Hvert år er virksomheder i fare for databrud, der kompromitterer kundeoplysninger. Ifølge en årsrapport fra Risk Based Security oplevede sidste år et nyt højdepunkt i brudhændelser:3.930 hændelser, hvilket resulterede i over 736 millioner afslørede poster.
Datasikkerhed er et alvorligt forretningsproblem, især i betragtning af, at næsten 60 % af små virksomheder går konkurs efter et brud.
Hvis din virksomhed accepterer debet-/kreditbetalinger, er du muligvis bekendt med overholdelse af betalingskortindustrien (PCI), sikkerhedskravene og foranstaltninger, der er indført af industrien. Men mange nye virksomheder (og nogle veletablerede) kender slet ikke til PCI-overholdelse.
PCI-overholdelse henviser til et sæt obligatoriske standarder og regler skrevet og håndhævet af betalingskortindustrien, nemlig Visa, MasterCard, American Express og Discover.
Enhver virksomhed der gemmer, behandler eller overfører kredit- og debetkortbetalinger er forpligtet til at opfylde retningslinjerne fra PCI Security Standards Council (SSC) og årligt demonstrere overholdelse, ellers står over for dyre bøder og det mulige tab af bemyndigelse til at behandle transaktioner.
SSC har opstillet tolv brede krav til PCI-overholdelse. Selvom disse krav skal opfyldes, beskriver de ikke specifikt hvordan din virksomhed skal opfylde dem. For eksempel skal virksomheder bruge og opdatere antivirussoftware, men SSC angiver ikke, hvilken software der skal bruges.
For at implementere disse standarder giver SSC en prioriteret tilgang til PCI-overholdelsesvejledning.
Standardkrav til datasikkerhed:
1:Vurder
Formålet med vurderingen er at identificere sårbarheder, der udgør en risiko for sikkerheden af kundebetalingsdata. Vurdering bør være omfattende og analysere hele din virksomheds transaktionsproces fra start til slut. Dette omfatter ikke kun digitale netværk, men alle områder, hvor kundebetalingsdata er gemt, såsom fysiske bærbare computere, stationære computere og papirkvitteringer.
Hvis en tredjepart er en del af din betalingsproces, skal du også vurdere deres procedurer og systemer.
SSC yder assistance ved at træne og validere professionelle bedømmere, hvoraf der er to typer:Kvalificerede sikkerhedsbedømmere og godkendte scanningsleverandører (ASV'er).
QSA'er vurderer din datasikkerhed og forbereder beviser til at indsende som bevis for overholdelse.
ASV'er leverer kommercielle softwareværktøjer, som kan analysere dine datasystemer for svagheder.
2:Udbedring
Afhjælpning er processen med at adressere og rette eventuelle sårbarheder, der blev fundet under din vurdering.
Mange afhjælpningsstrategier er enkle:Opdater antivirussoftware, tilføj låse til døre, hvor virksomhedens servere er placeret, vedtag nye adgangskoder, der opdateres hver 90. dag.
Hvor mange virksomheder imidlertid kæmper, er skabelsen og implementeringen af virksomhedens sikkerhedspolitikker og -procedurer. Uden veludformede politikker og procedurer, der er tydeligt kommunikeret i hele virksomheden, vil de fleste virksomheder i sidste ende mislykkes med at opretholde overholdelse.
Hver virksomhed er unik, og af denne grund er afhjælpning meget specifik for hver virksomhed. Ikke to afhjælpningsstrategier ser helt ens ud.
3:Rapporter
En rapport om overholdelse (ROC) skal indsendes for at påvise, at din virksomhed har opfyldt SSC-kravene. En ROC er ikke et enkelt dokument, men snarere et resumé af beviser indsamlet under vurderings- og afhjælpningsstadierne.
ROC-dokumenter kan omfatte detaljerede arbejdspapirer fra en kvalificeret bedømmer, resultater af systemtest, konfigurationsdata, interviewnotater, skærmbilleder og mange andre beviser.
SSC har leveret et detaljeret 113-siders rapporteringsinstruktionsdokument, som kan gennemgås for at guide rapporteringsprocessen.
Igangværende
PCI-overholdelse er en løbende proces . En enkelt vurdering eller årlig validering er ikke afslutningen på processen. I stedet er overholdelse den kontinuerlige implementering og overvågning af adskillige strategier for at sikre, at data forbliver sikre og sikre.
Hvis jeg ikke gemmer kreditkortoplysninger, gælder PCI ikke for mig.
PCI-overholdelse gælder for virksomheder, der gemmer betalingsoplysninger for debet-/kreditkort og virksomheder, der behandler eller overfører disse betalinger. Uanset om du gemmer dataene eller ej, hvis du accepterer debet-/kreditbetalinger, gælder PCI-overholdelse for dig.
Jeg behandler kun et lille antal transaktioner, og PCI gælder kun for store virksomheder.
PCI-overholdelse er for alle virksomheder, der opbevarer, behandler eller overfører selv en enkelt debet-/kreditbetaling. Den eneste undtagelse er for virksomheder, der har overdraget hele transaktionsprocessen til en tredjepart.
Når jeg har rapporteret og valideret overholdelse, er PCI overstået.
PCI-overholdelse er en løbende proces, ikke en begivenhed en gang om året. Validering skal ses som et øjebliksbillede i tid, ikke et almindeligt godkendelsesstempel. Det er almindeligt at finde virksomheder, der blev valideret under en årlig vurdering, men som senere har oplevet et sikkerhedsbrud på grund af manglende overholdelse.
Andre forhandlere har ikke fået bøder, og selvom jeg ikke overholder reglerne, er bøderne ikke så store.
Bøderne for manglende overholdelse er store og spænder fra $5000 til $100.000 om måneden. Virksomheder kan også miste retten til helt at behandle debet-/kreditbetalinger, indtil overholdelse er påvist og bekræftet.
Jeg bestod min ASV-scanning, så jeg er klar.
ASV-scanninger er kun et enkelt trin i en kontinuerlig proces. Betragt dem som et enkelt værktøj blandt mange i den igangværende indsats for at opretholde overholdelse.
Sådan opretter du en medarbejderhåndbog til din lille virksomhed:Den ultimative guide
Sådan opbygger du dit Small Business-brand med Facebook-grupper
Har din lille virksomhed brug for en engel?
6 alvorlige fejl, du begår med dit virksomhedskreditkort
Udvikling af det rigtige produktmix til din lille virksomhed