Aceitando cartões de crédito? Conformidade com PCI uma preocupação para pequenas empresas
As violações recentes contra os principais varejistas colocaram os regulamentos da indústria de cartões de pagamento (PCI) no centro das atenções. No entanto, não são apenas as grandes empresas que precisam se preocupar em aderir a esses regulamentos. As regras se aplicam a todos os negócios que dependem de cartões de crédito e débito para transações. Mesmo que sua empresa emprega quatro pessoas e realize uma transação de cartão de crédito por mês, ela deve ser compatível com PCI.
Isso é mais fácil falar do que fazer. O Relatório de Conformidade PCI da Verizon 2014 descobriu que a maioria das empresas luta para atender ao Padrão de Segurança de Dados PCI, o conjunto de regulamentações criadas para ajudar a manter os dados de cartão de crédito e débito seguros e protegidos. De acordo com a Computerworld, mais de 82% das empresas estavam em conformidade com apenas 8 em 10 desses requisitos no momento de suas avaliações anuais, e precisaram de vários meses para preencher as lacunas. Além disso, apenas 11,1% das empresas mantêm seu status de conformidade entre as avaliações.
Ser compatível com PCI não é negociável se você aceitar cartões de crédito e débito, mas se preparar para uma auditoria PCI e garantir que sua empresa atenda aos padrões de conformidade. assustador. Jeff VanSickel, consultor sênior da empresa de consultoria em conformidade com TI SystemExperts, forneceu algumas dicas para preparar uma avaliação de PCI e manter seus padrões em níveis seguros o tempo todo.
1. Identifique todos os dados de negócios e clientes, incluindo quaisquer dados do portador do cartão, sua sensibilidade e criticidade A definição correta do Escopo de Avaliação do PCI é provavelmente a parte mais difícil e importante de qualquer programa de conformidade com PCI, disse VanSickel. Um escopo excessivamente restrito pode comprometer os dados do portador do cartão, enquanto um escopo excessivamente amplo pode adicionar custos e esforços imensos e desnecessários a um programa de conformidade com PCI.
2 . Entenda os limites do ambiente de dados do portador do cartão e todos os dados que entram e saem dele Qualquer sistema que se conecta ao ambiente de dados do portador de cartão está no escopo de conformidade e, portanto, deve atender aos requisitos da PCI. O ambiente de dados do portador do cartão inclui todos os processos e tecnologias, bem como as pessoas que armazenam, processam ou transmitem dados do portador do cartão ou dados de autenticação, bem como todos os componentes do sistema conectados e quaisquer componentes de virtualização, como servidores.
Nota do Editor: serviço de processamento de cartão de crédito para o seu negócio? Se você está procurando informações para ajudá-lo a escolher o que é certo para você, use o questionário abaixo para obter informações de uma variedade de fornecedores de graça.
3. Estabelecer controles operacionais para proteger a confidencialidade e integridade de quaisquer dados do portador do cartão Os dados do portador do cartão devem ser protegidos sempre que forem importados, processados, armazenados e transmitidos. Ele deve então ser descartado adequadamente no final de sua vida útil.
"Os backups também devem preservar a confidencialidade e a integridade dos dados do portador do cartão", acrescentou VanSickel. "Além disso, todas as mídias devem ser descartadas adequadamente para garantir a confidencialidade contínua dos dados. Não se esqueça de incluir não apenas os discos rígidos usados pelos sistemas de computadores da empresa, mas também os sistemas alugados e o armazenamento incluído nas modernas copiadoras e impressoras. "
4. Tenha um plano de resposta a incidentes em vigor. Quando ocorre um incidente, é importante ter um plano para retornar para proteger as operações o mais rápido possível. Este plano de resposta a incidentes deve definir funções, responsabilidades, requisitos de comunicação e estratégias de contato em caso de comprometimento, incluindo a notificação das marcas de pagamento, assessoria jurídica e relações públicas. Isso irá garantir o tratamento atempado e eficaz de todas as situações comprometidas
"Idealmente, as empresas devem ter um especialista forense certificado em retentor que possa coletar evidências e testemunhar como perito se necessário", disse VanSickel.
5. Explicar e aplicar os procedimentos de segurança Você nunca pode ter certeza de que os funcionários entendem as práticas recomendadas de segurança e outros comportamentos que podem colocar sua empresa em risco. Cabe a você garantir que todos os funcionários da empresa, de funcionários de nível inferior a especialistas de TI e gerentes, sejam informados sobre procedimentos de segurança e conformidade com PCI.
No momento em que seu cliente entrega um cartão de crédito ou débito, tornar-se responsável por manter os dados associados a esse cartão seguros. Embora as etapas acima tenham como objetivo principal prepará-lo para uma auditoria de PCI, elas também fornecerão uma rede de segurança entre as avaliações. Para mais informações, visite PCIComplianceGuide.org.
O futuro da tecnologia de viagens de negócios é brilhante e bizarro
A tecnologia de viagem de negócios futurista está aqui Viajar para o trabalho parece fascinante no começo, mas como os viajantes de negócios mais frequentes dirão, rapidamente se torna um trabalho penoso. Depois de um tempo, todo terminal do aeroporto parece o mesmo, e o entretenimento a bordo fica tão parado quanto o sanduíche que você sem cerimônia recheia na sua bagagem de mão.
Como meu negócio sobreviveu a dois anos de construção
Eu fui para a faculdade sabendo que um dia eu queria abrir meu próprio negócio. Minha educação consiste em dois graus de associado, dois bacharelados e um MBA. Depois da faculdade, passei 10 anos com a McDonnell Douglas apoiando o projeto e a construção de aeronaves e da Estação Espacial Internacional.
Publicações Populares