det gjelder samsvar og langt den enkleste måten for mindre e-handel bedriftseieren er å bruke en betaling gateway eller hosted handlevogn. Dette fjerner mange av de nødvendige trinnene og tar mye av risikoen bort når det gjelder ansatte som håndterer betalinger og sikkerheten til bedriftsnettverket ditt.

det er imidlertid ikke å si at det er den beste løsningen for deg, og derfor bør du sikte på å legge mye planlegging og grunnlag hvis du planlegger å ta betalinger gjennom nettstedet ditt og beholde kundedetaljer. Ideelt sett bør du unngå å gjøre sistnevnte og snakke med leverandøren av betalingskortbehandling for å se hva alternativene dine er. Det er ikke fullt så skremmende som det først ser ut, men det lønner seg å være veldig forsiktig så mange bedrifter som ikke klarer å tilstrekkelig beskytte kundedata gå ut av business etter et datainnbrudd, takket være kostnadene ved å sikre at det ikke skjer igjen.

for best resultat, har en lese GJENNOM PCI DSS 3.0 (og under) dokumenter bibliotek PÅ PCI council nettsted . Ikke bli skremt av alle sjargong heller, en rask Google kan hjelpe deg å forstå tekniske eller du kan gå gjennom hjelpefilene PÅ PCI council nettsted.

Leave a Reply

Din e-postadresse vil ikke bli publisert.