¿Aceptas pagos de crédito o débito en tu negocio? Si es así, es probable que deba cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
PCI DSS establece medidas mínimas de seguridad de datos para organizaciones de todo el mundo que poseen, procesan o intercambian información de titulares de tarjetas de cualquiera de las principales marcas de tarjetas. Los estándares se revisan cada dos años y se revisaron más recientemente en octubre de 2010.
$config[code] not foundDe acuerdo con un estudio realizado por la National Retail Federation y First Data, el 86 por ciento de los encuestados de pequeñas y medianas empresas dijeron que les importa mantener segura la información de la tarjeta del cliente y que la seguridad de la información de la tarjeta es importante para su negocio. Pero mientras la mayoría (el 66 por ciento) tiene conocimiento de las PCI DSS, solo el 49 por ciento había completado una autoevaluación requerida al momento de la encuesta.
La protección de los datos de los titulares de las tarjetas puede parecer costosa y un tanto abrumadora para los propietarios de pequeñas empresas, la mayoría de los cuales ya usan muchos puestos. Sin embargo, los costos financieros y de reputación de una infracción pueden ser significativos, en algunos casos poniendo en peligro a su empresa.
Pero ¿por dónde empezar? Es de esperar que usted ya limite el acceso físico a la información del titular de la tarjeta y mantenga actualizado el software antivirus. Aquí hay formas adicionales en que puede aumentar significativamente la seguridad de los datos mientras administra los costos de cumplimiento:
Cifrar datos sensibles Probablemente, la medida más importante que puede tomar una empresa para proteger la información del titular de la tarjeta es cifrar los datos de la tarjeta inmediatamente después de pasar la tarjeta en el punto de venta. La información debe permanecer en un estado cifrado mientras se transmite al procesador de pagos.
Este paso significa que la transacción nunca se transmite en texto sin formato en el Frame Relay, el acceso telefónico o la conexión a Internet, donde existe la posibilidad de que los estafadores los intercepten. Si los datos se desvían una vez que se cifran, es prácticamente inútil para los ladrones. Reduce tu “CDE” Cada sistema informático, archivador y aplicación que utiliza o almacena datos confidenciales de la tarjeta, incluidos los datos cifrados, forma parte del entorno de datos general del titular de la tarjeta (CDE) y está dentro del alcance del cumplimiento de PCI DSS. En otras palabras, cuantos más lugares tenga datos, más lugares tendrá que preocuparse por la protección.
Limite, e incluso reduzca, el alcance de su CDE al restringir el uso de los datos del titular de la tarjeta solo a aquellas aplicaciones directamente relacionadas con los pagos (por ejemplo, autenticación de transacciones, liquidaciones diarias y devoluciones de cargo). Abrazar la tokenización La tokenización es un complemento "en capas" para el cifrado. Los datos del titular de la tarjeta se envían a un servidor centralizado y altamente seguro (bóveda) después de la autorización, y se genera un número único aleatorio (el token) y se devuelve a los sistemas de la empresa para su uso en cualquier lugar donde normalmente se utilizarían los datos del titular de la tarjeta.
El token es específico de la tarjeta y aún se puede utilizar para procesar devoluciones, realizar un seguimiento de los hábitos de gasto y otras funciones comerciales, pero el número en sí no tiene valor para los estafadores. Esto puede reducir drásticamente el impacto de una posible violación de datos. La tokenización también puede ayudar a reducir el alcance del CDE porque no hay datos presentes del titular de la tarjeta. Las empresas que reemplazan los datos de los titulares de tarjetas con tokens en todas sus aplicaciones empresariales pueden reducir significativamente el alcance de su CDE y, posteriormente, reducir el alcance y el costo del cumplimiento de las PCI DSS y las evaluaciones anuales / exploraciones trimestrales. Trabajar con un tercero Otra forma de reducir el entorno que está sujeto al cumplimiento de PCI es transferir la responsabilidad (y la responsabilidad) del almacenamiento de datos de la tarjeta a un proveedor de servicios externo. Por ejemplo, una empresa puede enviar datos de tarjetas cifradas al procesador de pagos para su autorización, y cuando se devuelve la respuesta autorizada, también se envía un número tokenizado a la empresa.
Este enfoque incluye el cifrado y la tokenización de capas, al tiempo que reduce el CDE de una empresa a la huella más pequeña posible: el sistema POS que contiene datos de tarjetas de autorización previa en vivo. Levanta tu mano Las empresas tienen la responsabilidad de proteger los datos de sus clientes, pero usted no tiene que hacerlo solo. Hable con su proveedor de pagos sobre soluciones y expertos que pueden ayudar a su empresa a cumplir y cumplir. Recuerde, PCI DSS es un estándar mínimo, y encontrar el (los) socio (s) adecuado (s) puede ayudarlo a tomar decisiones inteligentes sobre cómo proteger mejor a sus clientes, y potencialmente a su negocio.
1