Это важный шаг для обеспечения безопасности информации ваших клиентов.
Резюме
Ищете решение для малого бизнеса для хранения данных карты клиента? Ваш торговый процессор может предложить услугу, которая соответствует вашим требованиям безопасности и бюджета.
Дорогой Робби,
Приятно видеть, что вы предпринимаете шаги для защиты данных кредитных карт своих клиентов. Взломы и взломы, совершенные в прошлом году с участием SolarWinds, Nintendo и Управления малого бизнеса США, являются хорошим напоминанием о том, насколько уязвимыми могут быть наши данные.
Многие владельцы малого бизнеса не понимают, что они небезопасно хранят данные клиентов. Исследование SecurityMetrics PANScan 2020 года показало, что 88% предприятий имеют незашифрованные номера основных учетных записей, хранящиеся в их сетях. Для этого есть много причин: сотрудники могут не знать политики хранения данных карты компании, платежные приложения могут быть неправильно настроены или приложения для обработки платежей, которые были недавно приобретены, могут иметь старые данные, хранящиеся в них.
Если вас беспокоит, что ваш бизнес небезопасно хранит данные клиентов, вы можете узнать об этом у одного из утвержденных поставщиков услуг сканирования уязвимостей, выявленных Советом по стандартам безопасности PCI.
Чтобы избежать взлома, постарайтесь сократить общий объем хранимых данных. Совет по стандартам безопасности PCI рекомендует мелким торговцам, предлагающим самовывоз у обочины, принимать заказы по телефону и вводить их непосредственно в защищенный терминал. Он также рекомендует продавцам никогда не хранить конфиденциальные данные о держателях карт на компьютерах или на бумаге.
Но в вашей отрасли вам действительно нужно где-то хранить некоторые данные. К счастью, вам не нужно долго искать решение. Похоже, вы используете какую-то частную службу для хранения данных. Если это так, прежде чем искать другую внешнюю услугу, я бы спросил у вашего продавца.
Многие из этих компаний предлагают свои собственные решения для хранения данных карт клиентов. Преимущество этого пути в том, что вы знаете, что решение будет хорошо работать с вашей торговой системой.
Даже если вы пойдете по этому маршруту, не думайте, что он безопасен. Спросите, выполняется ли шифрование вашего платежного терминала с помощью решения для шифрования точка-точка. Решение, которое использует ваш провайдер, должно быть в списке утвержденных продуктов и решений PCI SSC.
Отраслевые требования к хранению данных клиентов
Немного предыстории: каждый крупный бренд карт требует, чтобы продавцы, которым необходимо хранить номера карт клиентов, следовали Стандарту безопасности данных индустрии платежных карт (PCI DDS). Это структура, разработанная Советом по стандартам безопасности PCI, который отвечает за установление минимального набора требований для защиты данных держателей карт. Вы можете увидеть полный список стандартов здесь.
Согласно стандарту PCI DSS вы должны защищать данные держателей карт при хранении и шифровать их при передаче. Вы должны сделать номер учетной записи нечитаемым с помощью шифрования, токенизации, усечения, маскирования и хеширования. Вам также необходимо защитить криптографические ключи, которые вы используете для этого. Вы должны задокументировать политики безопасности и операционные процедуры, которые вы используете для защиты хранимых данных о держателях карт.
Единственный допустимый способ хранения этих данных - устройства с PIN-кодом и платежные приложения, сертифицированные Советом по стандартам безопасности индустрии платежных карт. В этом руководстве представлен четкий обзор требований, включая информацию о том, как обрабатывать данные с чип-карт.
Вам не нужно заниматься хранением данных в одиночку. Многие торговые процессоры предлагают услуги, основанные на технологиях шифрования и токенизации.
Что, если вы не используете традиционный торговый процессор и полагаетесь на такую услугу, как Square? Эти службы также могут предлагать свои собственные решения. Square, например, предлагает сервис под названием Card on File для безопасного хранения информации о карте. Спросите, какая компания обрабатывает ваши транзакции, какие решения предлагает эта компания, поскольку платежное пространство быстро меняется.
Конечно, все эти услуги будут стоить вам дополнительных денег. Но считайте это деньгами потраченными не зря. Безопасность данных - это область, в которой потенциальные последствия слишком высоки. У вас может возникнуть соблазн создать обходной путь, чтобы избежать времени на настройку, но это тот случай, когда самостоятельный подход может навредить вам.
Продавцы могут столкнуться с большими штрафами за небезопасное хранение данных клиентов. И становится еще хуже. Если бы вы столкнулись с утечкой данных и слухи распространились среди ваших клиентов, они могли бы больше не доверять вам данные своей кредитной карты.
Ознакомьтесь с требованиями к данным безопасности
Если вы не можете найти решение, которое вам нравится, и обнаруживаете, что существуют ситуации, в которых вы не можете эффективно работать, не сохраняя в файле бумажную копию данных кредитной карты клиентов, то убедитесь, что вы знакомы с требованиями Совета по стандартам безопасности PCI по ограничению физический доступ к данным.
Шаги непростые и требуют некоторой подготовительной работы. Скорее всего, это будет сложно для малого бизнеса, поэтому я рекомендую сделать все возможное, чтобы найти технологическое решение. Это избавит вас от неприятностей в долгосрочной перспективе.
Резюме
Ищете решение для малого бизнеса для хранения данных карты клиента? Ваш торговый процессор может предложить услугу, которая соответствует вашим требованиям безопасности и бюджета.
Дорогой Робби,
Приятно видеть, что вы предпринимаете шаги для защиты данных кредитных карт своих клиентов. Взломы и взломы, совершенные в прошлом году с участием SolarWinds, Nintendo и Управления малого бизнеса США, являются хорошим напоминанием о том, насколько уязвимыми могут быть наши данные.
Многие владельцы малого бизнеса не понимают, что они небезопасно хранят данные клиентов. Исследование SecurityMetrics PANScan 2020 года показало, что 88% предприятий имеют незашифрованные номера основных учетных записей, хранящиеся в их сетях. Для этого есть много причин: сотрудники могут не знать политики хранения данных карты компании, платежные приложения могут быть неправильно настроены или приложения для обработки платежей, которые были недавно приобретены, могут иметь старые данные, хранящиеся в них.
Если вас беспокоит, что ваш бизнес небезопасно хранит данные клиентов, вы можете узнать об этом у одного из утвержденных поставщиков услуг сканирования уязвимостей, выявленных Советом по стандартам безопасности PCI.
Чтобы избежать взлома, постарайтесь сократить общий объем хранимых данных. Совет по стандартам безопасности PCI рекомендует мелким торговцам, предлагающим самовывоз у обочины, принимать заказы по телефону и вводить их непосредственно в защищенный терминал. Он также рекомендует продавцам никогда не хранить конфиденциальные данные о держателях карт на компьютерах или на бумаге.
Но в вашей отрасли вам действительно нужно где-то хранить некоторые данные. К счастью, вам не нужно долго искать решение. Похоже, вы используете какую-то частную службу для хранения данных. Если это так, прежде чем искать другую внешнюю услугу, я бы спросил у вашего продавца.
Многие из этих компаний предлагают свои собственные решения для хранения данных карт клиентов. Преимущество этого пути в том, что вы знаете, что решение будет хорошо работать с вашей торговой системой.
Даже если вы пойдете по этому маршруту, не думайте, что он безопасен. Спросите, выполняется ли шифрование вашего платежного терминала с помощью решения для шифрования точка-точка. Решение, которое использует ваш провайдер, должно быть в списке утвержденных продуктов и решений PCI SSC.
Отраслевые требования к хранению данных клиентов
Немного предыстории: каждый крупный бренд карт требует, чтобы продавцы, которым необходимо хранить номера карт клиентов, следовали Стандарту безопасности данных индустрии платежных карт (PCI DDS). Это структура, разработанная Советом по стандартам безопасности PCI, который отвечает за установление минимального набора требований для защиты данных держателей карт. Вы можете увидеть полный список стандартов здесь.
Согласно стандарту PCI DSS вы должны защищать данные держателей карт при хранении и шифровать их при передаче. Вы должны сделать номер учетной записи нечитаемым с помощью шифрования, токенизации, усечения, маскирования и хеширования. Вам также необходимо защитить криптографические ключи, которые вы используете для этого. Вы должны задокументировать политики безопасности и операционные процедуры, которые вы используете для защиты хранимых данных о держателях карт.
Единственный допустимый способ хранения этих данных - устройства с PIN-кодом и платежные приложения, сертифицированные Советом по стандартам безопасности индустрии платежных карт. В этом руководстве представлен четкий обзор требований, включая информацию о том, как обрабатывать данные с чип-карт.
Вам не нужно заниматься хранением данных в одиночку. Многие торговые процессоры предлагают услуги, основанные на технологиях шифрования и токенизации.
Что, если вы не используете традиционный торговый процессор и полагаетесь на такую услугу, как Square? Эти службы также могут предлагать свои собственные решения. Square, например, предлагает сервис под названием Card on File для безопасного хранения информации о карте. Спросите, какая компания обрабатывает ваши транзакции, какие решения предлагает эта компания, поскольку платежное пространство быстро меняется.
Конечно, все эти услуги будут стоить вам дополнительных денег. Но считайте это деньгами потраченными не зря. Безопасность данных - это область, в которой потенциальные последствия слишком высоки. У вас может возникнуть соблазн создать обходной путь, чтобы избежать времени на настройку, но это тот случай, когда самостоятельный подход может навредить вам.
Продавцы могут столкнуться с большими штрафами за небезопасное хранение данных клиентов. И становится еще хуже. Если бы вы столкнулись с утечкой данных и слухи распространились среди ваших клиентов, они могли бы больше не доверять вам данные своей кредитной карты.
Ознакомьтесь с требованиями к данным безопасности
Если вы не можете найти решение, которое вам нравится, и обнаруживаете, что существуют ситуации, в которых вы не можете эффективно работать, не сохраняя в файле бумажную копию данных кредитной карты клиентов, то убедитесь, что вы знакомы с требованиями Совета по стандартам безопасности PCI по ограничению физический доступ к данным.
Шаги непростые и требуют некоторой подготовительной работы. Скорее всего, это будет сложно для малого бизнеса, поэтому я рекомендую сделать все возможное, чтобы найти технологическое решение. Это избавит вас от неприятностей в долгосрочной перспективе.
