Skip to main content

5 Tips voor eenvoudige PCI-naleving

PCI-compliance lijkt misschien een mysterieuze kunst als u een kleine verkoper bent, maar u negeert het op eigen risico. Niet-naleving van de beveiligingsstandaarden die zijn ontwikkeld door de Security Standards Council van de Payment Card Industry (PCI), brengt boetes op van $ 5.000 tot $ 100.000 per maand.

De PCI Data Security Standards (DSS) en vele andere ondersteunende documenten kunnen eenvoudig worden gedownload van de website van de gemeente, maar voor kleine bedrijven zonder een IT-beveiligingsprofessional kunnen de vereisten verbijsterend zijn. Er zijn echter enkele dingen die u kunt doen om het nalevingsproces en de beveiligingsmaatregelen die het dicteert, te versoepelen. Hoewel ik nog steeds stel voor het inhuren van een gekwalificeerde beveiligingsassessor (QSA), kunnen deze tips u de juiste richting wijzen.

Sla geen kaarthoudergegevens op

Om uw vereiste beveiligingsmaatregelen voor PCI-compliance aanzienlijk te vereenvoudigen, hoeft u niet bewaar of bewaar alle kaarthoudergegevens in geschreven of digitale vorm. Gebruik een kaartlezer, POS en / of betalingsverwerker die deze informatie niet op uw systemen bewaart, zodat u zich geen zorgen hoeft te maken over de bescherming en versleuteling van die gegevens. Neem contact op met betalingsleveranciers voor meer informatie over hun specifieke modellen.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Bewaar nooit de authenticatie-informatie van een creditcard.

Als u kaarthoudergegevens opnieuw wilt bewaren facturering of andere vereiste zakelijke doeleinden, neem contact op met uw betalingsverwerker om te zien of ze opties bieden waarmee u de gegevens op hun systemen kunt invoeren en opslaan. Als u de gegevens zelf moet opslaan, onthoud dan dat u nog veel meer veiligheidsmaatregelen zult moeten volgen en dat u nooit de gevoelige authenticatie-info kunt opslaan: volledige magnetische stripgegevens, de beveiligingscode of de PIN.

Kies een PCI-compliant Webhost

Als u producten verkoopt of betalingen verricht via uw website, kiest u een PCI-compatibel webhostingsplan en e-commerce- of winkelwagentje-applicatie. Sommige webhostingbedrijven publiceren hun nalevingsgegevens publiekelijk op hun website, maar in veel gevallen moet u de verkoop- of ondersteuningsafdeling vragen. Voor e-commercetoepassingen en winkelwagentjes kunt u de lijst met gevalideerde betalingsaanvragen van de PCI-raad raadplegen.

U hebt waarschijnlijk een grotere kans om PCI-conformiteit te bereiken als u goedkopere gedeelde hostingpakketten gebruikt vanwege de manier waarop de servers werken zijn verdeeld over meerdere website-eigenaren. Maar u kunt misschien wegkomen met het gebruik van een (dat is zelfs niet-conform) als u een gehoste betalingsoplossing kiest waarbij klanten worden doorgestuurd naar een compatibele site om hun creditcardgegevens in te voeren, zoals PayPal-standaard, 2Checkout of Autoriseren. Netto. En misschien wilt u een gehoste betalingsoplossing overwegen, zelfs als uw webhostingplan conform is, om de beveiligingsmaatregelen die u moet nemen te verminderen. Als u echter het betalingsproces binnen uw site volledig wilt integreren, moet u mogelijk een duurdere virtuele privé- of dedicated server gebruiken, die meestal PCI-compatibel is.

Gebruik inbelapparaten in plaats van IP-terminals

Externe creditcardterminals maken verbinding met uw telefoonlijn en communiceren met de betalingsprocessor, vergelijkbaar met de manier waarop de oude 56K-modems verbonden zijn met inbel-internet. Ze zijn langzamer dan op IP gebaseerde terminals, maar ze kunnen de gegevensomgeving van uw kaarthouder aanzienlijk verminderen: de computers en componenten waar kaarthouderinformatie wordt opgeslagen, verwerkt of verzonden, waardoor de beveiligingsmaatregelen die u moet volgen, worden verminderd. type creditcardterminal of kassasysteem dat u kiest, controleer of het compatibel is met PCI, via de leverancier of door de goedgekeurde PIN-transactiebeveiligingsapparaten en / of lijst van gevalideerde betalingsaanvragen van de PCI-raad te controleren. Neem ook contact op met de leveranciers over hoe hun terminals werken en informeer naar de mogelijkheden die de naleving vergemakkelijken.

Gebruik een apart netwerk voor betalingsverwerking

Als u IP-gebaseerde creditcardterminals gebruikt, kan het eenvoudiger zijn om een ​​volledig afzonderlijk netwerk met een eigen internetverbinding te hebben voor alleen de betalingsverwerking. Dit kan de beveiligingsmaatregelen verlichten die u moet nemen tijdens de initiële netwerkconfiguratie en die u in de toekomst moet volgen om PCI-compatibel te blijven.

Veilige lezers van mobiele kaarten

Voor kleine bedrijven die on-site diensten aanbieden, oplossingen voor mobiele-kaartlezers zoals Square, GoPayment of PayPal. Hier zijn zeer aantrekkelijk. Ze bieden een snelle en eenvoudige manier om creditcardbetalingen te accepteren en kunnen worden gebruikt met smartphones of tablets via een mobiele data- of Wi-Fi-verbinding. Hoewel de huidige PCI DSS-vereisten (versie 2.0) niet specifiek betrekking hebben op lezers van mobiele kaarten, moeten bedrijven ervoor zorgen dat deze oplossingen voldoen aan de PCI-norm.

De PCI heeft beveiligingsrichtlijnen gepubliceerd voor het beveiligen van mobiele betalingsoplossingen die u gebruikt met uw smartphones of tablets. In principe moet u ervoor zorgen dat de mobiele apparaten fysiek en digitaal worden beveiligd tegen diefstal, ongeautoriseerd gebruik, malware en hacking. Jailbreak of root je apparaat niet of schakel andere functies in die het apparaat onveilig kunnen maken, zoals USB Debugging op Android-apparaten. Installeer een antivirus-app en download apps alleen van vertrouwde bronnen zoals de officiële app store. En onthoud dat als de mobiele apparaten onder de controle van het bedrijf zijn verbonden met een Wi-Fi-verbinding tijdens het gebruik van de kaartlezer, het netwerk moet voldoen aan PCI.