Skip to main content

5 Mẹo để tuân thủ PCI dễ dàng

Việc tuân thủ PCI có vẻ giống như một nghệ thuật phức tạp nếu bạn là một thương gia nhỏ, nhưng bạn bỏ qua nó trước nguy hiểm của bạn. Việc tuân thủ các tiêu chuẩn bảo mật được phát triển bởi Hội đồng Tiêu chuẩn An ninh Công nghiệp Thẻ thanh toán (PCI) mang hình phạt từ 5.000 đến 100.000 đô la mỗi tháng.

Tiêu chuẩn Bảo mật Dữ liệu PCI (DSS) và nhiều tài liệu hỗ trợ khác có thể dễ dàng tải xuống từ trang web của hội đồng, nhưng đối với các doanh nghiệp nhỏ không có chuyên gia bảo mật CNTT, các yêu cầu có thể gây khó khăn. Tuy nhiên, có một số điều bạn có thể làm để giảm bớt quy trình tuân thủ và các biện pháp bảo mật mà nó đưa ra. Mặc dù tôi vẫn đề nghị thuê một Assessor Security Assessor (QSA), những lời khuyên này có thể hướng bạn đi đúng hướng.

Không lưu trữ bất kỳ dữ liệu nào của chủ thẻ

Để đơn giản hóa các biện pháp bảo mật cần thiết cho việc tuân thủ PCI, lưu hoặc lưu trữ bất kỳ dữ liệu chủ thẻ nào dưới dạng văn bản hoặc kỹ thuật số. Sử dụng đầu đọc thẻ, POS và / hoặc bộ xử lý thanh toán không giữ lại thông tin này trên hệ thống của bạn để bạn không phải lo lắng về việc bảo vệ và mã hóa dữ liệu đó. Kiểm tra với các nhà cung cấp thanh toán để biết chi tiết về các mẫu máy cụ thể của họ.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]

Không bao giờ lưu trữ thông tin xác thực của thẻ tín dụng. thanh toán hoặc các mục đích kinh doanh bắt buộc khác, hãy kiểm tra với bộ xử lý thanh toán của bạn để xem họ có cung cấp các tùy chọn cho phép bạn nhập và lưu trữ dữ liệu trên hệ thống của họ hay không. Nếu bạn phải tự lưu trữ dữ liệu, hãy nhớ rằng bạn sẽ phải tuân thủ nhiều biện pháp bảo mật hơn và bạn không bao giờ có thể lưu trữ thông tin xác thực nhạy cảm: toàn bộ dữ liệu dải từ, mã bảo mật hoặc mã PIN. Máy chủ web

Nếu bạn bán sản phẩm hoặc thực hiện thanh toán qua trang web của mình, hãy chọn gói ứng dụng Web tương thích với PCI và ứng dụng thương mại điện tử hoặc giỏ hàng. Một số công ty lưu trữ web công khai đăng chi tiết tuân thủ của họ trên trang web của họ, nhưng trong nhiều trường hợp, bạn sẽ phải hỏi bộ phận bán hàng hoặc bộ phận hỗ trợ. Đối với các ứng dụng thương mại điện tử và xe đẩy mua sắm, bạn có thể tham khảo Danh sách ứng dụng thanh toán được xác thực từ hội đồng PCI.

Bạn sẽ có cơ hội đạt được sự tuân thủ PCI cao hơn nếu bạn sử dụng các gói lưu trữ chia sẻ rẻ hơn do cách máy chủ được chia cho nhiều chủ sở hữu trang web. Nhưng bạn có thể thoát khỏi việc sử dụng một (thậm chí không tuân thủ) nếu bạn chọn giải pháp thanh toán được lưu trữ trong đó khách hàng được chuyển tiếp đến trang web tuân thủ để nhập chi tiết thẻ tín dụng của họ, chẳng hạn như PayPal Standard, 2Checkout hoặc Authorize. Mạng lưới. Và bạn có thể muốn xem xét giải pháp thanh toán được lưu trữ ngay cả khi gói lưu trữ web của bạn tuân thủ, để giảm các biện pháp bảo mật mà bạn phải thực hiện. Tuy nhiên, nếu bạn muốn tích hợp đầy đủ quy trình thanh toán trong trang web của mình, bạn có thể phải sử dụng máy chủ riêng hoặc máy chủ riêng ảo đắt tiền hơn, thường tuân thủ PCI.

Sử dụng thiết bị đầu cuối quay số thay cho thiết bị đầu cuối IP

Thiết bị đầu cuối thẻ tín dụng quay số kết nối với đường dây điện thoại của bạn và liên lạc với bộ xử lý thanh toán tương tự như cách modem 56K cũ được kết nối với Internet dial-up. Chúng chậm hơn các thiết bị đầu cuối dựa trên IP, nhưng chúng có thể làm giảm đáng kể Môi trường dữ liệu của chủ thẻ của bạn - các máy tính và các thành phần mà thông tin của chủ thẻ được lưu trữ, xử lý hoặc truyền - do đó giảm các biện pháp bảo mật mà bạn phải tuân theo. loại thiết bị đầu cuối thẻ tín dụng hoặc hệ thống POS bạn chọn, đảm bảo tuân thủ PCI, thông qua nhà cung cấp hoặc bằng cách kiểm tra Thiết bị bảo mật giao dịch PIN được chấp thuận và / hoặc Danh sách ứng dụng thanh toán được xác thực từ hội đồng PCI. Ngoài ra, hãy kiểm tra với các nhà cung cấp về cách thiết bị đầu cuối của họ hoạt động và tìm hiểu về những thiết bị đó dễ dàng tuân thủ.

Sử dụng mạng riêng để xử lý thanh toán

Nếu bạn sử dụng các thiết bị đầu cuối thẻ tín dụng dựa trên IP, có thể dễ dàng có một mạng hoàn toàn riêng biệt với kết nối Internet của riêng nó chỉ để xử lý thanh toán. Điều này có thể giảm bớt các biện pháp bảo mật mà bạn phải thực hiện trong quá trình thiết lập mạng ban đầu và những điều bạn phải tuân theo trong tương lai để tuân thủ PCI.

Trình đọc thẻ di động an toàn

Dành cho các doanh nghiệp nhỏ cung cấp dịch vụ tại chỗ, giải pháp đọc thẻ di động như Square, GoPayment hoặc PayPal Dưới đây là rất hấp dẫn. Họ cung cấp một cách nhanh chóng và dễ dàng để bắt đầu chấp nhận thanh toán bằng thẻ tín dụng và có thể được sử dụng với điện thoại thông minh hoặc máy tính bảng thông qua dữ liệu di động hoặc kết nối Wi-Fi. Mặc dù các yêu cầu PCI DSS hiện tại (phiên bản 2.0) không đặc biệt giải quyết các đầu đọc thẻ di động, các doanh nghiệp vẫn được yêu cầu để đảm bảo rằng các giải pháp này tuân thủ PCI.

PCI đã xuất bản các hướng dẫn bảo mật để đảm bảo các giải pháp thanh toán di động mà bạn sử dụng điện thoại thông minh hoặc máy tính bảng của bạn. Về cơ bản, bạn nên đảm bảo các thiết bị di động được giữ an toàn về thể chất và kỹ thuật số từ trộm cắp, sử dụng trái phép, phần mềm độc hại và hack. Không jailbreak hoặc root thiết bị của bạn hoặc kích hoạt các chức năng khác có thể làm cho thiết bị không an toàn, như USB Debugging trên thiết bị Android. Cài đặt ứng dụng chống vi-rút và chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy như cửa hàng ứng dụng chính thức. Và hãy nhớ nếu các thiết bị di động được kết nối với kết nối Wi-Fi dưới sự kiểm soát của doanh nghiệp trong khi sử dụng đầu đọc thẻ, mạng phải tuân thủ PCI.