Como se tornar compatível com pci

PCI, muitas vezes chamado PCI DSS, representa padrão de segurança de dados do setor de cartões de pagamento. Em suma, a PCI é um conjunto de padrões da indústria usados ​​para medir a segurança de empresas que aceitam, processam, armazenam e transmita informações de cartão de crédito. Empresas que são compatíveis com PCI são menos prováveis ​​sofrem violações de dados que podem expor os clientes a identificar roubo. Se você tiver um ID do comerciante e aceitar cartões de crédito no seu negócio físico ou virtual, você está sujeito aos padrões do setor PCI DSS. O Conselho de Padrões de Segurança do PCI é um grupo independente de profissionais do setor que investigam questões de segurança PCI emergentes e criam os programas e padrões para manter a integridade do sistema de cartões de pagamento.

Passos

Parte 1 de 3:
Revendo o Basics PCI DSS
  1. Obter um trabalho como um caixa de bancos Etapa 1
1. Confirme seu nível de comerciante. O primeiro passo é discutir e verificar seu nível de comerciante com o banco ou a câmara que lida com suas transações com cartão de crédito. Os comerciantes são divididos em quatro categorias com base na transação do cartão Visa ao longo de 12 meses. Seu nível de comerciante determinará como os programas de conformidade com seus PCI devem ser.
  • Um comerciante de nível 1 processos mais de 6 milhões de transações de visto por ano ou é designado nível 1 pela empresa de visto.
  • Um comerciante de nível 2 aceita entre 1 e 6 milhões de transações de visto anualmente. Isso inclui em pessoa e online.
  • Um comerciante de nível 3 processará entre 20.000 e 1 milhão de transações de visto por ano.
  • Um comerciante de nível 4, considerado um pequeno comerciante, leva em menos de 20.000 pagamentos de visto por ano.
  • Os requisitos do PCI DSS também se aplicam a empresas que aceitam outros cartões de crédito, como American Express, MasterCard e Descubra. O visto é usado como referência para estabelecer níveis comerciais.
  • Salvar dinheiro em baterias Passo 3
    2. Entenda as penalidades para as violações do PCI DSS. Negócios que não são compatíveis com PCI DSS podem estar sujeitos a multas, sanções e perda de privilégios da câmara que processam pagamentos com cartão de crédito. Se a falha do PCI resultar em uma perda real de dados, a empresa poderá enfrentar multas, taxas superiores e outras sanções de bancos e processadores de cartão de crédito.
  • As empresas que não são compatíveis com PCI podem estar sujeitas a ações judiciais e processos governamentais por não proteger os dados do cliente.
  • Apresentar-se e negócios Powerfully Passo 4
    3. Familiarize-se com as melhores práticas de segurança. O primeiro padrão PCI DSS, implementado em setembro de 2009 (DSS V 1.2) introduziu os 12 requisitos que um comerciante deve examinar para ser compatível com PCI. Dependendo do seu nível de comerciante, a quantidade de tecnologia, treinamento e especialização para implementar os padrões variam. Por exemplo, uma rede que lida com 2 milhões de transações será mais sofisticada do que uma rede que processa 2000.
  • PCI 3.1 entrou em vigor em junho de 2015 e lida com novos padrões em tecnologia e aborda vulnerabilidades em programas comuns de criptografia.
  • As melhores práticas de conformidade com PCI se enquadram em cinco categorias gerais: rede segura, proteção de dados, gerenciamento de vulnerabilidades, controle de acesso, monitoramento e política de segurança. O Conselho PCI tem um questionário de autoavaliação para ajudar as pequenas empresas a determinar a conformidade com os padrões de segurança.
    • Parte 2 de 3:
    Implementando programas de conformidade PCI
    1. Imagem intitulada Build Trust em uma pequena empresa Passo 3
    1. Construir e manter uma rede segura. Para as empresas, isso significará desenvolver um relacionamento com um empreiteiro confiável. A menos que você seja um profissional de TI, você não deve instalar sua própria rede se ele armazenar dados do cliente. Até mesmo um sistema out-of-the-box pode ter vulnerabilidades se não for instalado e atualizado corretamente.
    • Mantenha seus firewalls atualizados e operacionais. Não deixe que os funcionários desativem os firewalls para qualquer finalidade.
    • Alterar senhas fornecidas pelo fornecedor imediatamente. Além disso, implementar um programa de senha para seus funcionários. As senhas devem ser alteradas regularmente em conformidade com as instruções do fornecedor. Por exemplo, as senhas devem ser combinações alfa-numéricas-características que não são palavras de dicionário. Se o seu fornecedor funcionar em seu sistema, você deve alterar todas as senhas quando voltar on-line.
  • Imagem intitulada Abrir uma conta bancária Passo 7
    2. Proteger a informação do titular do cartão. Se você processar manualmente cartões de crédito, os deslizamentos e recibos devem ser mantidos em arquivos bloqueados com acesso limitado. Se as informações do titular do cartão estiverem armazenadas em sua rede, ela deve ser criptografada e protegida por trás dos firewalls da empresa
  • Imagem intitulada Atualizar um Plano de Negócios Página 2
    3. Crie um programa de gerenciamento de vulnerabilidade. Seu sistema deve ser protegido com software antivírus apropriado. Você também deve ter um programa de empresa que proíbe adicionar software, como jogos, que possam comprometer o sistema.


  • Imagem intitulada Seja um analista de negócios no Top Management Etapa 3
    4. Implementar o controle de acesso. O acesso por senha ao seu sistema deve ser restrito. Cada funcionário só deve ter o acesso que ele precisa fazer o seu trabalho. Explique que isso protege seus funcionários e seus clientes. Se houver uma violação de dados, o acesso restrito diminuirá as possibilidades e ajudará a investigação.
  • Para sua rede, dê a cada usuário e cada terminal um número de identificação exclusivo. No caso de uma violação confirmada ou suspeita, seus profissionais de TI serão capazes de identificar rapidamente o ponto de entrada.
  • Seguros registros físicos que contenham dados de clientes e titulares. Use um sistema de chaves de cartão ou um bloqueio físico e tecla.
    • Parte 3 de 3:
    Testando e mantendo a conformidade do PCI
    1. Imagem intitulada Build Trust em um pequeno negócio Passo 1
    1. Monitorar e testar suas redes. Seu programa de segurança deve incluir varreduras e testes regulares para rastrear e monitorar o fluxo de dados do cliente através da sua rede. Seu profissional de TI ou fornecedor pode implementar testes quando o sistema estiver em baixo uso (por exemplo, tarde da noite nos fins de semana) e em tempo real quando o sistema está em uso.
    • Manter um log de resultados de testes. Discuta quanto tempo para manter registros de teste com seu banco e companhia de seguros.
  • Imagem intitulada Build Trust em uma pequena empresa Passo 6
    2. Desenvolva uma política de segurança da informação. Todas as etapas do seu programa PCI-Compliance devem ser documentadas em sua política de segurança. Este documento deve detalhar todas as etapas que sua empresa leva para proteger os dados do cliente. Para os comerciantes do nível 1 a 3, este programa pode ser executado para vários volumes e integrar o manual do empregado.
  • Nível 1 a 3 comerciantes provavelmente se contrairá com um profissional de segurança ou terá pessoal dedicado treinados nas complexidades de redação e manutenção da política de segurança da informação.
  • Um comerciante de nível 4 deve entrar em contato com a compensação do cartão de crédito para aconselhamento e assistência na criação da política de segurança. Se o processador não for fornecer um modelo de programa, então você deve considerar a contratação com um profissional de segurança para criar o documento. A menos que você seja um profissional de TI, é improvável que você seja suficientemente versado nos detalhes técnicos do seu sistema para criar uma política de segurança compatível com PCI. Depois de ser criado, ele só precisará ser atualizado quando sua rede é expandida ou atualizada. Seu empreiteiro de TI pode fornecer os documentos que você precisa para manter sua política de segurança atualizada.
  • A maior parte do seu programa de segurança será de natureza técnica, como na escolha do software de firewall e segurança, bem como os protocolos de teste. No entanto, você também deve incluir seções sobre o processo quando um funcionário deixa a empresa e as senhas são revogadas.
  • Desenvolva um processo para acompanhar as chaves e os teclados. As chaves mestras devem ser tão estritamente reguladas como senhas de alto nível.
  • Imagem intitulada Build Trust em uma pequena empresa Passo 4
    3. Avaliar, remediar e relatar sua conformidade do PCI. Uma vez que as 12 partes das melhores práticas PCI forem implementadas, você deve passar periodicamente pelo processo de revisão de três etapas do Conselho PCI para garantir que a conformidade seja mantida.
  • Inventário seus sistemas de TI e processos de negócios. Se alguma coisa mudou, atualize seus programas de segurança e planos de gerenciamento de vulnerabilidades.
  • Se você encontrar uma fraqueza em seu sistema, remedie o problema. Isso pode exigir novos equipamentos ou softwares, treinamento de usuários ou atualizar sua rede. Profissionais de TI devem implementar essas mudanças.
  • Mantenha registros de suas ações e envie relatórios de seus esforços de conformidade para suas empresas de banco e cartão de crédito. Seus relatórios, esforços e insights podem ajudar outra empresa a proteger os dados do cliente.

    • Avisos

    Os comerciantes do nível 4 devem discutir o cumprimento do PCI com o banco ou a compensação do cartão de crédito e seguir as recomendações.
  • Se você é um comerciante muito pequeno, como um negócio em casa, é improvável que você esteja armazenando dados de cartão em sua rede pessoal. No entanto, você ainda deve rever seus processos com o seu banco. O Conselho PCI possui treinamento e recursos on-line para ajudá-lo a evitar o roubo de dados do cliente.
    • Compartilhe na rede social:
    Semelhante