Skip to main content

5 Suggerimenti per una facile conformità PCI

La conformità PCI può sembrare un'arte arcana se sei un piccolo commerciante, ma lo ignori a tuo rischio e pericolo. La mancata conformità agli standard di sicurezza sviluppati dal Consiglio per gli standard di sicurezza PCI (Payment Card Industry) comporta penali da $ 5000 a $ 100.000 al mese.

Gli standard PCI Data Security (DSS) e molti altri documenti di supporto possono essere facilmente scaricati dal sito web del comune, ma per le piccole imprese senza un professionista della sicurezza IT, i requisiti possono essere sconcertanti. Tuttavia, ci sono alcune cose che puoi fare per facilitare il processo di conformità e le misure di sicurezza che impone. Anche se suggerisco ancora di assumere un Qualified Security Assessor (QSA), questi suggerimenti possono indirizzarti nella giusta direzione.

Non archiviare i dati dei titolari di carta

Per semplificare notevolmente le misure di sicurezza richieste per la conformità PCI, non salvare o archiviare i dati di titolari di carta in forma scritta o digitale. Utilizza un lettore di schede, un POS e / o un processore di pagamento che non mantenga queste informazioni sui tuoi sistemi in modo da non doversi preoccupare di proteggere e crittografare tali dati. Verifica con i fornitori di pagamento per i dettagli sui loro particolari modelli.

[Ulteriori informazioni: Come rimuovere malware dal tuo PC Windows]

Non memorizzare mai le informazioni di autenticazione di una carta di credito.

Se è necessario mantenere i dati dei titolari di carta per il ripetersi fatturazione o altri scopi aziendali richiesti, verificare con il proprio processore di pagamento per vedere se offrono opzioni che consentono di inserire e memorizzare i dati sui loro sistemi. Se è necessario memorizzare i dati da soli, ricordare che è necessario seguire molte più misure di sicurezza e non è possibile memorizzare le informazioni di autenticazione sensibili: dati a banda magnetica completa, il codice di sicurezza o il PIN.

Scegliere un PCI conforme Host Web

Se vendi prodotti o esegui pagamenti tramite il tuo sito web, scegli un piano di hosting Web conforme PCI e un'applicazione di e-commerce o shopping cart. Alcune società di hosting Web pubblicano pubblicamente i loro dettagli di conformità sul loro sito Web, ma in molti casi dovrete chiedere al reparto vendite o supporto. Per le applicazioni di e-commerce e i carrelli della spesa, puoi fare riferimento all'elenco delle applicazioni di pagamento convalidate dal consiglio PCI.

Probabilmente avrai maggiori probabilità di raggiungere la conformità PCI se usi piani di hosting condiviso più economici a causa del modo in cui i server sono divisi tra più proprietari di siti web. Tuttavia, se si sceglie una soluzione di pagamento ospitata in cui i clienti vengono inoltrati a un sito conforme per inserire i dettagli della propria carta di credito, come PayPal Standard, 2Checkout o Autorizza, si può essere in grado di cavarsela usando uno (che è addirittura non conforme). Netto. E potresti considerare una soluzione di pagamento ospitata anche se il tuo piano di hosting Web è conforme, al fine di ridurre le misure di sicurezza che devi adottare. Tuttavia, se desideri integrare completamente la procedura di pagamento all'interno del tuo sito, potresti dover utilizzare un server virtuale privato o dedicato più costoso, che in genere è conforme allo standard PCI.

Utilizza terminali dial-up anziché terminali IP

I terminali della carta di credito dial-up si connettono alla linea telefonica e comunicano con il processore di pagamento in modo simile al modo in cui i vecchi modem 56K sono collegati a Internet dial-up. Sono più lenti dei terminali basati su IP, ma possono ridurre notevolmente l'ambiente dei dati dei titolari di carta, ovvero i computer e i componenti in cui le informazioni relative ai titolari di carta vengono memorizzate, elaborate o trasmesse, riducendo così le misure di sicurezza da seguire.

Indipendentemente tipo di terminale di carta di credito o sistema POS scelto, assicurarsi che sia conforme allo standard PCI, tramite il fornitore o controllando i dispositivi di sicurezza delle transazioni PIN approvati e / o l'elenco delle applicazioni di pagamento convalidate dal consiglio PCI. Controllate anche con i venditori su come funzionano i loro terminali e informatevi su quelli che facilitano la conformità.

Utilizzare una rete separata per l'elaborazione dei pagamenti

Se si utilizzano terminali di carte di credito basati su IP, potrebbe essere più semplice avere una rete completamente separata con la propria connessione Internet solo per l'elaborazione del pagamento. Ciò può facilitare le misure di sicurezza che devi adottare durante la configurazione iniziale della rete e quelle che devi seguire in futuro per mantenere la conformità PCI.

Lettori di carte mobili sicuri

Per le piccole imprese che forniscono servizi in loco, soluzioni di lettori di schede mobili come Square, GoPayment o PayPal Qui sono molto attraenti. Offrono un modo semplice e veloce per iniziare ad accettare pagamenti con carta di credito e possono essere utilizzati con smartphone o tablet tramite dati di cella o connessione Wi-Fi. Sebbene gli attuali requisiti PCI DSS (versione 2.0) non riguardino specificamente i lettori di schede mobili, le aziende devono comunque garantire che queste soluzioni siano conformi alla PCI.

Il PCI ha pubblicato le linee guida sulla sicurezza per proteggere le soluzioni di pagamento mobile utilizzate con i tuoi smartphone o tablet. Fondamentalmente è necessario assicurarsi che i dispositivi mobili siano protetti fisicamente e digitalmente da furti, uso non autorizzato, malware e hacking. Non eseguire il jailbreak o il root del dispositivo o abilitare altre funzioni che possono rendere il dispositivo non sicuro, come Debug USB su dispositivi Android. Installa un'app antivirus e scarica app solo da fonti attendibili come l'app store ufficiale. E ricorda che se i dispositivi mobili sono collegati a una connessione Wi-Fi sotto il controllo dell'azienda mentre si utilizza il lettore di schede, la rete deve essere conforme alla PCI.