最近针对主要零售商的违规行为使支付卡行业(PCI)法规成为人们关注的焦点。然而，并非只有大公司才需要遵守这些规定。这些规则适用于所有依赖信用卡和借记卡进行交易的企业。即使您的企业雇佣了四名员工，并且每月进行一次信用卡交易，它也必须符合PCI。

 

说起来容易做起来难。Verizon 2018年支付安全报告发现，大多数公司难以满足支付卡行业数据安全标准(PCI DSS)，只有52%的公司遵守该标准，低于2017年的55%。

 

“这不是一个好趋势，”威瑞森全球情报高级经理西斯克·范·奥斯滕(Ciske Van Oosten)在接受eWeek采访时表示。“我们知道，那些不遵守PCI-DSS的组织，就是那些被破坏的组织。”

 

什么是支付卡行业?

 

“支付卡行业”是指部署或使用信用卡和借记卡的行业的总称。这包括商业和零售业使用的销售点系统、自动取款机以及为货币交易发行任何类型的信用卡、借记卡或预付卡的机构。

 

2006年，主要的信用卡公司——Visa、万事达、美国运通和Discover，以及日本信贷局——联合成立了支付卡行业安全标准委员会(PCI SSC)，以解决和管理整个行业提高安全性的需求。这导致了支付卡行业数据安全标准的出台。

 

编者按:考虑为您的企业提供信用卡处理服务?如果您正在寻找帮助您选择适合您的信息，请使用下面的问卷从各种供应商那里免费获得信息。

 

每个接受信用卡和借记卡的公司都被要求遵循PCI DSS，无论交易量或业务规模(尽管PCI SSC确实为这里的小企业提供了帮助)。然而，根据12个月期间的签证交易量，有四个级别的合规。这些级别决定了组织必须采取哪些行动才能符合要求;事务越多，需要的操作越多。根据PCIComplianceGuide.org，以下是四个级别及其要求:

 

一级:任何商家，无论通过何种渠道，每年都要处理超过600万笔的签证交易。Visa自行决定的任何商户都应符合一级商户要求，以将签证系统的风险降至最低。

 

二级:任何商家，无论通过何种渠道，每年都要处理100万到600万笔签证交易。

 

三级:商户每年处理2万到100万笔Visa电子商务交易。

 

级别4:任何商户每年处理的Visa电子商务交易少于2万笔，而所有其他商户——无论接收渠道如何——每年处理的Visa交易都不超过100万笔。

 

PCI DSS的12项要求

 

PCI SCC提供了满足PCI DSS的12项要求:

 

安装并维护防火墙配置以保护持卡人数据。

不要对系统密码和其他安全参数使用供应商提供的默认值。

 

保护已储存的持卡人资料。

 

透过开放的公共网络加密传送持卡人资料。

 

使用并定期更新杀毒软件或程序。

 

开发和维护安全的系统和应用程序。

 

根据业务需要限制对持卡人数据的访问。

 

为每个访问计算机的人分配一个惟一的ID。

 

限制对持卡人数据的物理访问。

 

跟踪和监控所有对网络资源和持卡人数据的访问。

 

定期测试安全系统和流程。

 

维护员工和承包商的信息安全政策。

 

为什么合规问题

 

消费者比以往任何时候都更关心安全。由于备受瞩目的数据泄露事件，杏耀下载其中许多都是通过零售和服务行业的信用卡和借记卡失窃而发生的，消费者希望知道自己在安全运营，不会从信用卡公司那里听到有问题的收费。消费者将远离遭受数据泄露的企业， 杏耀娱乐好不好 ，而一次数据泄露的代价可能非常高昂，最终可能导致小企业永远倒闭。PCI遵从性并不保证不会发生数据泄漏，但是它增加了安全措施来提高安全性。

 

如果一家企业被发现违规，每月可能被罚款5000美元至10万美元不等。如果不遵守正在进行，商户可能被剥夺支付处理服务。正在寻找信用卡处理服务吗?看看我们的评论和最佳选择。

 

如何保持顺从

 

如果您接受信用卡和借记卡，PCI遵从性是不可协商的，但是准备PCI审计并确保您的公司符合遵从性标准可能是令人生畏的。Jeff Vansickel是IT法规遵循咨询公司SystemExperts的高级顾问，他提供了一些准备PCI评估的技巧，使您的标准始终处于安全级别:

 

识别所有业务和客户数据，包括任何持卡人数据，其敏感性和重要性。Vansickel说，正确定义评估范围可能是任何PCI依从性计划中最困难和最重要的部分。过于狭窄的范围可能会危害持卡人数据，而过于广泛的范围可能会给PCI遵从性程序增加巨大且不必要的成本和工作。

 

了解持卡人数据环境的边界以及所有进出数据的边界。任何连接到持卡人数据环境的系统都在遵从性范围内，因此必须满足PCI要求。持卡人数据环境包括所有进程、技术和存储、处理或传输客户持卡人数据或身份验证数据的人员，以及所有连接的系统组件和任何虚拟化组件(如服务器)。

 

建立操作控制以保护持卡人数据的机密性和完整性。持卡人的资料无论在何处输入、处理、储存及传送，均应受保护。在使用寿命结束时也必须妥善处理。“备份还必须保护持卡人数据的机密性和完整性，”Vansickel说。“此外，所有媒体必须妥善处理，以确保资料的持续保密。确保不仅包括公司拥有的计算机系统使用的硬盘，还包括租用的系统以及现代复印机和打印机中包含的存储空间。”

 

制定事故应对计划。当发生安全事件时，重要的是要制定计划，尽快返回安全操作。该计划应定义角色、责任、沟通要求和在出现妥协时的联系策略，包括通知支付品牌、法律顾问和公共关系。这将确保及时有效地处理所有受影响的情况。Vansickel说:“理想情况下，公司应该有一名经过认证的鉴证专家，负责聘请他来收集证据，并在必要时作为专家证人出庭作证。”

 

解释并执行安全程序。您永远无法确保员工理解可能将您的业务置于风险中的最佳安全实践和行为。由您来确保公司内的每个人，从低层员工到It专家再到管理层，杏耀软件都接受过安全程序和PCI遵从程序方面的教育。