คุณรับเครดิตหรือเดบิตที่ธุรกิจของคุณหรือไม่ ถ้าเป็นเช่นนั้นโอกาสที่คุณจะต้องปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS)
PCI DSS กำหนดมาตรการรักษาความปลอดภัยข้อมูลขั้นต่ำสำหรับองค์กรทั่วโลกที่เก็บประมวลผลหรือแลกเปลี่ยนข้อมูลผู้ถือบัตรจากแบรนด์การ์ดรายใหญ่ ๆ มาตรฐานดังกล่าวได้รับการทบทวนทุกสองปีและได้รับการแก้ไขล่าสุดในเดือนตุลาคม 2010
$config[code] not foundจากการศึกษาของสหพันธ์ค้าปลีกแห่งชาติและข้อมูลแรกพบว่าร้อยละ 86 ของผู้ตอบแบบสอบถามธุรกิจขนาดกลางและขนาดเล็กกล่าวว่าพวกเขาใส่ใจในการรักษาข้อมูลบัตรลูกค้าให้ปลอดภัยและรู้สึกถึงความปลอดภัยของข้อมูลบัตรเป็นสิ่งสำคัญสำหรับธุรกิจของพวกเขา แต่ในขณะที่ส่วนใหญ่ (66 เปอร์เซ็นต์) รับรู้ถึง PCI DSS เพียง 49 เปอร์เซ็นต์เท่านั้นที่ได้ทำการประเมินตนเองอย่างสมบูรณ์ในขณะที่ทำการสำรวจ
การปกป้องข้อมูลผู้ถือบัตรอาจมีราคาแพงและเป็นเรื่องยากสำหรับเจ้าของธุรกิจขนาดเล็กซึ่งส่วนใหญ่สวมหมวกหลายใบแล้ว อย่างไรก็ตามค่าใช้จ่ายทางการเงินและชื่อเสียงของการละเมิดอาจมีความสำคัญ - ในบางกรณีอาจส่งผลเสียต่อธุรกิจของคุณทั้งหมด
แต่จะเริ่มที่ไหนดี หวังว่าคุณจะ จำกัด การเข้าถึงข้อมูลผู้ถือบัตรและอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ นี่คือวิธีเพิ่มเติมที่คุณสามารถเพิ่มความปลอดภัยของข้อมูลได้อย่างมากในขณะที่จัดการต้นทุนการปฏิบัติตามกฎระเบียบ:
เข้ารหัสข้อมูลที่ละเอียดอ่อน อาจเป็นมาตรการที่สำคัญที่สุดเพียงอย่างเดียวที่ธุรกิจสามารถปกป้องข้อมูลผู้ถือบัตรคือการเข้ารหัสข้อมูลบัตรทันทีหลังจากที่บัตรถูกรูด ณ จุดขาย ข้อมูลควรอยู่ในสถานะเข้ารหัสขณะที่ส่งไปยังหน่วยประมวลผลการชำระเงิน
ขั้นตอนนี้หมายถึงการทำธุรกรรมจะไม่ถูกส่งเป็นข้อความธรรมดาในการส่งต่อเฟรม, การเชื่อมต่อผ่านสายโทรศัพท์หรืออินเทอร์เน็ตซึ่งมีโอกาสที่จะเกิดการขัดขวางโดยผู้โจมตี หากข้อมูลถูกดูดออกเมื่อข้อมูลถูกเข้ารหัสมันก็ไม่มีประโยชน์อะไรที่จะขโมย ลด“ CDE” ของคุณ ระบบคอมพิวเตอร์ทุกตู้เก็บเอกสารและแอปพลิเคชันที่ใช้หรือเก็บข้อมูลบัตรสำคัญรวมถึงข้อมูลที่เข้ารหัสเป็นส่วนหนึ่งของสภาพแวดล้อมของข้อมูลผู้ถือบัตรโดยรวม (CDE) และอยู่ในขอบเขตของการปฏิบัติตาม PCI DSS กล่าวอีกนัยหนึ่งยิ่งคุณมีข้อมูลมากเท่าใดคุณก็ยิ่งต้องกังวลเกี่ยวกับการปกป้อง
จำกัด - และลดขนาดขอบเขตของ CDE ของคุณโดย จำกัด การใช้ข้อมูลผู้ถือบัตรเฉพาะแอปพลิเคชันที่เกี่ยวข้องกับการชำระเงินโดยตรง (เช่นการตรวจสอบการทำธุรกรรมการชำระเงินรายวันและการเรียกเก็บเงินคืน) ยอมรับโทเค็น โทเค็นไลเซชั่นเป็นส่วนเสริมของการเข้ารหัส ข้อมูลผู้ถือบัตรจะถูกส่งไปยังเซิร์ฟเวอร์ส่วนกลางและมีความปลอดภัยสูง (ห้องนิรภัย) หลังจากได้รับอนุญาตและมีการสร้างหมายเลขเฉพาะ (โทเค็น) แบบสุ่มและส่งกลับไปยังระบบของธุรกิจเพื่อใช้ในทุกที่ที่ข้อมูลผู้ถือบัตรจะถูกใช้งานตามปกติ
โทเค็นนั้นมีความเฉพาะเจาะจงกับการ์ดและยังสามารถใช้ในการประมวลผลตอบแทนติดตามพฤติกรรมการใช้จ่ายและฟังก์ชั่นทางธุรกิจอื่น ๆ ได้ แต่ตัวหมายเลขนั้นไม่มีค่าสำหรับผู้โจมตี สิ่งนี้สามารถลดผลกระทบของการรั่วไหลของข้อมูลได้อย่างมาก Tokenization สามารถช่วยลดขอบเขตของ CDE ได้เนื่องจากไม่มีข้อมูลผู้ถือบัตรอยู่ ธุรกิจที่แทนที่ข้อมูลผู้ถือบัตรด้วยโทเค็นในแอปพลิเคชันองค์กรทั้งหมดสามารถลดขอบเขตของ CDE ได้อย่างมีนัยสำคัญและลดขอบเขตและค่าใช้จ่ายของการปฏิบัติตาม PCI DSS และการประเมินประจำปี / การสแกนรายไตรมาส ทำงานกับบุคคลที่สาม อีกวิธีหนึ่งในการลดขนาดสภาพแวดล้อมที่เป็นไปตามมาตรฐาน PCI คือการมอบความรับผิดชอบ (และความรับผิด) สำหรับการจัดเก็บข้อมูลการ์ดไปยังผู้ให้บริการบุคคลที่สาม ตัวอย่างเช่นธุรกิจสามารถส่งข้อมูลบัตรเข้ารหัสไปยังหน่วยประมวลผลการชำระเงินเพื่อขออนุมัติและเมื่อมีการส่งคืนการตอบสนองที่ได้รับอนุญาตหมายเลขโทเค็นจะถูกส่งไปยังธุรกิจ
วิธีนี้จะทำการเข้ารหัสและโทเค็นในขณะเดียวกันก็ลดขนาด CDE ของธุรกิจให้เหลือน้อยที่สุด: ระบบ POS ที่เก็บข้อมูลบัตรสดที่ได้รับการอนุมัติล่วงหน้า ยกมือขึ้น ธุรกิจมีความรับผิดชอบในการปกป้องข้อมูลของลูกค้า แต่คุณไม่จำเป็นต้องทำด้วยตัวเอง พูดคุยกับผู้ให้บริการชำระเงินเกี่ยวกับโซลูชันและผู้เชี่ยวชาญที่สามารถช่วยให้ธุรกิจของคุณได้รับและปฏิบัติตาม โปรดจำไว้ว่า PCI DSS เป็นมาตรฐานขั้นต่ำและการค้นหาคู่ค้าที่เหมาะสมสามารถช่วยคุณตัดสินใจได้อย่างชาญฉลาดเกี่ยวกับวิธีการปกป้องลูกค้าของคุณอย่างดีที่สุด
1