您的客戶(hù)能否通過(guò)其安全的信用卡信息信任您？如果沒(méi)有，您的信譽(yù)和底線(xiàn)可能會(huì )受到打擊。每家接受客戶(hù)信用卡付款的公司都必須遵守支付卡行業(yè)和數據安全標準。這些標準通?？s寫(xiě)為 PCI DSS，保護在線(xiàn)消費者和電子商務(wù)服務(wù)提供商。閱讀新聞，很容易理解為什么 PCI 合規標準很重要。我們經(jīng)常聽(tīng)到有關(guān)數據泄露的故事。Target、Uber 和 Equifax 等大公司也受到了影響。較小的公司也很脆弱。與客戶(hù)建立信任是每個(gè)企業(yè)的首要任務(wù)。 符合 PCI 標準的主機 應該在您的安全清單的頂部。使用信用卡付款的客戶(hù)不想擔心身份被盜。你的工作是盡你所能將他們的風(fēng)險降到最低。

什么是 PCI 合規性？PCI 是什么意思？

讓我們談?wù)劄槭裁?PCI 標準很重要。PCI標準應該確保兩件事。

• 現場(chǎng)安全存儲信用卡數據。 這種擔憂(yōu)僅適用于存儲信用卡數據的公司。如果您不保存數據，則不必擔心安全漏洞。安全存儲應包括虛擬安全和物理安全。
• 跨公共網(wǎng)絡(luò )的信用卡數據的安全傳輸。 任何時(shí)候數據都在轉換；它可能很脆弱。密碼、PIN 號碼和其他方法可以確保信息安全。

PCI 標準保護敏感的持卡人信息。無(wú)論數據是處于靜止狀態(tài)還是在傳輸中，它們都適用，從而保護您的客戶(hù)免受破壞和身份盜用。

PCI 兼容標準如何工作？

如果您的公司接受、存儲或傳輸信用卡數據，您必須遵守 PCI 標準。但是，這些標準因您的情況而異。我們不會(huì )降低所有標準。不過(guò)，我們希望讓您了解 PCI 合規性的工作原理。您如何知道需要哪個(gè)級別的 PCI 安全性？以下是一些需要注意的事項：

• PCI 標準由 Visa、MasterCard、JCB International 和 American Express 等主要信用卡公司制定。他們的目的是保護持卡人。
• 沒(méi)有 PCI 認證之類(lèi)的東西。但是，您必須證明您的公司符合 PCI 標準。
• 您必須遵守的合規程度取決于您的信用卡交易的年度交易量。
• 遵守 PCI 標準并非沒(méi)有成本。每年可能要花費您 1,000 到 50,000 美元。
• 如果您不符合 PCI 標準，將會(huì )受到處罰。

確定需要何種級別的 PCI 合規性是您的工作。然后，您將需要一份 PCI 合規性清單。請記住，合規性是一個(gè)持續存在的問(wèn)題。您將需要不斷更新您的安全性以符合 PCI 標準——例如，新更新的 PCI-DSS 3.2 法規。

PCI 合規性指南中有什么內容？

缺乏商家 PCI 合規性可能會(huì )使您的公司損失金錢(qián)和聲譽(yù)。擁有一份可供參考的清單可以幫助您完成所有必要的步驟以確保合規。您應該使用 PCI DSS 審核清單 來(lái)確保您滿(mǎn)足每項要求。請記住，要求可能會(huì )根據您的交易量而變化。監控您的交易并選擇正確的合規級別是您的工作。為了讓您更輕松，我們創(chuàng )建了 PCI 自我評估的簡(jiǎn)短指南。在您完成此清單時(shí)，必須徹底徹底。跟蹤以確保您沒(méi)有錯過(guò)任何重要步驟。

1. 安裝和維護防火墻

為了滿(mǎn)足 PCI 標準，請安裝可靠的防火墻來(lái)保護您的 網(wǎng)絡(luò )安全。防火墻是保護持卡人數據的第一道防線(xiàn)，因為它有助于阻止未經(jīng)授權的網(wǎng)絡(luò )訪(fǎng)問(wèn)。為了提高其效率，您應該有一個(gè)明確的防火墻配置策略。在您的防火墻上運行定期測試，并確保您的托管服務(wù)有一個(gè)到位。

2. 不要使用供應商提供的默認值

跟蹤密碼可能很麻煩。一些公司通過(guò)使用供應商默認值來(lái)偷工減料。符合 PCI 標準意味著(zhù)分配唯一的密碼。您使用的每個(gè)密碼都應遵守密碼最佳做法。包括小寫(xiě)和大寫(xiě)字母、數字和符號可確保密碼安全。使用默認設置可以讓潛在的黑客輕松進(jìn)入您的系統。

3. 保護存儲的持卡人數據

通過(guò) PCI 標準保護持卡人數據需要您考慮系統的漏洞。您需要設置電子和物理屏障。您的第一個(gè)忠誠度應該是對信任您的客戶(hù)。安全措施可能包括：

• 強密碼策略
• 身份驗證協(xié)議
• 鎖定的服務(wù)器
• 帶鎖的儲物柜
• 根據需要的附加步驟

對現有措施進(jìn)行盤(pán)點(diǎn)可以幫助您發(fā)現問(wèn)題。

4、持卡人信息加密傳輸

保護存儲的持卡人信息是遵守 PCI 標準的必要條件，但在傳輸過(guò)程中保護它同樣重要。如果您通過(guò)開(kāi)放網(wǎng)絡(luò )發(fā)送客戶(hù)數據，則應確保對其進(jìn)行加密。此步驟增加了一層保護以保護它免受黑客攻擊，因為如果沒(méi)有加密密鑰，他們將無(wú)法讀取它。PCI 合規性最佳實(shí)踐不建議存儲敏感數據。PINS、安全代碼和其他驗證信息應在靜止和傳輸過(guò)程中得到充分保護和加密。

5. 使用和更新殺毒軟件

為保護持卡人信息并遵守 PCI 標準，您必須使用防病毒軟件。這似乎很明顯，但公司擁有過(guò)時(shí)的軟件并不少見(jiàn)。您的軟件應該是可靠的并且來(lái)自具有良好記錄的公司。定期更新數據庫是您的工作。培訓員工更新他們用于工作的所有設備上的數據庫，并確保您還在服務(wù)器上運行定期掃描。

6. 開(kāi)發(fā)和維護安全系統和應用程序

許多公司同時(shí)使用專(zhuān)有和第三方系統和應用程序。要遵守 PCI 標準，您需要確保所有系統和軟件都是安全的。使用第三方應用程序有時(shí)是有益的，但需要謹慎。您必須確信他們在您的網(wǎng)絡(luò )上的存在不會(huì )危及您的數據。并非所有應用程序都可以安全使用，因此在安裝任何新應用程序之前要明智地選擇。

7. 限制對持卡人數據的訪(fǎng)問(wèn)

作為企業(yè)主，您需要信任您的員工。沒(méi)有老板愿意相信他們的員工會(huì )粗心對待客戶(hù)數據。這是可以理解的，但您必須根據需要采取措施限制訪(fǎng)問(wèn)。

根據 PCI 標準，不需要訪(fǎng)問(wèn)持卡人數據的人不應該擁有它。您的大多數員工都不需要訪(fǎng)問(wèn)權限。只有需要持卡人信息的人才能訪(fǎng)問(wèn)它。采取這個(gè)簡(jiǎn)單的步驟可以最大限度地降低內部數據泄露的風(fēng)險。

8. 為所有用戶(hù)分配唯一 ID

限制對安全數據的訪(fǎng)問(wèn)可減少內部違規的機會(huì )。這并不意味著(zhù)您不應該跟蹤用戶(hù)活動(dòng)和訪(fǎng)問(wèn)。我們建議將此作為附加的安全措施，以遵守 PCI 標準。

為每個(gè)有權訪(fǎng)問(wèn)您的系統的用戶(hù)分配一個(gè)唯一的 ID 是必不可少的。這個(gè)簡(jiǎn)單的步驟可以幫助您跟蹤誰(shuí)在訪(fǎng)問(wèn)您的數據。當每個(gè)用戶(hù)都有一個(gè) ID 和密碼時(shí)，您可以監控誰(shuí)訪(fǎng)問(wèn)了存儲的數據。讓員工知道他們的活動(dòng)被觀(guān)察到可以增加額外的保護層。

9. 限制對持卡人數據的物理訪(fǎng)問(wèn)

防止黑客以電子方式訪(fǎng)問(wèn)持卡人數據至關(guān)重要，但這不是您應該采取的唯一步驟。您必須確保只有需要物理訪(fǎng)問(wèn)持卡人數據的授權人員才能擁有它。

此步驟適用于服務(wù)器和其他硬件以及紙質(zhì)記錄。如果您保留持卡人信息的任何印刷記錄，請將其存放在安全區域。應限制進(jìn)入該地區。這些區域不得未上鎖或無(wú)人看管。

10. 跟蹤和監控對持卡人數據的所有訪(fǎng)問(wèn)

你想信任你的員工，但你不能承擔最好的假設。保護客戶(hù)數據必須是您的首要任務(wù)。如果您想保護持卡人信息，則必須有一個(gè)跟蹤和監控系統。這樣，您就可以看到哪些員工訪(fǎng)問(wèn)了 PCI 標準要求的安全數據。員工可能會(huì )對被監控的想法感到憤怒。這是可以理解的，但這不會(huì )改變您對客戶(hù)的義務(wù)。建立一個(gè)監控系統，然后定期審查。應立即處理員工的任何異?；蛞馔饣顒?dòng)。

11. 測試安全系統和流程

安裝安全系統、防火墻、防病毒軟件和內部安全是必不可少的。這些步驟對于保證客戶(hù)數據的安全至關(guān)重要，而對現有系統的持續測試也是如此。將這些測試視為消防演習。我們重點(diǎn)測試學(xué)校和辦公室的火災警報和疏散方法。同樣，您應該定期測試您的安全系統以確保它們正常工作。如果測試發(fā)現漏洞或漏洞，您必須立即解決。即使是最好的安全措施也可能失敗，所以不要誤以為你的安全措施是萬(wàn)無(wú)一失的。

12. 編寫(xiě)和執行安全策略

我們 PCI DSS 清單的最后一步是編寫(xiě)和實(shí)施全面的安全策略。即使有適當的保護措施，您也必須進(jìn)行溝通并努力執行您的政策。任何員工、第三方供應商和客戶(hù)都應該知道這一點(diǎn)。

讓人們知道您的政策可以同時(shí)做幾件事情。

• 它讓客戶(hù)知道您認真對待他們的隱私并希望保護他們的數據。
• 它確保所有人員都了解保護持卡人數據的重要性。
• 它讓您的員工注意到您將監控他們對安全信息的訪(fǎng)問(wèn)。

您的書(shū)面安全政策應包括您如何保護客戶(hù)數據的概述。它還應說(shuō)明員工的密碼和訪(fǎng)問(wèn)要求。確保指定您在 BYOD 和移動(dòng)設備上訪(fǎng)問(wèn)數據的指南。應讓所有重要人員了解 PCI 標準以及如何遵守這些標準。

始終驗證 PCI 合規性

與客戶(hù)保持信任的氛圍至關(guān)重要。事實(shí)上，缺乏信心會(huì )影響您企業(yè)的整體福祉。遵守 PCI 標準是激發(fā)客戶(hù)、潛在客戶(hù)和業(yè)務(wù)合作伙伴信任的關(guān)鍵。PCI 合規性清單上的項目應與推薦的安全最佳實(shí)踐結合使用，以最大限度地提高您的數據保護策略。