Oletko PCI DSS -yhteensopiva? Varmista PANscanilla

Kirjoitin jonkin aikaa takaisin ystäväni auttamisessa valmistautumaan PCI DSS -tarkastukseen ja läpi käynneistä matkoista. Saimme yhdessä kahvia varten toisena päivänä ja hän oli hymyilevä. "Sain sen hiton PCI-apinan selästäni."

Minun pitäisi selittää. Hän kutsuu sitä joku muu, mutta selkeä ja yksinkertainen, ystäväni huutaa. Joten, kun hän otti yrityksen haltuunsa, hän päätti hoitaa luottokorttitapahtumat suoraan pankissa ja huolehtia PCI DSS -säännösten mukaisesta sisäisestä säästääkseen rahaa. Silloin pääsin mukaan. Sitten hän alkoi lukea sakkoista ja siitä, mitä tapahtuu, jos tietosuojarikkomus johtuu vaatimustenvastaisuudesta. Esimerkiksi VISA ottaa:

"Jos jäsen, kauppias tai palveluntarjoaja ei noudata turvallisuusvaatimuksia tai ei pysty korjaamaan tietoturvaongelmaa, Visa voi määrätä sakot vastuussa olevalle jäsenelle."

Visa mainitsee myös:

"Sakkojen estämiseksi jäsenen, kauppiaan tai palveluntarjoajan on noudatettava täydellistä noudattamista kaikkina aikoina, mukaan lukien rikkomusten tekohetkellä, kuten oikeuslääketieteellisessä tutkimuksessa osoitettiin."

Ulkoistaminen ei ole täydellinen vastaus

Minulla oli idea siitä, mitä hän teki, mutta annoin hänen jatkaa. "Se maksaa enemmän, mutta päätin ulkoistaa luottokorttien käsittelyn."

"Se on kaikki hyvin ja hyvää", huomautin. "Mutta et ole koukussa. Muista, kun olit tarkastamassa? Kysyin kaverilta siitä."

Hän kertoi meille: "Ulkoistaminen ei takaa automaattisesti noudattamista."

Ystäväni tuli takaisin: "No, se on silti parempi kuin tehdä se itse."

Haluaisin ottaa hetken täällä ja varmistaa, että tämä on hyvin selvää. PCI: n turvallisuusstandardineuvosto tukee tilintarkastajaa ja huomauttaa, ettei mitään takeita ole:

"Ulkoistaminen yksinkertaistaa maksukorttien käsittelyä, mutta ei tarjoa automaattista noudattamista. Älä unohda käsitellä sääntöjä ja menettelyjä kortinhaltijoiden tapahtumia ja tietojenkäsittelyä varten. Yrityksesi on suojattava kortinhaltijatietoja, kun saat ne, ja käsitellä maksujen palautukset ja palautukset.

Sinun on myös varmistettava, että palveluntarjoajan tarjoukset ja korttimaksupäätteet noudattavat PCI-standardeja eivätkä säilytä arkaluontoisia kortinhaltijoiden tietoja . Sinun tulisi pyytää palveluntarjoajilta vuosittain vaatimustenmukaisuustodistus. "

Pääpaino on minun. Koska se on tärkein syy yritysten omistajille, jotka joutuvat vaikeuksiin PCI DSS: n noudattamisen kanssa.

Ongelman vahvistaminen

Lisäsin enemmän kurjuutta. Kerroin ystävälleni SecurityMetricsin lehdistötiedotteesta. Organisaatio tarjoaa riippumattomia turvatarkastuksia vakuuttaakseen PCI DSS: n ja useiden muiden lyhenteiden noudattamisen. He viittasivat arkaluontoisten tietojen tallentamisen ongelmaan.

SecurityMetrics on todennut, että yli puolet heidän testaamistaan ​​järjestelmistä tallentaa salaamattomia maksukorttitietoja. Se on iso ei-ei, ja PCI DSS: n rikkomus. SecurityMetricsin toimitusjohtaja Brad Caldwell huomauttaa:

"Maksukorttitietojen virheellinen tallennus vaarantaa kortinhaltijoiden tiedot. Testauksemme osoittavat, että ongelma on yllättävän laajalle levinnyt, vaikka teollisuus korostaa yhä enemmän PCI DSS -säädösten noudattamisen tarvetta.

Suojaamattomien tietojen etsiminen ennakoivasti PANscanin kaltaisella työkalulla voi auttaa korjaamaan tämän tietoturvakuilun ja ehkäisemään tulevat varkaustilanteet. "

Mitä etsiä

Ollakseni rehellinen, en saanut sitä. Jos prosessi on ulkoistettu, miksi kriittisiä tietoja tallennetaan kauppiaan tietokoneisiin? Parempi kysy asiantuntijoilta. Joten otin yhteyttä SecurityMetricsiin. Tuotemarkkinointipäällikkö Jon Clark otti puheluni eikä yllättynyt hämmennyksestäni. Hän mainitsi kauppojen omistajat myös pimeässä:

"Kun ryhmämme on löytänyt salaamattomat maksukorttitiedot tietokonejärjestelmistä, monet kauppiaat sanovat, etteivät he tienneet, että heillä olisi mitään korttitietoja. Valitettavasti tämä tapahtuu liian usein. Monet kauppiaat tietävät yksinkertaisesti, etteivät ne ole saaneet salaamattomia maksukorttitietoja. "

Varmistaaksesi, että olimme samalla sivulla, kysyin herra Clarkilta, mitä PCI DSS pitää arkaluontoisina tietoina. Hän vastasi:

"PCI DSS -vaatimukset eivät salli salaamatonta raita 1, raita 2 ja ensisijainen tilinumero (PAN) -tietojen tallentamista kauppiaskoneisiin. Maksukorttien magneettinauhasta saatuja tietoja."

Seuraavaksi herra Clark esitti seuraavat syyt, miksi tietoja voidaan vahingossa tallentaa myyntipisteessä:

  • Usein maksusovelluksia ei ole määritetty oikein, ja tietojen jättäminen hakkereille on helppoa.
  • Varmista, että maksupyyntösi on PA DSS -yhteensopiva. Joskus vaatimustenvastaiset sovellukset tallentavat korttitiedot automaattisesti salaamattomasti.
  • Kauppiaat voivat tallentaa korttitietoja Word- tai Excel-tiedostoihin yrittäen virtaviivaistaa maksuja ja tehdä asioista asiakkaiden kannalta mukavia.

Kysyin sitten, mitä pitäisi tehdä, jos salaamatonta korttitietoja löytyy. Herra Clark tarjosi neuvoja:

"Jos kauppiaat löytävät salaamattomia maksukorttitietoja, heidän on poistettava tiedot turvallisesti järjestelmistään. Jos kauppias hakkeroidaan ja rikolliset varastavat tiedot, kauppias on vastuussa ja maksaa sen.

Vastuun vähentämiseksi edelleen on tärkeää kouluttaa työntekijöitä olemaan tallentamatta salaamattomia maksukorttitietoja missään muodossa. "

PANscan pelastamaan

Muistatko SecurityMetricin toimitusjohtaja Mr. Caldwell mainitsevansa PANscanin aiemmin? Hyvä. Nimi koskee asianmukaisesti ensisijaisen tilinumeroa tarkistettaessa. Joka tapauksessa, se on SecurityMetricsin tarjoama ilmainen sovellus, joka antaa kauppiaille mahdollisuuden skannata tietokoneitaan salaamattomien maksukorttitietojen varalta. PANscan saavuttaa tämän:

  • Kortinhaltijatietojen etsiminen paikallisista kiintolevyistä, optisista asemista ja verkkopalvelimista.
  • Kolminkertainen tarkistuksen tulos tarkkuuden varmistamiseksi.
  • Yhteenvetoraportin julkaiseminen skannauksen valmistuttua.

Seuraava dia kuvaa PANscan-käyttöliittymää:

Kertaus

Halusin suorittaa kolme asiaa tällä artikkelissa:

  • Muistuta, että PCI DSS -sääntöjen noudattamatta jättämisestä johtuva tietosuojarikkomus tulee kalliiksi vastuuhenkilölle.
  • Maksukorttien käsittelyn ulkoistaminen ei ole tae PCI DSS -yhteensopivuudelle.
  • On mahdollista selvittää, tallennetaanko tietokoneeseesi salaamaton maksukorttitieto.

Tärkeä FYI

Olet ehkä huomannut, että TechRepublic-kirjoittaja Jack Wallenilla on uusi artikkeli Intuitin Android-puhelimien GoPayment-sovelluksesta. Se on hieno tapa kerätä luottokorttimaksuja älypuhelimen, Intuitin sovelluksen ja erityisen kortinlukijan avulla.

Toivon, että kun luet tämän artikkelin, teet merkittävän CYA: n ennen tämän tai vastaavan maksutavan käyttöä. Samat määräykset, jotka koskevat "tiili- ja laasti" -myymälöiden omistajia, koskevat tätä tekniikkaa käyttäviä.

Tarkoituksena on, että maksun saava henkilö on viime kädessä vastuussa magneettinauhasta irtoantuneiden henkilöiden taloudellisten tietojen säilyttämisestä, ja hänelle määrätään kaikki sakot ja kustannukset, jotka aiheutuvat tietojen menettämisestä.

Lopulliset ajatukset

Yritän pysyä PCI DSS -vaatimusten kärjessä. Mutta se on vaikeaa. Siksi olen iloinen, kun löydän PANscanin kaltaisia ​​sovelluksia, jotka auttavat yksinkertaistamaan prosessia ja estämään ylimääräisiä vaikeuksia.

Kiitos Jon Clarkille ja SecurityMetricsille heidän sovelluksestaan ​​ja vastaamisesta kysymyksiini.

© Copyright 2020 | mobilegn.com