Pages

vendredi 16 avril 2010

Systèmes de point de vente: PCI & Contexte de sécurité de carte de crédit

De la carte à piste jours a été introduite à la population, à la fois restaurateur et leurs convives ont pu profiter de la commodité de l'acceptation et l'utilisation de cartes de crédit et de débit. Toutefois, étant donné le coût monte en flèche et la fréquence de la fraude sur cartes de crédit, carte de marques bien établies telles que Visa, MasterCard, American Express, Discover et JCB ont pris des mesures pour protéger toutes les parties prenantes.

IBM a créé la bande magnétique des cartes de crédit en 1968, qui est devenu le standard de l'industrie. Depuis la piste de données est facile à lire et à reproduire sur la bande magnétique, les marques de cartes, avec l'ensemble des normes que le Payment Card Industry Security Standards Council a construit, il a clairement indiqué la première directive: «Ne pas stocker de données piste. »

Les normes de l'industrie des cartes de paiement (PCI)

L'approche à trois volets que le PCI Security Standards Council a pris de protéger les consommateurs, les banques et les commerçants / restaurateurs:

* Payment Card Industry Data Security Standard (PCI DSS) - englobe toutes les entités qui stockent, traitent ou transmettent des données de titulaire: les commerçants, restaurateurs, prestataires de services, les transformateurs, etc

Délai de conformité: Mois de Janvier 2007 (les délais sont long passé)

Cela signifie - Les propriétaires de restaurant, indépendamment de la taille de leurs établissements, doivent remplir et soumettre un questionnaire d'auto-évaluation PCI de leur banque acquéreuse chaque année.

* Paiement Application Data Security Standard (PA-DSS) - y compris toutes les applications utilisées pour stocker, traiter, ou transmettre les données des titulaires dans le cadre de l'autorisation ou de règlement. (Point-of-vente (POS) aux développeurs d'applications)

Les délais à respecter:

1 octobre 2008 - Le logiciel qui est compatible avec les nouveaux standards de paiement de sécurité des applications doivent être utilisés par les agents, les commerçants et les processeurs de paiement.

1 octobre 2009 - Mettre fin à toutes les applications de paiement non conformes que les commerçants pourraient encore avoir dans leurs environnements seront requis.

Juillet 1, 2010 - Utilisation obligatoire de la seule demande de paiement conforme aux nouvelles normes.

Cela signifie - Si, après la date limite, un commerçant / restaurateur n'est pas en cours d'exécution d'une application PA DSS-validées, signifie qu'ils ne parviennent pas automatiquement leur évaluation PCI et pourrait éventuellement perdre leur capacité d'accepter les cartes de crédit.

* Pin Entry Devices (PED) Standard - englobe tous les PED et vise à assurer que le numéro de détenteur de la carte d'identification personnel ou NIP, y compris des informations sensibles telles que les clés de résident, sont protégés constamment à un dispositif d'acceptation PIN.

Délai de conformité:

1 janvier 2004 - Tous nouvellement acheté Point-of-Sale (POS) PIN Entry Devices doivent avoir passé l'examen par un laboratoire reconnu Visa et a été approuvé par Visa.

Juillet 1, 2010 - stipule que tous les déployé Point de vente (POS) PIN Entry Devices doivent avoir passé l'examen par un laboratoire reconnu PCI et a été approuvé par le PCI SSC.

Cela signifie - Tous les marchands / propriétaires de restaurants auront deux ans pour remplacer les anciennes, approuvés par l'ONU PIN Entry Devices.

The Do avec l'industrie des cartes de paiement (PCI)

* Assurez-vous que vous avez une vulnérabilité de routine de numérisation de vos systèmes de point de vente (PDV).
* Ne formation de sensibilisation à la sécurité pour l'ensemble de votre personnel.
* Faites les vérifications d'accès au système.
* Surveillez votre activité journaux système.
* Des privilèges d'accès doivent être supprimés pour les employés séparés.
* Installer des correctifs logiciels.
* Toute menace doit être prise au sérieux - avoir un plan de réponse aux incidents en place.

À ne pas faire avec l'industrie des cartes de paiement (PCI)

* Le total des numéros de carte de crédit ne doivent pas être stockées ou archivées.
* Transmettre des informations de carte de crédit en clair ne doit pas être pratiquée.
* PCI n'est pas simplement de prouver que vous êtes conforme aux normes - il s'agit de protéger vos clients et votre entreprise.

Qu'est-ce Restaurateurs Obtenez de PCI

Étant donné les attentes des consommateurs »de l'acceptation de l'utilisation omniprésente de crédit et cartes de débit, la validation des restaurateurs" qu'ils sont la protection des renseignements personnels de leurs clients est utile pour les entreprises:

Réputation / Image

Dans un secteur concurrentiel - un propriétaire de restaurant ne veut pas être nommé dans les médias comme le lieu était une carte de données a été violée.

Protège Votre crédit / débit Acceptation de la carte Capacité - non-respect des règles et / ou une violation peut mettre en danger la capacité d'un restaurateur à accepter les paiements de crédit / débit. Dans de nombreux cas, les paiements de crédit / débit représentent 80% à 90% des transactions. Perte de la capacité d'accepter les cartes de crédit / débit moyen de réduire les clients.

Impact des lois sur la confidentialité État

A défaut de répondre à ses obligations qui divulgue infos individu carte de crédit dans l'un des 40 Etats + avec les lois peuvent éprouver double impact sur le côté du restaurateur. Être hors-jeu avec le Payment Card Industry peut entraîner des amendes et frais de justice. Être hors-jeu avec l'Etat de confidentialité des lois est un crime avec éventuellement des conséquences plus graves.

Stratégie de conformité de sécurité /

* Vérifiez que votre restaurant ou un magasin utilise uniquement PA-DSS ou PABP validé les systèmes POS
* Veiller à ce que vous utilisez approuvé PED
* Avez-réguliers de formation sensibilisation à la sécurité de votre personnel, en particulier pour vos superviseurs
* Avez-vérification des antécédents de toute personne qui a un accès administratif à votre système
* Demandez à votre signe du personnel un «accord de confidentialité"
* Quand il s'agit de votre questionnaire d'autoévaluation PCI (SAQ), avec soin et précision remplir le formulaire et lorsque vous n'êtes pas sûr de vos réponses, il suffit de demander
* Si des lacunes dans la conformité PCI sont identifiés, élaborer un plan réaliste pour y remédier
* Maintenir les contrôles d'âge mûr pour garantir la conformité
* Les contrôles d'accès
* Facteur double pour le système et la gestion des périphériques
* Mots de passe forts et de stockage mot de passe sécurisé
* Surveillance pour détecter les attaques et les preuves record
* Contrôle de vos points d'accès sans fil
* Maintenir la configuration sécurisée
* Segmenter les réseaux
* Avoir un plan de réponse aux incidents et de test afin de vous assurer qu'il est toujours prêt pour l'action
* Essai et de vérifier le titulaire environnement

Ce peut être une tâche décourageante sur votre premier essai, mais quand tout le reste est en place, une conformité PCI n'est pas un travail coûteux. Il est de bonnes pratiques commerciales pour protéger les informations sensibles de vos clients.

0 commentaires

Enregistrer un commentaire