Você aceita pagamentos de crédito ou débito na sua empresa? Em caso afirmativo, é provável que você precise estar em conformidade com o Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS).
O PCI DSS estabelece medidas mínimas de segurança de dados para organizações em todo o mundo que detêm, processam ou trocam informações de titulares de cartões de qualquer uma das principais marcas de cartões. Os padrões são revisados a cada dois anos e foram revisados mais recentemente em outubro de 2010.
$config[code] not foundDe acordo com um estudo da National Retail Federation e First Data, 86% dos entrevistados de pequenas e médias empresas disseram que se preocupam em manter as informações dos cartões dos clientes seguras e sentem que a segurança dos dados do cartão é importante para seus negócios. Mas embora a maioria (66%) esteja ciente do PCI DSS, apenas 49% completaram uma autoavaliação exigida no momento da pesquisa.
Proteger os dados do titular do cartão pode parecer caro e um pouco avassalador para os pequenos empresários, a maioria dos quais já usa muitos chapéus. No entanto, os custos financeiros e de reputação de uma violação podem ser significativos - em alguns casos, comprometendo completamente o seu negócio.
Mas por onde começar? Espero que você já limite o acesso físico às informações do portador do cartão e mantenha o software antivírus atualizado. Aqui estão outras maneiras de aumentar significativamente a segurança dos dados ao gerenciar os custos de conformidade:
Criptografar dados sensíveis Provavelmente, a medida mais importante que uma empresa pode tomar para proteger as informações do portador do cartão é criptografar os dados do cartão imediatamente após o cartão ser passado no ponto de venda. As informações devem permanecer em um estado criptografado enquanto são transmitidas ao processador de pagamento.
Esta etapa significa que a transação nunca é transmitida em texto simples no frame relay, dial-up ou conexão com a Internet, onde existe o potencial de interceptação por fraudadores. Se os dados forem desviados depois de criptografados, isso é praticamente inútil para os ladrões. Reduza seu “CDE” Cada sistema de computador, fichário e aplicativo que usa ou armazena dados de cartão confidenciais, incluindo dados criptografados, faz parte do ambiente de dados do portador do cartão (CDE) geral e está dentro do escopo da conformidade com o PCI DSS. Em outras palavras, quanto mais lugares você tiver dados, mais lugares precisará se preocupar em proteger.
Limite - e até reduza - o escopo do seu CDE restringindo o uso de dados do portador do cartão somente aos aplicativos diretamente relacionados aos pagamentos (por exemplo, autenticação de transações, liquidações diárias e estornos). Abraçar Tokenization A tokenização é um complemento “em camadas” para criptografia. Os dados do portador do cartão são enviados para um servidor (cofre) centralizado e altamente seguro após a autorização e um número único aleatório (o token) é gerado e retornado aos sistemas da empresa para uso onde quer que os dados do portador do cartão normalmente sejam usados.
O token é específico para o cartão e ainda pode ser usado para processar devoluções, controlar hábitos de consumo e outras funções de negócios, mas o número em si não tem valor para fraudadores. Isso pode reduzir drasticamente o impacto de uma potencial violação de dados. A tokenização também pode ajudar a reduzir o escopo do CDE, porque não há dados do portador do cartão presentes. As empresas que substituem os dados do portador do cartão por tokens em todos os seus aplicativos corporativos podem reduzir significativamente o escopo de seu CDE e, posteriormente, reduzir o escopo e o custo da conformidade com o PCI DSS e das avaliações anuais / trimestrais. Trabalhar com um terceiro Outra maneira de reduzir o ambiente que está sujeito à conformidade com o PCI é entregar a responsabilidade (e responsabilidade) de armazenar dados do cartão para um provedor de serviços terceirizado. Por exemplo, uma empresa pode enviar dados de cartão criptografados para o processador de pagamentos para autorização e, quando a resposta autorizada é retornada, um número tokenizado também é enviado para a empresa.
Essa abordagem envolve a criptografia e a tokenização e, ao mesmo tempo, reduz o CDE de uma empresa ao menor espaço possível: o sistema de POS que contém dados de cartão de pré-autorização ativos. Levante sua mão As empresas têm a responsabilidade de proteger os dados de seus clientes, mas você não precisa fazer isso sozinho. Fale com seu provedor de pagamentos sobre soluções e especialistas que podem ajudar sua empresa a obter e permanecer em conformidade. Lembre-se de que o PCI DSS é um padrão mínimo e encontrar o (s) parceiro (s) certo (s) pode ajudá-lo a tomar decisões inteligentes sobre a melhor forma de proteger seus clientes - e potencialmente seus negócios.
1
