您的客戶能否通過其安全的信用卡信息信任您？如果沒有，您的信譽(yù)和底線可能會受到打擊。每家接受客戶信用卡付款的公司都必須遵守支付卡行業(yè)和數(shù)據(jù)安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)通常縮寫為 PCI DSS，保護(hù)在線消費(fèi)者和電子商務(wù)服務(wù)提供商。閱讀新聞，很容易理解為什么 PCI 合規(guī)標(biāo)準(zhǔn)很重要。我們經(jīng)常聽到有關(guān)數(shù)據(jù)泄露的故事。Target、Uber 和 Equifax 等大公司也受到了影響。較小的公司也很脆弱。與客戶建立信任是每個企業(yè)的首要任務(wù)。 符合 PCI 標(biāo)準(zhǔn)的主機(jī) 應(yīng)該在您的安全清單的頂部。使用信用卡付款的客戶不想擔(dān)心身份被盜。你的工作是盡你所能將他們的風(fēng)險降到最低。

什么是 PCI 合規(guī)性？PCI 是什么意思？

讓我們談?wù)劄槭裁?PCI 標(biāo)準(zhǔn)很重要。PCI標(biāo)準(zhǔn)應(yīng)該確保兩件事。

• 現(xiàn)場安全存儲信用卡數(shù)據(jù)。 這種擔(dān)憂僅適用于存儲信用卡數(shù)據(jù)的公司。如果您不保存數(shù)據(jù)，則不必?fù)?dān)心安全漏洞。安全存儲應(yīng)包括虛擬安全和物理安全。
• 跨公共網(wǎng)絡(luò)的信用卡數(shù)據(jù)的安全傳輸。 任何時候數(shù)據(jù)都在轉(zhuǎn)換；它可能很脆弱。密碼、PIN 號碼和其他方法可以確保信息安全。

PCI 標(biāo)準(zhǔn)保護(hù)敏感的持卡人信息。無論數(shù)據(jù)是處于靜止?fàn)顟B(tài)還是在傳輸中，它們都適用，從而保護(hù)您的客戶免受破壞和身份盜用。

PCI 兼容標(biāo)準(zhǔn)如何工作？

如果您的公司接受、存儲或傳輸信用卡數(shù)據(jù)，您必須遵守 PCI 標(biāo)準(zhǔn)。但是，這些標(biāo)準(zhǔn)因您的情況而異。我們不會降低所有標(biāo)準(zhǔn)。不過，我們希望讓您了解 PCI 合規(guī)性的工作原理。您如何知道需要哪個級別的 PCI 安全性？以下是一些需要注意的事項：

• PCI 標(biāo)準(zhǔn)由 Visa、MasterCard、JCB International 和 American Express 等主要信用卡公司制定。他們的目的是保護(hù)持卡人。
• 沒有 PCI 認(rèn)證之類的東西。但是，您必須證明您的公司符合 PCI 標(biāo)準(zhǔn)。
• 您必須遵守的合規(guī)程度取決于您的信用卡交易的年度交易量。
• 遵守 PCI 標(biāo)準(zhǔn)并非沒有成本。每年可能要花費(fèi)您 1,000 到 50,000 美元。
• 如果您不符合 PCI 標(biāo)準(zhǔn)，將會受到處罰。

確定需要何種級別的 PCI 合規(guī)性是您的工作。然后，您將需要一份 PCI 合規(guī)性清單。請記住，合規(guī)性是一個持續(xù)存在的問題。您將需要不斷更新您的安全性以符合 PCI 標(biāo)準(zhǔn)——例如，新更新的 PCI-DSS 3.2 法規(guī)。

PCI 合規(guī)性指南中有什么內(nèi)容？

缺乏商家 PCI 合規(guī)性可能會使您的公司損失金錢和聲譽(yù)。擁有一份可供參考的清單可以幫助您完成所有必要的步驟以確保合規(guī)。您應(yīng)該使用 PCI DSS 審核清單 來確保您滿足每項要求。請記住，要求可能會根據(jù)您的交易量而變化。監(jiān)控您的交易并選擇正確的合規(guī)級別是您的工作。為了讓您更輕松，我們創(chuàng)建了 PCI 自我評估的簡短指南。在您完成此清單時，必須徹底徹底。跟蹤以確保您沒有錯過任何重要步驟。

1. 安裝和維護(hù)防火墻

為了滿足 PCI 標(biāo)準(zhǔn)，請安裝可靠的防火墻來保護(hù)您的 網(wǎng)絡(luò)安全。防火墻是保護(hù)持卡人數(shù)據(jù)的第一道防線，因為它有助于阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問。為了提高其效率，您應(yīng)該有一個明確的防火墻配置策略。在您的防火墻上運(yùn)行定期測試，并確保您的托管服務(wù)有一個到位。

2. 不要使用供應(yīng)商提供的默認(rèn)值

跟蹤密碼可能很麻煩。一些公司通過使用供應(yīng)商默認(rèn)值來偷工減料。符合 PCI 標(biāo)準(zhǔn)意味著分配唯一的密碼。您使用的每個密碼都應(yīng)遵守密碼最佳做法。包括小寫和大寫字母、數(shù)字和符號可確保密碼安全。使用默認(rèn)設(shè)置可以讓潛在的黑客輕松進(jìn)入您的系統(tǒng)。

3. 保護(hù)存儲的持卡人數(shù)據(jù)

通過 PCI 標(biāo)準(zhǔn)保護(hù)持卡人數(shù)據(jù)需要您考慮系統(tǒng)的漏洞。您需要設(shè)置電子和物理屏障。您的第一個忠誠度應(yīng)該是對信任您的客戶。安全措施可能包括：

• 強(qiáng)密碼策略
• 身份驗證協(xié)議
• 鎖定的服務(wù)器
• 帶鎖的儲物柜
• 根據(jù)需要的附加步驟

對現(xiàn)有措施進(jìn)行盤點(diǎn)可以幫助您發(fā)現(xiàn)問題。

4、持卡人信息加密傳輸

保護(hù)存儲的持卡人信息是遵守 PCI 標(biāo)準(zhǔn)的必要條件，但在傳輸過程中保護(hù)它同樣重要。如果您通過開放網(wǎng)絡(luò)發(fā)送客戶數(shù)據(jù)，則應(yīng)確保對其進(jìn)行加密。此步驟增加了一層保護(hù)以保護(hù)它免受黑客攻擊，因為如果沒有加密密鑰，他們將無法讀取它。PCI 合規(guī)性最佳實(shí)踐不建議存儲敏感數(shù)據(jù)。PINS、安全代碼和其他驗證信息應(yīng)在靜止和傳輸過程中得到充分保護(hù)和加密。

5. 使用和更新殺毒軟件

為保護(hù)持卡人信息并遵守 PCI 標(biāo)準(zhǔn)，您必須使用防病毒軟件。這似乎很明顯，但公司擁有過時的軟件并不少見。您的軟件應(yīng)該是可靠的并且來自具有良好記錄的公司。定期更新數(shù)據(jù)庫是您的工作。培訓(xùn)員工更新他們用于工作的所有設(shè)備上的數(shù)據(jù)庫，并確保您還在服務(wù)器上運(yùn)行定期掃描。

6. 開發(fā)和維護(hù)安全系統(tǒng)和應(yīng)用程序

許多公司同時使用專有和第三方系統(tǒng)和應(yīng)用程序。要遵守 PCI 標(biāo)準(zhǔn)，您需要確保所有系統(tǒng)和軟件都是安全的。使用第三方應(yīng)用程序有時是有益的，但需要謹(jǐn)慎。您必須確信他們在您的網(wǎng)絡(luò)上的存在不會危及您的數(shù)據(jù)。并非所有應(yīng)用程序都可以安全使用，因此在安裝任何新應(yīng)用程序之前要明智地選擇。

7. 限制對持卡人數(shù)據(jù)的訪問

作為企業(yè)主，您需要信任您的員工。沒有老板愿意相信他們的員工會粗心對待客戶數(shù)據(jù)。這是可以理解的，但您必須根據(jù)需要采取措施限制訪問。

根據(jù) PCI 標(biāo)準(zhǔn)，不需要訪問持卡人數(shù)據(jù)的人不應(yīng)該擁有它。您的大多數(shù)員工都不需要訪問權(quán)限。只有需要持卡人信息的人才能訪問它。采取這個簡單的步驟可以最大限度地降低內(nèi)部數(shù)據(jù)泄露的風(fēng)險。

8. 為所有用戶分配唯一 ID

限制對安全數(shù)據(jù)的訪問可減少內(nèi)部違規(guī)的機(jī)會。這并不意味著您不應(yīng)該跟蹤用戶活動和訪問。我們建議將此作為附加的安全措施，以遵守 PCI 標(biāo)準(zhǔn)。

為每個有權(quán)訪問您的系統(tǒng)的用戶分配一個唯一的 ID 是必不可少的。這個簡單的步驟可以幫助您跟蹤誰在訪問您的數(shù)據(jù)。當(dāng)每個用戶都有一個 ID 和密碼時，您可以監(jiān)控誰訪問了存儲的數(shù)據(jù)。讓員工知道他們的活動被觀察到可以增加額外的保護(hù)層。

9. 限制對持卡人數(shù)據(jù)的物理訪問

防止黑客以電子方式訪問持卡人數(shù)據(jù)至關(guān)重要，但這不是您應(yīng)該采取的唯一步驟。您必須確保只有需要物理訪問持卡人數(shù)據(jù)的授權(quán)人員才能擁有它。

此步驟適用于服務(wù)器和其他硬件以及紙質(zhì)記錄。如果您保留持卡人信息的任何印刷記錄，請將其存放在安全區(qū)域。應(yīng)限制進(jìn)入該地區(qū)。這些區(qū)域不得未上鎖或無人看管。

10. 跟蹤和監(jiān)控對持卡人數(shù)據(jù)的所有訪問

你想信任你的員工，但你不能承擔(dān)最好的假設(shè)。保護(hù)客戶數(shù)據(jù)必須是您的首要任務(wù)。如果您想保護(hù)持卡人信息，則必須有一個跟蹤和監(jiān)控系統(tǒng)。這樣，您就可以看到哪些員工訪問了 PCI 標(biāo)準(zhǔn)要求的安全數(shù)據(jù)。員工可能會對被監(jiān)控的想法感到憤怒。這是可以理解的，但這不會改變您對客戶的義務(wù)。建立一個監(jiān)控系統(tǒng)，然后定期審查。應(yīng)立即處理員工的任何異常或意外活動。

11. 測試安全系統(tǒng)和流程

安裝安全系統(tǒng)、防火墻、防病毒軟件和內(nèi)部安全是必不可少的。這些步驟對于保證客戶數(shù)據(jù)的安全至關(guān)重要，而對現(xiàn)有系統(tǒng)的持續(xù)測試也是如此。將這些測試視為消防演習(xí)。我們重點(diǎn)測試學(xué)校和辦公室的火災(zāi)警報和疏散方法。同樣，您應(yīng)該定期測試您的安全系統(tǒng)以確保它們正常工作。如果測試發(fā)現(xiàn)漏洞或漏洞，您必須立即解決。即使是最好的安全措施也可能失敗，所以不要誤以為你的安全措施是萬無一失的。

12. 編寫和執(zhí)行安全策略

我們 PCI DSS 清單的最后一步是編寫和實(shí)施全面的安全策略。即使有適當(dāng)?shù)谋Ｗo(hù)措施，您也必須進(jìn)行溝通并努力執(zhí)行您的政策。任何員工、第三方供應(yīng)商和客戶都應(yīng)該知道這一點(diǎn)。

讓人們知道您的政策可以同時做幾件事情。

• 它讓客戶知道您認(rèn)真對待他們的隱私并希望保護(hù)他們的數(shù)據(jù)。
• 它確保所有人員都了解保護(hù)持卡人數(shù)據(jù)的重要性。
• 它讓您的員工注意到您將監(jiān)控他們對安全信息的訪問。

您的書面安全政策應(yīng)包括您如何保護(hù)客戶數(shù)據(jù)的概述。它還應(yīng)說明員工的密碼和訪問要求。確保指定您在 BYOD 和移動設(shè)備上訪問數(shù)據(jù)的指南。應(yīng)讓所有重要人員了解 PCI 標(biāo)準(zhǔn)以及如何遵守這些標(biāo)準(zhǔn)。

始終驗證 PCI 合規(guī)性

與客戶保持信任的氛圍至關(guān)重要。事實(shí)上，缺乏信心會影響您企業(yè)的整體福祉。遵守 PCI 標(biāo)準(zhǔn)是激發(fā)客戶、潛在客戶和業(yè)務(wù)合作伙伴信任的關(guān)鍵。PCI 合規(guī)性清單上的項目應(yīng)與推薦的安全最佳實(shí)踐結(jié)合使用，以最大限度地提高您的數(shù)據(jù)保護(hù)策略。