Accettare le carte di credito? Conformità PCI una preoccupazione per le piccole imprese
Le recenti violazioni nei confronti dei principali rivenditori hanno messo sotto i riflettori le normative del settore delle carte di pagamento (PCI). Tuttavia, non solo le grandi aziende devono preoccuparsi di aderire a queste normative. Le regole si applicano a tutte le aziende che fanno affidamento su carte di credito e di debito per le transazioni. Anche se la tua azienda impiega quattro persone e conduce una transazione con carta di credito al mese, deve essere conforme PCI.
Questo è più facile a dirsi che a farsi. Il Rapporto di conformità PCI di Verizon 2014 ha rilevato che la maggior parte delle aziende faticano a soddisfare lo standard PCI Data Security, l'insieme di norme create per mantenere sicuri e sicuri i dati delle carte di credito e di debito. Secondo Computerworld, oltre l'82% delle aziende era conforme a circa 8 su 10 di questi requisiti al momento delle valutazioni annuali e aveva bisogno di diversi mesi per colmare le lacune. Inoltre, solo l'11,1% delle aziende mantiene il proprio stato di conformità tra le valutazioni.
Essere PCI compatibile non è negoziabile se si accettano carte di credito e debito, ma la preparazione per un audit PCI e la garanzia che la propria azienda soddisfi gli standard di conformità può essere scoraggiante. Jeff VanSickel, consulente senior presso la società di consulenza sulla conformità IT SystemExperts, ha fornito alcuni suggerimenti per preparare una valutazione PCI e per mantenere i vostri standard a livelli di sicurezza in ogni momento.
1. Identificare tutti i dati aziendali e client, inclusi i dati di qualsiasi titolare di carta, la sua sensibilità e criticità. La definizione corretta dell'ambito di valutazione PCI è probabilmente la parte più difficile e importante di qualsiasi programma di conformità PCI, ha affermato VanSickel. Un ambito troppo ristretto può mettere a repentaglio i dati dei titolari di carta, mentre un ambito troppo ampio può aggiungere costi e sforzi immensi e inutili a un programma di conformità PCI.
2 . Comprendere i confini dell'ambiente dei dati dei titolari di carta e tutti i dati che fluiscono dentro e fuori di esso. Qualsiasi sistema che si connette all'ambiente dei dati di titolari di carta è in termini di conformità e, pertanto, deve soddisfare i requisiti PCI. L'ambiente dei dati dei titolari di carta comprende tutti i processi e la tecnologia, nonché le persone che archiviano, elaborano o trasmettono dati di titolari di carta o dati di autenticazione dei clienti, nonché tutti i componenti di sistema connessi e qualsiasi componente di virtualizzazione, come i server.
Nota dell'Editore: Considerando un servizio di elaborazione delle carte di credito per la tua azienda? Se stai cercando informazioni che ti aiutino a scegliere quello giusto per te, usa il questionario qui sotto per ottenere gratuitamente informazioni da vari venditori.
3. Stabilire controlli operativi per proteggere la riservatezza e l'integrità dei dati di titolari di carta. I dati dei titolari di carta devono essere protetti ovunque siano importati, elaborati, archiviati e trasmessi. Deve quindi essere smaltito correttamente alla fine della sua vita.
"I backup devono anche preservare la riservatezza e l'integrità dei dati dei titolari di carta", ha aggiunto VanSickel. "Inoltre, tutti i supporti devono essere smaltiti correttamente per garantire la continua riservatezza dei dati. Assicurati di includere non solo i dischi rigidi utilizzati dai sistemi informatici di proprietà dell'azienda, ma anche i sistemi in leasing e lo spazio di archiviazione inclusi nelle moderne fotocopiatrici e stampanti. "
4. Avere un piano di risposta agli incidenti in atto. Quando si verifica un incidente, è importante avere un piano per tornare alle operazioni sicure il più rapidamente possibile. Questo piano di risposta agli incidenti dovrebbe definire i ruoli, le responsabilità, i requisiti di comunicazione e le strategie di contatto in caso di compromissione, compresa la notifica dei marchi di pagamento, dei consulenti legali e delle pubbliche relazioni. Ciò garantirà una gestione tempestiva ed efficace di tutte le situazioni compromesse.
"Idealmente, le aziende dovrebbero disporre di uno specialista in medicina legale certificato che possa raccogliere prove e testimoniare come testimone esperto, se necessario", ha detto VanSickel.
5. Spiegare e applicare le procedure di sicurezza. Non si può mai essere sicuri che i dipendenti comprendano le best practice sulla sicurezza e altri comportamenti che possono mettere a rischio la vostra azienda. Spetta a te assicurarti che tutti all'interno dell'azienda, dai dipendenti di livello inferiore agli specialisti IT alla direzione, vengano istruiti sulle procedure di sicurezza e sulle procedure di conformità PCI.
Nel momento in cui il tuo cliente consegna una carta di credito o di debito, diventare responsabile della conservazione sicura dei dati associati a tale carta. Sebbene i passaggi sopra indicati siano principalmente finalizzati alla preparazione di un audit PCI, forniranno anche una rete di sicurezza tra le valutazioni. Per ulteriori informazioni, visitare PCIComplianceGuide.org.
Quiz: stai prendendo le decisioni giuste per l'assunzione?
Avere un team di dipendenti con una serie diversificata di abilità e tipi di personalità è in realtà una componente chiave del successo, ma può essere facile rimanere intrappolati in la tua connessione con un candidato durante il processo di assunzione. E assumere impiegati che sono troppo simili a te può essere problematico a lungo termine.
Revisione cliente negativa? Trasforma in un'opportunità positiva
Non è mai incoraggiante ricevere recensioni negative da parte dei clienti, ma non necessariamente condanneranno la tua attività. Tutto dipende da come gestisci le recensioni che ricevi. "Rispondere alle recensioni negative aumenta la fiducia [del consumatore] nella tua attività e nel tuo marchio", ha affermato Phil Penton, CEO di Xcite Advertising.
Messaggi Popolari