Wie werde ich pci-kompatibel?

PCI, oft als PCI-DSS genannt, steht für den Zahlungskarten-Industrie-Datensicherheitsstandard. Kurz gesagt, PCI ist ein Satz von Industriestandards, die zur Messung der Sicherheit von Unternehmen verwendet werden, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern und übertragen. Unternehmen, die PCI-konform sind, leiden weniger als Datenverletzungen auf, die Kunden aussetzen könnten, um den Diebstahl zu erkennen. Wenn Sie eine Händler-ID haben und Kreditkarten entweder in Ihrem physischen oder virtuellen Geschäft akzeptieren, unterliegen Sie den PCI-DSS-Industriestandards. Der PCI Security Standards Council ist eine unabhängige Gruppe von Industry-Fachkräften, die aufstrebende PCI-Sicherheitsfragen untersuchen und die Programme und Standards erstellen, um die Integrität des Zahlungskartensystems aufrechtzuerhalten.

Schritte

Teil 1 von 3:
Überprüfung der PCI-DSS-Grundlagen
  1. Bildtitel Erhalten Sie einen Job als Bankzeiger Schritt 1
1. Bestätigen Sie Ihren Händlerniveau. Der erste Schritt besteht darin, Ihren Händlerniveau mit der Bank- oder Clearinghouse zu diskutieren und zu überprüfen, die Ihre Kreditkartentransaktionen abwickelt. Händler sind in vier Kategorien unterteilt, die auf der Visa-Kartentransaktion über 12 Monate basieren. Ihr Händlerniveau bestimmen, wie streng Ihre PCI-Compliance-Programme sein müssen.
  • Ein Händlerprozesse von Level 1 über 6 Millionen Visa-Transaktionen pro Jahr oder ist von der Visumfirma designiert.
  • Ein Händler von Stufe 2 akzeptiert jährlich zwischen 1 und 6 Millionen Visa-Transaktionen. Dies beinhaltet persönlich und online.
  • Ein Händler von Stufe 3 wird zwischen 20.000 und 1 Million Visa-Transaktionen pro Jahr verarbeitet.
  • Ein Händler von Level 4, der als kleiner Händler betrachtet wird, nimmt weniger als 20.000 Visumzahlungen pro Jahr an.
  • Die Anforderungen der PCI-DSS gelten auch für Unternehmen, die andere Kreditkarten annehmen, z. B. American Express, MasterCard, und entdecken. Visum wird als Maßstab zum Einrichten von Händlerniveaus verwendet.
  • Bildtitel Sparen Sie Geld auf Batterien Schritt 3
    2. Verstehen Sie die Strafen für PCI DSS-Verstöße. Unternehmen, die nicht PCI-DSS-konform sind, können Geldbußen, Sanktionen und den Verlust von Privilegien aus dem Clearinghouse unterliegen, die Kreditkartenzahlungen verarbeiten. Wenn der PCI-Fehler zu einem tatsächlichen Datenverlust führt, könnte das Unternehmen mit Geldbußen, höheren Gebühren und anderen Sanktionen von Banken und Kreditkartenprozessoren konfrontiert sein.
  • Unternehmen, die nicht PCI-konform sind, können Klarstellungen und staatliche Staatsanwaltschaft unterliegen, um Kundendaten nicht zu schützen.
  • Bildtitel Präsentieren Sie selbst und Geschäfte
    3. Vertraue dich mit den besten Sicherheitspraktiken. Der erste PCI-DSS-Standard, implementiert September 2009 (DSS V 1.2) führte die 12 Anforderungen an, die ein Händler untersuchen sollte, um PCI-konform zu sein. Je nach Händlerniveau ist der Betrag von Technologie, Schulungen und Fachwissen zur Umsetzung der Standards variieren. Zum Beispiel ein Netzwerk, das 2 Millionen Transaktionen umgreift, ist anspruchsvoller als ein Netzwerk, das 2000 verarbeitet.
  • PCI 3.Ich trat im Juni 2015 in Kraft und befasst sich mit neuen Normen in der Technologie und adressiert Schwachstellen in gemeinsamen Verschlüsselungsprogrammen.
  • PCI-Compliance Best Practices fallen in fünf allgemeine Kategorien: Sichere Netzwerk, Datenschutz, Sicherheitsanfälligkeit, Zugangskontrolle, Überwachung und Sicherheitspolitik. Der PCI-Rat verfügt über einen Fragebogen der Selbsteinschätzung, um den kleinen Unternehmen zu helfen, die Einhaltung der Sicherheitsstandards festzulegen.
    • Teil 2 von 3:
    PCI-Compliance-Programme implementieren
    1. Bildtitel Build Trust in einem kleinen Geschäftsschritt 3
    1. Ein sicheres Netzwerk erstellen und pflegen. Für Unternehmen bedeutet dies, dass sich eine Beziehung zu einem vertrauenswürdigen Auftragnehmer entwickelt. Wenn Sie nicht ein IT-Profi sind, sollten Sie Ihr eigenes Netzwerk nicht installieren, wenn die Kundendaten gespeichert werden. Sogar ein Out-of-the-Box-System hat möglicherweise Sicherheitslücke, wenn sie nicht ordnungsgemäß installiert und aktualisiert wird.
    • Halten Sie Ihre Firewalls auf dem neuesten Stand und operativ. Lassen Sie den Mitarbeitern keine Firewalls für jeden Zweck deaktivieren.
    • Kennwörter ändern, die vom Lieferanten sofort bereitgestellt werden. Implementieren Sie auch ein Passwortprogramm für Ihre Mitarbeiter. Passwörter sollten regelmäßig in Übereinstimmung mit Anweisungen der Lieferanten geändert werden. Zum Beispiel sollten Kennwörter alphanumerische Zeichenkombinationen sein, die nicht Wörterbuchwörter sind. Wenn Ihr Anbieter auf Ihrem System arbeitet, sollten Sie alle Kennwörter ändern, wenn es online zurückkommt.
  • Bild mit dem Titel Öffnen eines Bankkontos Schritt 7
    2. Informationen zum Karteninhaber schützen. Wenn Sie Kreditkarten manuell verarbeiten, sollten die Slips und Quittungen in gesperrten Dateien mit eingeschränktem Zugriff aufrechterhalten werden. Wenn Karteninhaberinformationen in Ihrem Netzwerk gespeichert sind, sollte es verschlüsselt und hinter den Firma-Firewalls geschützt sein
  • Aktualisieren eines Kindertagesstätten-Geschäftsplans Schritt 2
    3. Erstellen Sie ein Sicherheitsverletzungsverwaltungsprogramm. Ihr System sollte mit entsprechender Antivirensoftware geschützt werden. Sie sollten auch ein Unternehmensprogramm haben, das das Hinzufügen von Software verbietet, wie z. B. Spiele, die das System beeinträchtigen könnten.
  • Bildtitel Sei ein Business Analyst im Top-Management Step 3
    4. Zugriffskontrolle implementieren. Der Passwort Zugriff auf Ihr System sollte eingeschränkt sein. Jeder Mitarbeiter sollte nur den Zugang haben, den er seinen Job erledigen muss. Erklären Sie, dass dies sowohl Ihre Mitarbeiter als auch Ihre Kunden schützt. Wenn ein Datenverletzung vorliegt, wird der eingeschränkte Zugriff die Möglichkeiten einschränken und der Untersuchung helfen.
  • Geben Sie für Ihr Netzwerk jedem Benutzer und jedes Terminal eine eindeutige ID-Nummer an. Im Falle eines bestätigten oder vermuteten Verletzungen können Ihre IT-Fachkräfte den Einstiegspunkt schnell identifizieren.
  • Sichere physische Datensätze, die Kunden- und Karteninhaberdaten enthalten. Verwenden Sie entweder ein Kartenschlüsselsystem oder ein physikalisches Lock und eine Taste.
    • Teil 3 von 3:
    Prüfung und Pflege der PCI-Konformität
    1. Bildtitel Build Trust in einem kleinen Geschäftsschritt 1
    1. Überwachen und testen Sie Ihre Netzwerke. Ihr Sicherheitsprogramm muss regelmäßige Scans und Tests enthalten, um den Fluss von Kundendaten über Ihr Netzwerk zu verfolgen und zu überwachen. Ihr IT-Professional oder der Anbieter kann Tests implementieren, wenn das System bei niedrigem Betrieb (z. B. spät abends an Wochenenden) und in Echtzeit, in der das System verwendet wird.
    • Pflegen Sie ein Protokoll von Testergebnissen. Besprechen Sie, wie lange Sie Testunterlagen mit Ihrer Bank- und Versicherungsgesellschaft aufrechterhalten können.
  • Bildtitel Build Trust in einem kleinen Geschäftsschritt 6
    2. Entwickeln Sie eine Informationssicherheitspolitik. Alle Schritte in Ihrem PCI-Compliance-Programm müssen in Ihrer Sicherheitsrichtlinie dokumentiert sein. Dieses Dokument sollte alle Schritte Ihres Unternehmens detaillieren detailliert detaillieren, um Kundendaten zu sichern. Für Stufe 1 bis 3 Händler kann dieses Programm mehrere Volumes ausführen und das Mitarbeiterhandbuch integrieren.
  • Level 1 bis 3 Händler werden wahrscheinlich entweder mit einem Sicherheitspersonal vertraglich vertraglich vertraglich oder verfügen über engagierte Mitarbeiter, die in den Feinheiten des Schreibens geschult und die Informationssicherheitspolitik erfüllt sind.
  • Ein Händler von Level 4 sollte sich mit dem Kreditkarten-Clearinghouse in Verbindung setzen, um die Sicherheitspolitik zu beraten und zu unterstützen. Wenn der Prozessor keine Programmvorlage bereitstellt, sollten Sie den Vertrag mit einem Sicherheitsprofi in Betracht ziehen, um das Dokument zu erstellen. Es sei denn, Sie sind ein IT-Fachmann, ist es unwahrscheinlich, dass Sie in den technischen Details Ihres Systems ausreichend versiert sein, um eine PCI-kompatible Sicherheitsrichtlinie zu erstellen. Sobald es erstellt wurde, muss es nur aktualisiert werden, wenn Ihr Netzwerk erweitert oder aktualisiert wird. Ihr IT-Auftragnehmer kann Ihnen die Dokumente zur Verfügung stellen, die Sie benötigen, um Ihre Sicherheitspolitik auf dem neuesten Stand zu halten.
  • Der größte Teil Ihres Sicherheitsprogramms ist technisch in der Natur, wie in der Wahl der Firewall- und Sicherheitssoftware sowie der Testprotokolle. Sie sollten jedoch auch Abschnitte über den Prozess einschließen, wenn ein Angestellter das Unternehmen verlässt, und Kennwörter werden widerrufen.
  • Entwickeln Sie einen Prozess, um Schlüssel und Keycards zu verfolgen. Master-Tasten sollten so streng reguliert wie ein Kennwort auf hoher Ebene.
  • Bild mit dem Titel Build Trust in einem kleinen Geschäftsschritt 4
    3. Beurteilen, beheben Sie Ihre PCI-Compliance und melden Sie sich. Sobald die 12 Teile des PCI-Best Practices implementiert sind, sollten Sie periodisch über den dreistufigen PCI-Rat führen, um sicherzustellen, dass die Compliance aufrechterhalten wird.
  • Inventar Ihre IT-Systeme und Geschäftsprozesse. Wenn sich etwas geändert hat, aktualisieren Sie Ihre Sicherheitsprogramme und der Sicherheitsanfälligkeitsmanagementpläne.
  • Wenn Sie eine Schwäche in Ihrem System finden, beheben Sie das Problem. Dies erfordert möglicherweise neue Geräte oder Software, Benutzerausbildung oder Aktualisierung Ihres Netzwerks. IT-Fachleute sollten diese Änderungen implementieren.
  • Bewahren Sie die Aufzeichnungen Ihres Handlungen auf und sollen Berichte über Ihre Compliance-Bemühungen an Ihre Bank- und Kreditkartenunternehmen einreichen. Ihre Berichte, Bemühungen und Erkenntnisse können einem anderen Unternehmen helfen, Kundendaten zu schützen.

    • Warnungen

    Level 4-Händler sollten die PCI-Konformität mit dem Bank- oder Kreditkarten-Clearinghouse diskutieren und den Empfehlungen folgen.
  • Wenn Sie ein sehr kleiner Händler sind, z. B. ein Hausgeschäft, ist es unwahrscheinlich, dass Sie Kartendaten in Ihrem persönlichen Netzwerk speichern werden. Sie sollten jedoch immer noch Ihre Prozesse mit Ihrer Bank überprüfen. Der PCI-Rat verfügt über Online-Schulungen und Ressourcen, mit denen Sie den Diebstahl von Kundendaten verhindern können.
    • In Verbindung stehende Artikel