Étant donné que les cartes journalières bande magnétique a été introduite pour les personnes, propriétaires de restaurants et de leurs deux convives ont pu profiter de la commodité de l'acceptation et l'utilisation de cartes de crédit et de débit. Toutefois, étant donné le ciel coût élevé et la fréquence de la fraude sur cartes de crédit, carte de marques bien établies (Visa, MasterCard, American Express, Discover et JCB) sont déjà des mesures pour protéger leurs titulaires de carte.
Il a été en 1968 quand IBM a inventé la bande magnétique des cartes de crédit et est devenu le standard de l'industrie. Étant donné que la piste de données sur la bande magnétique peut être facilement lu et en double, les cartes de marque, avec l'ensemble des normes que le Payment Card Industry (PCI) Security Standards Council a construit, il a clairement indiqué la première directive: «Ne pas piste de données magasin.
L'industrie des cartes de paiement (PCI) Normes
Le PCI Security Standards Council a effectué une approche à trois volets visant à protéger les consommateurs, les banques et les commerçants / restaurateurs:
* PCI DSS (Payment Card Industry Data Security Standard) - englobe toutes les entités qui stockent, traitent ou transmettent des données de titulaire (commerçants, restaurateurs, prestataires de services, les transformateurs, etc)
Délai de conformité: Mois de Janvier 2007 (les délais sont long passé)
Ce que cela signifie - Restaurateurs, indépendamment de la taille, doivent remplir et soumettre un questionnaire d'auto-évaluation PCI de leur banque acquéreuse chaque année.
* Paiement Application Data Security Standard (PA-DSS) - couvre toutes les applications utilisées pour stocker, traiter, ou transmettre les données des titulaires dans le cadre de l'autorisation ou de règlement. (Point-of-Sale (POS) aux développeurs d'applications)
Les délais à respecter:
1 octobre 2008: des processeurs de paiement, les agents et les commerçants doivent utiliser un logiciel qui est compatible avec les nouveaux standards de paiement de sécurité des applications.
1 octobre 2009: mettre fin à toute les demandes de paiement non conformes que les commerçants pourraient encore avoir dans leurs environnements seront requis.
1 juillet 2010: Utilisation obligatoire de la seule demande de paiement conforme aux nouvelles normes.
Ce que cela signifie - Après ces délais, les commerçants / restaurateurs qui sont encore en cours d'exécution d'une application non-PA DSS-validés, ils seront automatiquement échouer l'évaluation PCI et peuvent perdre leur capacité d'accepter les cartes de crédit.
* PED (Pin Entry Devices) Standard - s'applique à tous les PED et il vise à assurer que le numéro de détenteur de la carte d'identification personnel (NIP), y compris des informations sensibles telles que les clés de résident, sont protégés constamment à un dispositif d'acceptation PIN.
Délai de conformité:
1 janvier 2004: Pour tous les nouveaux acquis de point de vente (POS) PIN Entry Devices, ils doivent passer par un laboratoire reconnu de Visa et être approuvé par Visa.
1 juillet 2010: Mandats que chaque point de vente PIN Entry Devices doit passer et faire approuver par le PCI SSC de l'un de ses laboratoires reconnus.
Quels sont les propriétaires de moyens: Marchands restaurant / ont 2 ans pour remplacer les anciennes, PED approuvés par l'ONU.
PCI Do
* Faire la vulnérabilité de routine scan de vos systèmes POS.
* Vous avez une formation de sensibilisation à la sécurité de votre personnel.
* Effectuer des vérifications d'accès au réseau.
* Surveiller l'activité du système journaux.
* Ne retirer les privilèges d'accès des employés séparés.
* Ne installer des correctifs logiciels.
* Ne prendre toutes les menaces au sérieux - avoir un plan de réponse aux incidents en place.
PCI ne pas faire
* Votre auto de stockage ou d'archivage ensemble de numéros de carte de crédit Refrain.
* Vous ne devez pas transmettre des informations de carte de crédit en clair.
* Avec Payment Card Industry, ce n'est pas seulement à vous faire conforme aux normes - il s'agit de protéger votre entreprise et vos clients.
Comment PCI affecte Restaurateurs
Étant donné les attentes des consommateurs »de l'acceptation universelle des cartes de crédit et de débit, de la validation de restaurateur qu'ils protègent les renseignements personnels de leurs clients est bon pour les affaires:
Réputation de votre entreprise »/ Image
Dans toute entreprise, la concurrence - pas de restaurateur voudrais être dénommé placé où une carte de données personnelles avait été volé.
Protège Votre crédit / débit Acceptation de la carte Capacité - non-conformité et / ou une violation des risques peut la capacité d'un restaurateur à accepter les paiements de crédit / débit. Il existe de nombreux cas, que 80% à 90% des transactions sont de crédit / carte de débit des comptes. Perte de la capacité d'accepter de crédit / cartes de débit peuvent réduire vos clients.
Impact des lois sur la confidentialité État
En ne suivant pas l'ensemble des règles qui divulgue les renseignements personnels de carte de crédit dans l'un des 40 Etats + régie par les lois sur la confidentialité peuvent éprouver double impact sur le côté du commerçant / restaurateur. Être hors-jeu avec le Payment Card Industry pourrait entraîner des amendes et frais de poursuite. Être hors-jeu avec l'Etat de confidentialité lois est un crime puni par la réclusion avec potentiellement plus graves sanctions.
Respect / stratégie de sécurité
* Assurez-vous n'utilisez PA-DSS ou PABP validé les systèmes POS
* Veiller à ce que vous utilisez approuvé PED
* Avez-réguliers de formation sensibilisation à la sécurité de votre personnel - en particulier les superviseurs
* Faire une vérification des antécédents de votre personnel qui a un accès administratif à votre système est un must
* Demandez à votre signe du personnel un «accord de confidentialité"
* Quand il s'agit de votre questionnaire d'autoévaluation PCI (SAQ), avec soin et précision remplir le formulaire et lorsque vous n'êtes pas sûr de vos réponses, il suffit de demander
* Si des lacunes dans la conformité PCI sont identifiés, d'élaborer un plan réaliste pour le redresser
* Maintenir les contrôles d'âge mûr pour garantir la conformité
* Les contrôles d'accès
* Toujours avoir double facteur pour le système et la gestion des périphériques
* Mots de passe forts et de stockage mot de passe sécurisé
* Surveillance pour détecter les attaques et les preuves record
* Les points de contrôle d'accès sans fil
* Maintenir une configuration sécurisée
* Section de chaque réseau
* Maintenir un plan de réponse aux incidents et le tester
* Essai et de vérifier le titulaire environnement
Il peut être difficile la première fois, mais quand tout le reste est en place, la conformité PCI en cours n'est pas une entreprise coûteuse. D'ailleurs, c'est une bonne pratique pour les entreprises à protéger les données sensibles que vos clients font confiance à vous.
vendredi 16 avril 2010
0 commentaires
Enregistrer un commentaire