Skip to main content

5 Советов по простоте PCI-совместимости

Соответствие PCI может показаться загадочным, если вы маленький торговец, но вы игнорируете его на свой страх и риск. Несоблюдение стандартов безопасности, разработанных Советом по стандартам безопасности платежных систем (PCI), несет штрафы в размере от 5000 до 100 000 долл. США в месяц.

Стандарты безопасности данных PCI (DSS) и многие другие подтверждающие документы можно легко загрузить с на веб-сайте совета, но для малого бизнеса без профессионала в области ИТ-безопасности требования могут быть непонятными. Однако есть некоторые вещи, которые вы можете сделать, чтобы облегчить процесс соблюдения и меры безопасности, которые он диктует. Хотя я по-прежнему предлагаю нанять квалифицированного специалиста по безопасности (QSA), эти советы могут указывать на вас в правильном направлении.

Не хранить данные держателя карты

Чтобы значительно упростить необходимые меры безопасности для соблюдения PCI, не сохранять или хранить данные держателя карты в письменной или цифровой форме. Используйте устройство чтения карт, POS и / или процессор платежей, который не сохраняет эту информацию в ваших системах, поэтому вам не придется беспокоиться о защите и шифровании этих данных. Обратитесь к поставщикам платежей за подробной информацией об их конкретных моделях.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Никогда не храните информацию об аутентификации кредитной карты.

Если вам необходимо сохранить данные держателя карты для повторного ввода биллинга или других необходимых бизнес-целей, обратитесь к своему платежному процессору, чтобы узнать, предлагают ли они варианты, позволяющие вводить и хранить данные в своих системах. Если вы должны хранить данные самостоятельно, помните, что вам нужно будет выполнить еще много мер безопасности, и вы никогда не сможете хранить конфиденциальную информацию аутентификации: данные полной магнитной полосы, код безопасности или PIN-код.

Выберите PCI-совместимый Веб-хост

Если вы продаете продукты или осуществляете платежи через свой веб-сайт, выберите план хостинга, совместимый с PCI, приложение для электронной коммерции или корзины покупок. Некоторые веб-хостинговые компании публично публикуют свои данные о соответствии на своем веб-сайте, но во многих случаях вам придется обратиться в отдел продаж или поддержки. Для приложений электронной коммерции и тележек для покупок вы можете обратиться к списку утвержденных платежных приложений из Совета PCI.

Вероятно, у вас будет более жесткая вероятность достижения соответствия PCI, если вы используете более дешевые планы совместного размещения в связи с тем, как серверы разделены между несколькими владельцами веб-сайтов. Но вы можете уйти от использования одного (это даже несовместимо), если вы выберете размещенное платежное решение, в котором клиенты перенаправляются на совместимый сайт, чтобы ввести данные своей кредитной карты, такие как PayPal Standard, 2Checkout или Authorize. Сеть. И вы можете подумать о размещенном платежном решении, даже если ваш план веб-хостинга совместим, чтобы снизить меры безопасности, которые вы должны предпринять. Однако, если вы хотите полностью интегрировать процесс платежей на своем сайте, вам может потребоваться использовать более дорогой виртуальный частный или выделенный сервер, который обычно совместим с PCI.

Используйте терминалы удаленного доступа вместо IP-терминалов

Терминалы для подключения к телефонной линии подключаются к телефонной линии и взаимодействуют с платежным процессором, аналогичным тому, как старые модемы 56K подключены к коммутируемому Интернету. Они медленнее, чем терминалы на базе IP, но они могут значительно сократить вашу среду данных держателя карты - компьютеры и компоненты, в которых хранятся, обрабатываются или передаются данные держателя карты, тем самым уменьшая меры безопасности, за которыми вы должны следовать.

Независимо от того, что тип терминала кредитной карты или POS-системы, которую вы выбираете, убедитесь, что он совместим с PCI, либо через поставщика, либо путем проверки утвержденных устройств безопасности транзакций PIN-кода и / или списка утвержденных платежных приложений от Совета PCI. Также проверяйте с поставщиками, как работают их терминалы, и спрашивайте о тех, которые облегчают соблюдение.

Используйте отдельную сеть для обработки платежей

Если вы используете терминалы для кредитных карт на основе IP, может быть проще иметь полностью отдельную сеть с собственным подключением к Интернету только для обработки платежей. Это может облегчить меры безопасности, которые вы должны предпринять во время первоначальной настройки сети, и те, которые вы должны соблюдать в будущем для обеспечения совместимости с PCI.

Защищенные устройства для чтения карт для мобильных устройств

Для малых предприятий, предоставляющих услуги на месте, решения для мобильных карт например, Square, GoPayment или PayPal. Здесь очень привлекательны. Они предлагают быстрый и простой способ начать принимать платежи по кредитным картам и могут использоваться со смартфонами или планшетами через данные ячейки или Wi-Fi. Хотя текущие требования PCI DSS (версия 2.0) специально не касаются считывателей мобильных карт, предприятиям по-прежнему требуется обеспечить, чтобы эти решения соответствовали требованиям PCI.

В PCI опубликованы рекомендации по безопасности для защиты мобильных платежных решений, которые вы используете с ваши смартфоны или планшеты. В основном вы должны обеспечить, чтобы мобильные устройства поддерживались физически и в цифровой форме от кражи, несанкционированного использования, вредоносного ПО и взлома. Не джейлбрейк или не корневое устройство, а также другие функции, которые могут сделать устройство небезопасным, например USB Debugging на устройствах Android. Установите антивирусное приложение и загружайте приложения только из надежных источников, таких как официальный магазин приложений. И помните, что если мобильные устройства подключены к Wi-Fi-соединению под управлением компании при использовании устройства чтения карт, сеть должна соответствовать требованиям PCI.