您的客戶能否通過(guò)其安全的信用卡信息信任您？如果沒(méi)有，您的信譽(yù)和底線可能會(huì)受到打擊。每家接受客戶信用卡付款的公司都必須遵守支付卡行業(yè)和數(shù)據(jù)安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)通?？s寫(xiě)為 PCI DSS，保護(hù)在線消費(fèi)者和電子商務(wù)服務(wù)提供商。閱讀新聞，很容易理解為什么 PCI 合規(guī)標(biāo)準(zhǔn)很重要。我們經(jīng)常聽(tīng)到有關(guān)數(shù)據(jù)泄露的故事。Target、Uber 和 Equifax 等大公司也受到了影響。較小的公司也很脆弱。與客戶建立信任是每個(gè)企業(yè)的首要任務(wù)。 符合 PCI 標(biāo)準(zhǔn)的主機(jī) 應(yīng)該在您的安全清單的頂部。使用信用卡付款的客戶不想擔(dān)心身份被盜。你的工作是盡你所能將他們的風(fēng)險(xiǎn)降到最低。

什么是 PCI 合規(guī)性？PCI 是什么意思？

讓我們談?wù)劄槭裁?PCI 標(biāo)準(zhǔn)很重要。PCI標(biāo)準(zhǔn)應(yīng)該確保兩件事。

• 現(xiàn)場(chǎng)安全存儲(chǔ)信用卡數(shù)據(jù)。 這種擔(dān)憂僅適用于存儲(chǔ)信用卡數(shù)據(jù)的公司。如果您不保存數(shù)據(jù)，則不必?fù)?dān)心安全漏洞。安全存儲(chǔ)應(yīng)包括虛擬安全和物理安全。
• 跨公共網(wǎng)絡(luò)的信用卡數(shù)據(jù)的安全傳輸。 任何時(shí)候數(shù)據(jù)都在轉(zhuǎn)換；它可能很脆弱。密碼、PIN 號(hào)碼和其他方法可以確保信息安全。

PCI 標(biāo)準(zhǔn)保護(hù)敏感的持卡人信息。無(wú)論數(shù)據(jù)是處于靜止?fàn)顟B(tài)還是在傳輸中，它們都適用，從而保護(hù)您的客戶免受破壞和身份盜用。

PCI 兼容標(biāo)準(zhǔn)如何工作？

如果您的公司接受、存儲(chǔ)或傳輸信用卡數(shù)據(jù)，您必須遵守 PCI 標(biāo)準(zhǔn)。但是，這些標(biāo)準(zhǔn)因您的情況而異。我們不會(huì)降低所有標(biāo)準(zhǔn)。不過(guò)，我們希望讓您了解 PCI 合規(guī)性的工作原理。您如何知道需要哪個(gè)級(jí)別的 PCI 安全性？以下是一些需要注意的事項(xiàng)：

• PCI 標(biāo)準(zhǔn)由 Visa、MasterCard、JCB International 和 American Express 等主要信用卡公司制定。他們的目的是保護(hù)持卡人。
• 沒(méi)有 PCI 認(rèn)證之類(lèi)的東西。但是，您必須證明您的公司符合 PCI 標(biāo)準(zhǔn)。
• 您必須遵守的合規(guī)程度取決于您的信用卡交易的年度交易量。
• 遵守 PCI 標(biāo)準(zhǔn)并非沒(méi)有成本。每年可能要花費(fèi)您 1,000 到 50,000 美元。
• 如果您不符合 PCI 標(biāo)準(zhǔn)，將會(huì)受到處罰。

確定需要何種級(jí)別的 PCI 合規(guī)性是您的工作。然后，您將需要一份 PCI 合規(guī)性清單。請(qǐng)記住，合規(guī)性是一個(gè)持續(xù)存在的問(wèn)題。您將需要不斷更新您的安全性以符合 PCI 標(biāo)準(zhǔn)——例如，新更新的 PCI-DSS 3.2 法規(guī)。

PCI 合規(guī)性指南中有什么內(nèi)容？

缺乏商家 PCI 合規(guī)性可能會(huì)使您的公司損失金錢(qián)和聲譽(yù)。擁有一份可供參考的清單可以幫助您完成所有必要的步驟以確保合規(guī)。您應(yīng)該使用 PCI DSS 審核清單 來(lái)確保您滿足每項(xiàng)要求。請(qǐng)記住，要求可能會(huì)根據(jù)您的交易量而變化。監(jiān)控您的交易并選擇正確的合規(guī)級(jí)別是您的工作。為了讓您更輕松，我們創(chuàng)建了 PCI 自我評(píng)估的簡(jiǎn)短指南。在您完成此清單時(shí)，必須徹底徹底。跟蹤以確保您沒(méi)有錯(cuò)過(guò)任何重要步驟。

1. 安裝和維護(hù)防火墻

為了滿足 PCI 標(biāo)準(zhǔn)，請(qǐng)安裝可靠的防火墻來(lái)保護(hù)您的 網(wǎng)絡(luò)安全。防火墻是保護(hù)持卡人數(shù)據(jù)的第一道防線，因?yàn)樗兄谧柚刮唇?jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)。為了提高其效率，您應(yīng)該有一個(gè)明確的防火墻配置策略。在您的防火墻上運(yùn)行定期測(cè)試，并確保您的托管服務(wù)有一個(gè)到位。

2. 不要使用供應(yīng)商提供的默認(rèn)值

跟蹤密碼可能很麻煩。一些公司通過(guò)使用供應(yīng)商默認(rèn)值來(lái)偷工減料。符合 PCI 標(biāo)準(zhǔn)意味著分配唯一的密碼。您使用的每個(gè)密碼都應(yīng)遵守密碼最佳做法。包括小寫(xiě)和大寫(xiě)字母、數(shù)字和符號(hào)可確保密碼安全。使用默認(rèn)設(shè)置可以讓潛在的黑客輕松進(jìn)入您的系統(tǒng)。

3. 保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)

通過(guò) PCI 標(biāo)準(zhǔn)保護(hù)持卡人數(shù)據(jù)需要您考慮系統(tǒng)的漏洞。您需要設(shè)置電子和物理屏障。您的第一個(gè)忠誠(chéng)度應(yīng)該是對(duì)信任您的客戶。安全措施可能包括：

• 強(qiáng)密碼策略
• 身份驗(yàn)證協(xié)議
• 鎖定的服務(wù)器
• 帶鎖的儲(chǔ)物柜
• 根據(jù)需要的附加步驟

對(duì)現(xiàn)有措施進(jìn)行盤(pán)點(diǎn)可以幫助您發(fā)現(xiàn)問(wèn)題。

4、持卡人信息加密傳輸

保護(hù)存儲(chǔ)的持卡人信息是遵守 PCI 標(biāo)準(zhǔn)的必要條件，但在傳輸過(guò)程中保護(hù)它同樣重要。如果您通過(guò)開(kāi)放網(wǎng)絡(luò)發(fā)送客戶數(shù)據(jù)，則應(yīng)確保對(duì)其進(jìn)行加密。此步驟增加了一層保護(hù)以保護(hù)它免受黑客攻擊，因?yàn)槿绻麤](méi)有加密密鑰，他們將無(wú)法讀取它。PCI 合規(guī)性最佳實(shí)踐不建議存儲(chǔ)敏感數(shù)據(jù)。PINS、安全代碼和其他驗(yàn)證信息應(yīng)在靜止和傳輸過(guò)程中得到充分保護(hù)和加密。

5. 使用和更新殺毒軟件

為保護(hù)持卡人信息并遵守 PCI 標(biāo)準(zhǔn)，您必須使用防病毒軟件。這似乎很明顯，但公司擁有過(guò)時(shí)的軟件并不少見(jiàn)。您的軟件應(yīng)該是可靠的并且來(lái)自具有良好記錄的公司。定期更新數(shù)據(jù)庫(kù)是您的工作。培訓(xùn)員工更新他們用于工作的所有設(shè)備上的數(shù)據(jù)庫(kù)，并確保您還在服務(wù)器上運(yùn)行定期掃描。

6. 開(kāi)發(fā)和維護(hù)安全系統(tǒng)和應(yīng)用程序

許多公司同時(shí)使用專(zhuān)有和第三方系統(tǒng)和應(yīng)用程序。要遵守 PCI 標(biāo)準(zhǔn)，您需要確保所有系統(tǒng)和軟件都是安全的。使用第三方應(yīng)用程序有時(shí)是有益的，但需要謹(jǐn)慎。您必須確信他們?cè)谀木W(wǎng)絡(luò)上的存在不會(huì)危及您的數(shù)據(jù)。并非所有應(yīng)用程序都可以安全使用，因此在安裝任何新應(yīng)用程序之前要明智地選擇。

7. 限制對(duì)持卡人數(shù)據(jù)的訪問(wèn)

作為企業(yè)主，您需要信任您的員工。沒(méi)有老板愿意相信他們的員工會(huì)粗心對(duì)待客戶數(shù)據(jù)。這是可以理解的，但您必須根據(jù)需要采取措施限制訪問(wèn)。

根據(jù) PCI 標(biāo)準(zhǔn)，不需要訪問(wèn)持卡人數(shù)據(jù)的人不應(yīng)該擁有它。您的大多數(shù)員工都不需要訪問(wèn)權(quán)限。只有需要持卡人信息的人才能訪問(wèn)它。采取這個(gè)簡(jiǎn)單的步驟可以最大限度地降低內(nèi)部數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

8. 為所有用戶分配唯一 ID

限制對(duì)安全數(shù)據(jù)的訪問(wèn)可減少內(nèi)部違規(guī)的機(jī)會(huì)。這并不意味著您不應(yīng)該跟蹤用戶活動(dòng)和訪問(wèn)。我們建議將此作為附加的安全措施，以遵守 PCI 標(biāo)準(zhǔn)。

為每個(gè)有權(quán)訪問(wèn)您的系統(tǒng)的用戶分配一個(gè)唯一的 ID 是必不可少的。這個(gè)簡(jiǎn)單的步驟可以幫助您跟蹤誰(shuí)在訪問(wèn)您的數(shù)據(jù)。當(dāng)每個(gè)用戶都有一個(gè) ID 和密碼時(shí)，您可以監(jiān)控誰(shuí)訪問(wèn)了存儲(chǔ)的數(shù)據(jù)。讓員工知道他們的活動(dòng)被觀察到可以增加額外的保護(hù)層。

9. 限制對(duì)持卡人數(shù)據(jù)的物理訪問(wèn)

防止黑客以電子方式訪問(wèn)持卡人數(shù)據(jù)至關(guān)重要，但這不是您應(yīng)該采取的唯一步驟。您必須確保只有需要物理訪問(wèn)持卡人數(shù)據(jù)的授權(quán)人員才能擁有它。

此步驟適用于服務(wù)器和其他硬件以及紙質(zhì)記錄。如果您保留持卡人信息的任何印刷記錄，請(qǐng)將其存放在安全區(qū)域。應(yīng)限制進(jìn)入該地區(qū)。這些區(qū)域不得未上鎖或無(wú)人看管。

10. 跟蹤和監(jiān)控對(duì)持卡人數(shù)據(jù)的所有訪問(wèn)

你想信任你的員工，但你不能承擔(dān)最好的假設(shè)。保護(hù)客戶數(shù)據(jù)必須是您的首要任務(wù)。如果您想保護(hù)持卡人信息，則必須有一個(gè)跟蹤和監(jiān)控系統(tǒng)。這樣，您就可以看到哪些員工訪問(wèn)了 PCI 標(biāo)準(zhǔn)要求的安全數(shù)據(jù)。員工可能會(huì)對(duì)被監(jiān)控的想法感到憤怒。這是可以理解的，但這不會(huì)改變您對(duì)客戶的義務(wù)。建立一個(gè)監(jiān)控系統(tǒng)，然后定期審查。應(yīng)立即處理員工的任何異?；蛞馔饣顒?dòng)。

11. 測(cè)試安全系統(tǒng)和流程

安裝安全系統(tǒng)、防火墻、防病毒軟件和內(nèi)部安全是必不可少的。這些步驟對(duì)于保證客戶數(shù)據(jù)的安全至關(guān)重要，而對(duì)現(xiàn)有系統(tǒng)的持續(xù)測(cè)試也是如此。將這些測(cè)試視為消防演習(xí)。我們重點(diǎn)測(cè)試學(xué)校和辦公室的火災(zāi)警報(bào)和疏散方法。同樣，您應(yīng)該定期測(cè)試您的安全系統(tǒng)以確保它們正常工作。如果測(cè)試發(fā)現(xiàn)漏洞或漏洞，您必須立即解決。即使是最好的安全措施也可能失敗，所以不要誤以為你的安全措施是萬(wàn)無(wú)一失的。

12. 編寫(xiě)和執(zhí)行安全策略

我們 PCI DSS 清單的最后一步是編寫(xiě)和實(shí)施全面的安全策略。即使有適當(dāng)?shù)谋Ｗo(hù)措施，您也必須進(jìn)行溝通并努力執(zhí)行您的政策。任何員工、第三方供應(yīng)商和客戶都應(yīng)該知道這一點(diǎn)。

讓人們知道您的政策可以同時(shí)做幾件事情。

• 它讓客戶知道您認(rèn)真對(duì)待他們的隱私并希望保護(hù)他們的數(shù)據(jù)。
• 它確保所有人員都了解保護(hù)持卡人數(shù)據(jù)的重要性。
• 它讓您的員工注意到您將監(jiān)控他們對(duì)安全信息的訪問(wèn)。

您的書(shū)面安全政策應(yīng)包括您如何保護(hù)客戶數(shù)據(jù)的概述。它還應(yīng)說(shuō)明員工的密碼和訪問(wèn)要求。確保指定您在 BYOD 和移動(dòng)設(shè)備上訪問(wèn)數(shù)據(jù)的指南。應(yīng)讓所有重要人員了解 PCI 標(biāo)準(zhǔn)以及如何遵守這些標(biāo)準(zhǔn)。

始終驗(yàn)證 PCI 合規(guī)性

與客戶保持信任的氛圍至關(guān)重要。事實(shí)上，缺乏信心會(huì)影響您企業(yè)的整體福祉。遵守 PCI 標(biāo)準(zhǔn)是激發(fā)客戶、潛在客戶和業(yè)務(wù)合作伙伴信任的關(guān)鍵。PCI 合規(guī)性清單上的項(xiàng)目應(yīng)與推薦的安全最佳實(shí)踐結(jié)合使用，以最大限度地提高您的數(shù)據(jù)保護(hù)策略。