पैसा बचाओ, PCI अनुपालन को सरल बनाकर जोखिम कम करो

Anonim

क्या आप अपने व्यवसाय में क्रेडिट या डेबिट भुगतान स्वीकार करते हैं? यदि हां, तो संभावना है कि आपको भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (PCI DSS) का अनुपालन करने की आवश्यकता है।

PCI DSS दुनिया भर के उन संगठनों के लिए न्यूनतम डेटा सुरक्षा उपायों की स्थापना करता है जो किसी भी प्रमुख कार्ड ब्रांडों से कार्डधारक की जानकारी रखते हैं, प्रक्रिया करते हैं या एक्सचेंज करते हैं। मानकों की समीक्षा हर दो साल में की जाती है, और हाल ही में अक्टूबर 2010 में संशोधित किए गए थे।

$config[code] not found

नेशनल रिटेल फेडरेशन और फर्स्ट डेटा के एक अध्ययन के अनुसार, छोटे और मध्यम आकार के व्यापार उत्तरदाताओं के 86 प्रतिशत ने कहा कि वे ग्राहक कार्ड की जानकारी को सुरक्षित रखने के बारे में परवाह करते हैं और महसूस करते हैं कि कार्ड डेटा सुरक्षा उनके व्यवसाय के लिए महत्वपूर्ण है। लेकिन अधिकांश (66 प्रतिशत) पीसीआई डीएसएस के बारे में जानते हैं, केवल 49 प्रतिशत ने सर्वेक्षण के समय एक आवश्यक आत्म-मूल्यांकन पूरा किया था।

कार्डधारक डेटा की रक्षा करना छोटे व्यवसाय मालिकों को महंगा और थोड़ा भारी लग सकता है, जिनमें से अधिकांश पहले से ही कई टोपी पहनते हैं। हालांकि, एक उल्लंघन की वित्तीय और प्रतिष्ठित लागत महत्वपूर्ण हो सकती है - कुछ मामलों में आपके व्यवसाय को पूरी तरह से खतरे में डालना।

लेकिन कहां से शुरू करें? उम्मीद है कि आप पहले से ही कार्डधारक की जानकारी तक भौतिक पहुँच को सीमित कर देंगे और एंटी-वायरस सॉफ़्टवेयर को अपडेट रखेंगे। यहां अतिरिक्त तरीके हैं जिनसे आप अनुपालन लागतों का प्रबंधन करते हुए डेटा सुरक्षा में काफी वृद्धि कर सकते हैं:

संवेदनशील डेटा एन्क्रिप्ट करें संभवतः सबसे महत्वपूर्ण उपाय जो कार्डधारक की सुरक्षा के लिए किसी व्यवसाय को ले सकता है, वह यह है कि कार्ड के विक्रय के तुरंत बाद कार्ड डेटा को एन्क्रिप्ट किया जाए। यह जानकारी एन्क्रिप्टेड स्थिति में रहना चाहिए, जबकि यह भुगतान प्रोसेसर को प्रेषित किया जाता है।

इस चरण का मतलब है कि लेन-देन को फ्रेम रिले, डायल-अप या इंटरनेट कनेक्शन में सादे पाठ में कभी भी प्रसारित नहीं किया जाता है, जहां धोखेबाजों द्वारा अवरोधन के लिए संभावित मौजूद है। यदि डेटा एन्क्रिप्ट होने के बाद बंद हो जाता है, तो यह वास्तव में चोरों के लिए बेकार है।

अपने "सीडीई" को कम करें हर कंप्यूटर सिस्टम, फाइलिंग कैबिनेट और एप्लिकेशन जो संवेदनशील कार्ड डेटा का उपयोग करता है या संग्रहीत करता है, जिसमें एन्क्रिप्टेड डेटा शामिल है, समग्र कार्डधारक डेटा वातावरण (सीडीई) का हिस्सा है और पीसीआई डीएसएस अनुपालन के दायरे में है। दूसरे शब्दों में, आपके पास जितने अधिक स्थान हैं, उतने ही स्थानों पर आपको सुरक्षा की चिंता करने की आवश्यकता है।

सीमा - और यहां तक ​​कि सिकुड़ते हैं - कार्डधारक डेटा के उपयोग को केवल उन अनुप्रयोगों तक ही सीमित कर देता है, जो सीधे भुगतान से संबंधित हैं (जैसे, लेन-देन प्रमाणीकरण, दैनिक निपटान और शुल्क-वापसी)।

टोकन लेना टोकनकरण एन्क्रिप्शन के लिए एक "स्तरित" पूरक है। कार्डधारक डेटा को प्राधिकरण के बाद एक केंद्रीकृत और अत्यधिक सुरक्षित सर्वर (वॉल्ट) पर भेजा जाता है, और एक यादृच्छिक अद्वितीय संख्या (टोकन) उत्पन्न होती है और जहां भी कार्डधारक डेटा सामान्य रूप से उपयोग किया जाएगा उपयोग के लिए व्यापार के सिस्टम में वापस आ जाता है।

टोकन कार्ड के लिए विशिष्ट है और इसका उपयोग अभी भी रिटर्न को संसाधित करने, खर्च करने की आदतों और अन्य व्यावसायिक कार्यों को ट्रैक करने के लिए किया जा सकता है, लेकिन धोखेबाजों के लिए संख्या का स्वयं कोई मूल्य नहीं है। यह संभावित रूप से संभावित डेटा उल्लंघन के प्रभाव को कम कर सकता है।

टोकनेशन सीडीई के दायरे को कम करने में भी मदद कर सकता है क्योंकि कार्डधारक का कोई डेटा मौजूद नहीं है। व्यवसाय जो कार्डधारक डेटा को अपने सभी उद्यम अनुप्रयोगों में टोकन के साथ बदलते हैं, वे अपने सीडीई के दायरे को काफी कम कर सकते हैं, और बाद में पीसीआई डीएसएस अनुपालन और वार्षिक आकलन / त्रैमासिक स्कैन के दायरे और लागत को कम कर सकते हैं।

थर्ड पार्टी के साथ काम करें पीसीआई अनुपालन के लिए पर्यावरण के विषय को सिकोड़ने का एक और तरीका तीसरे पक्ष के सेवा प्रदाता को कार्ड डेटा संग्रहीत करने के लिए जिम्मेदारी (और दायित्व) सौंपना है। उदाहरण के लिए, एक व्यवसाय प्राधिकरण के लिए भुगतान प्रोसेसर को एन्क्रिप्टेड कार्ड डेटा भेज सकता है, और जब अधिकृत प्रतिक्रिया वापस आ जाती है, तो एक टोकन नंबर भी व्यवसाय को भेजा जाता है।

यह दृष्टिकोण एन्क्रिप्शन और टोकेनाइजेशन को छोटा करता है, जबकि किसी व्यवसाय के सीडीई को सबसे कम संभव फुटप्रिंट को सिकोड़ता है: पीओएस सिस्टम जो लाइव, पूर्व-प्राधिकरण कार्ड डेटा रखता है।

अपना हाथ बढ़ाएं व्यवसायों के पास अपने ग्राहकों के डेटा की सुरक्षा करने की ज़िम्मेदारी है, लेकिन आपको यह अकेले नहीं करना है। समाधान और विशेषज्ञों के बारे में अपने भुगतान प्रदाता से बात करें जो आपके व्यवसाय को प्राप्त करने और उसके अनुरूप रहने में मदद कर सकते हैं। याद रखें, पीसीआई डीएसएस एक न्यूनतम मानक है, और सही साथी (ओं) को खोजने से आपको अपने ग्राहकों को सुरक्षित रखने के तरीके के बारे में स्मार्ट निर्णय लेने में मदद मिल सकती है - और संभवतः आपके व्यवसाय को।

1