De la bande magnétique des cartes journalières a été introduite pour les personnes, propriétaires de restaurants et de leurs clients ont pu profiter de la commodité de l'acceptation et l'utilisation de cartes de crédit et de débit. Toutefois, étant donné le ciel coût élevé et la fréquence de la fraude de crédit, carte de marques bien établies (Visa, MasterCard, American Express, Discover et JCB) ont pris des mesures préventives pour sauvegarder leurs parties prenantes.
Il a été en 1968 quand IBM a créé la bande magnétique des cartes de crédit et est devenu le standard de l'industrie. Étant donné que la piste de données sur la bande magnétique peut être facilement lu et en double, les cartes de marque, le Payment Card Industry (PCI) Security Standards Council a construit un ensemble de normes de protéger les données des titulaires, et il commence par la directive: «Ne pas piste de données magasin.
Normes PCI
Le PCI Security Standards Council a une approche à trois volets visant à protéger les consommateurs, les banques et les commerçants / restaurateurs:
* PCI DSS (Payment Security Card Industry Data Standard)? englobe toutes les entités qui stockent, traitent ou transmettent des données de titulaire: les marchands, restaurateurs, prestataires de services, les transformateurs, etc
Respect des délais: Mois de Janvier 2007 (les délais sont long passé)
Ce que cela signifie - Les propriétaires de restaurant, indépendamment de la taille de leurs établissements, doivent remplir et soumettre un questionnaire d'auto-évaluation PCI à leur banque acquéreuse chaque année.
* PA? DSS (Demande de paiement standard de sécurité des données)? englobe toutes les applications utilisées pour stocker, traiter, ou transmettre les données des titulaires dans le cadre de l'autorisation ou de règlement. (Point-of-Sale (POS) aux développeurs d'applications)
Les délais à respecter:
1 octobre 2008? Processeurs de paiement, les agents et les commerçants doivent utiliser un logiciel qui est compatible avec les nouveaux standards de paiement de sécurité des applications.
1 octobre 2009? Mettre fin à toute les demandes de paiement non conformes que les commerçants pourraient encore utiliser dans leurs environnements seront requis.
1 juillet 2010? Mandats de l'utilisation des seules demandes de paiement à l'appui des nouvelles normes.
Ce que cela signifie - Après ces délais, les commerçants / restaurateurs qui sont encore en utilisant une application non-PA DSS-validés, ils seront automatiquement échouer l'évaluation PCI et pourraient perdre leur capacité à accepter les cartes de crédit.
* Pin Entry Devices (PED) Standard - comprend tous les PED et vise à garantir que le code PIN du titulaire, et toutes les informations sensibles sont protégés constamment à un dispositif d'acceptation PIN, comme vos clés résident.
Délai de conformité:
1 janvier 2004? Pour tous les nouveaux acquis Point-of-Sale (POS) PIN Entry Devices devrait passer les tests par un laboratoire reconnu Visa et approuvé par Visa.
1 juillet 2010? Mandats que chaque point de vente (POS) PED doivent avoir réussi les tests d'un laboratoire reconnu PCI et a été approuvé par le PCI SSC.
Qu'est-ce que cela signifie? Tous les marchands propriétaires de restaurant / obtient deux ans pour remplacer leurs vieux et non approuvés PIN Entry Devices.
PCI Do
1. Ne la vulnérabilité de routine des scans de vos systèmes.
2. Ne formation de sensibilisation à la sécurité pour l'ensemble de votre personnel.
3. Vérifications d'accès au réseau.
4. d'activité du système logs doivent être surveillés.
5. Les privilèges d'accès doivent être supprimés pour les employés séparés.
6. Installer des correctifs logiciels.
7. Soyez sérieux quand il s'agit de toutes les menaces, le dispositif d'un plan de réponse aux incidents.
PCI ne pas faire
1. Le total des numéros de carte de crédit ne devraient pas être stockées ou archivées.
2. Transmettre des informations de carte de crédit en clair ne doit pas être pratiquée.
3. Avec PCI, ce n'est pas seulement à vous faire conforme aux normes - il s'agit de faire vous et vos clients protégés.
PCI Effet sur Restaurateurs
Étant donné les attentes des consommateurs »de l'acceptation universelle de l'utilisation de cartes de crédit, des commerçants / restaurateurs de validation" qu'ils fournissent la protection des données personnels de leurs clients est utile pour les entreprises:
Réputation de l'entreprise / Image
Pour une entreprise hautement concurrentiel - un propriétaire de restaurant ne veut pas être nommé dans les médias comme le lieu ont été données de la carte a été volée.
Protège capacité d'accepter les paiements par / carte de débit - en ne respectant pas et / ou d'une infraction peut remettre en cause un des commerçants / restaurateur capacité d'accepter les paiements de crédit / débit. Il ya des cas que 80% à 90% des transactions se font par versements de crédit / débit. Perdre la capacité de votre magasin d'accepter de crédit / cartes de débit peuvent causer une baisse de clients = baisse des ventes.
Impact des lois sur la confidentialité État
A défaut de répondre à ses obligations qui divulgue les renseignements personnels de carte de crédit avec l'un des 40 Etats + avec les lois peuvent avoir un double impact sur un restaurateur. Être hors-jeu avec une carte PCI peut entraîner des amendes et frais de poursuite. Être hors-jeu avec l'Etat de confidentialité lois est un crime puni par la réclusion avec potentiellement plus graves sanctions.
Stratégie de conformité de sécurité /
* En vous assurant que votre restaurant ou un magasin utilise PA? DSS ou PABP validé les systèmes POS
* Assurez-vous de l'aide d'un PED approuvé
* Organiser une formation de sensibilisation à la sécurité réguliers pour vos employés, en particulier pour les superviseurs
* Ne vérifie les antécédents de tout employé ayant un accès administratif à votre système
* Demandez à votre signe du personnel un «accord de confidentialité"
* Quand il s'agit de votre questionnaire d'autoévaluation PCI (SAQ), avec soin et précision remplir le formulaire et lorsque vous n'êtes pas sûr de vos réponses, il suffit de demander
* Si des lacunes dans la conformité PCI sont identifiés, d'élaborer un plan réaliste de pouvoir y remédier
* Être mûri dans le maintien de la conformité
* Les contrôles d'accès
* Facteur double pour le système et la gestion des périphériques
* Le stockage de vos mots de passe forts et sécurisé de mots de passe correct
* Assurer un suivi régulier des activités du système d'attaque et des preuves record
* Contrôle de vos points d'accès sans fil
* Maintenir la configuration sécurisée
* Segmenter les réseaux
* Avoir un plan de réponse aux incidents et de le tester pour s'assurer qu'il est toujours prêt en cas de besoin
* Test de vérification et de l'environnement porteur attentivement
Il peut être difficile la première fois, mais lorsque tous les ci-dessus sont en place, une conformité PCI n'est pas une entreprise coûteuse. Il est de bonnes pratiques commerciales pour protéger les informations sensibles de vos clients.
vendredi 16 avril 2010
0 commentaires
Enregistrer un commentaire