Если твой бизнес принимает кредитные карты, есть новые инструкции безопасности, которые требуют твоего внимания. Крайний срок для обязательных изменений версии 3.0 Payment Card Industry Data Security Standards (PCI DSS) 30 июня, и это не просто обязанность твоего продавца остаться послушным.
Хотя большинство процессоров кредитной карты и системных поставщиков торговой точки (POS) уже предприняли шаги, чтобы обратиться к этим изменениям, компании и продавцы должны также гарантировать соблюдение избежать здоровенных сборов.
Как малый бизнес, однако, легко чувствовать себя разбитым этими изменениями. Первый шаг должен говорить с твоим продавцом о новых инструкциях, как они помогают тебе оставаться послушным и если есть что-нибудь, что должно быть сделано на твоем конце. Кроме того, есть несколько деловых вопросов, которые ты можешь взять, чтобы удостовериться, что твой бизнес на правильном пути. [Принимая Кредитные карты? Соблюдение PCI Беспокойство о Предприятиях малого бизнеса]
Чтобы помочь компаниям оставаться послушными, Дон Брукс, старший инженер по технике безопасности в Trustwave, компании служб безопасности, предложил следующие советы о том, как компании могут встретить стандарты PCI 3.0 — и что произойдет с компаниями, если они не сделают.
"Начинаясь 30 июня, под PCI DSS 3.0 и 3.1, любой бизнес, который хранит, обрабатывает или передает данные о платежной карточке и сторонних поставщиков услуг, которые работают с компаниями, должен будет внести следующие изменения", сказал Брукс.
- Удостоверься, что у тебя есть дополнительная защита для систем POS в магазине. Компании должны вести список устройств POS и периодически осматривать их для вмешательства или замены. Компании должны также обучить сотрудников определять любые красные флаги подозрительного поведения и сообщать о вмешательстве или замене устройств. Преступники пытаются украсть данные держателя карты, крадя и/или управляя читающими карту устройствами и терминалами. Такие воры также пытаются добавить "скользящие" компоненты к за пределами устройств, которые разработаны, чтобы захватить детали платежной карточки, прежде чем они даже войдут в устройство. Новое требование помогает компаниям сигнализировать устройство POS, если оно нарушено, и определи, какие меры принять так, чтобы любое повреждение было минимизировано.
- Выполни проникновение, проверяющее основанный на промышленных стандартах. Компании должны провести проникновение, проверяющее, который покрывает весь периметр окружающей среды данных карты и критические системы, такие как пути и черные ходы, в которых неавторизованные пользователи могут получить доступ к системам. Компании должны также утвердить любую сегментацию и средства управления сокращением объема. Стандарт также определяет то, что должны включать прикладной уровень и тесты сетевого слоя. Компании должны также сообщить о любых слабых местах угрозы, которые они испытали за прошлые 12 месяцев и объясняют, как они восстановят слабые места, раскрытые от тестов проникновения. Компании должны также проверить заверенные и незаверенные области своих заявлений.
- Проверка, что сломанная идентификация и управление сессией обращены. Компании должны исследовать политику разработки программного обеспечения и процедуры, и взять интервью у ответственных сотрудников, чтобы проверить, что сломанная идентификация и управление сессией обращены через кодирование методов. Это включает символы сессии ослабления (например, печенье) как безопасные, не выставляющие ID сессии в URL и слияние соответствующих перерывов и вращения ID сессии после успешного логина. Это требование помогает препятствовать тому, чтобы лишенные полномочий люди ставили под угрозу законные верительные грамоты счета, ключи или символы сессии, которые иначе позволили бы злоумышленнику принять личность зарегистрированного пользователя.
В то время как эти шаги могут казаться чрезмерно техническими, особенно для малого бизнеса, обсуждение их с твоим продавцом может помочь ослаблять твои заботы. Кроме того, сторонние поставщики услуг должны признать в письменной форме, что они также ответственны за безопасность данных держателя карты, сказал Брукс.
Штрафы PCI 3.0 несоблюдения
Компании, которые не соответствуют новым стандартам, могли столкнуться со всеми видами огромных штрафов и от регуляторов безопасности и от брендов карты.
"Начальный штраф, как правило, между 100,000$ к диапазону 500,000$", сказал Брукс. "Продавцы, которые обрабатывают больше чем 6 миллионов сделок данных платежной карточки ежегодно, могли сталкиваться с 50,000$ к 100,000$ в дополнительных расходах".
Факторы как размер бизнеса, история предыдущих нарушений правил безопасности и прошлого несоблюдения могут также затронуть эти суммы, добавил Брукс. Могут быть другие сборы сверху этих штрафов, таких как сбор переоформления в размере 50$ за каждую поставившую под угрозу карту, кредит в размере 2$, контролирующий за клиента и штраф в размере 250,000$ от брендов карты, если нарушение затрагивает больше чем 10,000 карт.
Для получения дополнительной информации о PCI 3.0, резюме PCI's посещения изменений.