Dit is gemakkelijker gezegd dan gedaan. Uit het PCI-nalevingsverslag van Verizon 2014 blijkt dat de meeste bedrijven moeite hebben om te voldoen aan de PCI Data Security Standard, de set voorschriften die is opgesteld om krediet- en debetkaartgegevens veilig en beveiligd te houden. Volgens Computerworld voldeed meer dan 82 procent van de bedrijven aan slechts ongeveer 8 van de 10 van deze vereisten op het moment van hun jaarlijkse beoordelingen en had enkele maanden nodig om de gaten te dichten. Bovendien handhaaft slechts 11,1 procent van bedrijven hun compliancestatus tussen beoordelingen.
PCI-compliant zijn is niet-onderhandelbaar als u creditcards en betaalkaarten accepteert, maar als u zich voorbereidt op een PCI-audit en ervoor zorgt dat uw bedrijf aan nalevingsnormen voldoet, kan ontmoedigend. Jeff VanSickel, senior consultant bij IT-compliance adviesbureau SystemExperts, gaf enkele tips om zich voor te bereiden op een PCI-beoordeling en om te allen tijde uw normen op een veilig niveau te houden.
1.
Identificeer alle bedrijfs- en klantgegevens, inclusief alle kaarthoudergegevens, de gevoeligheid en kritikaliteit. Het correct definiëren van de PCI Scope of Assessment is waarschijnlijk het moeilijkste en belangrijkste onderdeel van elk PCI-complianceprogramma, zei VanSickel. Een te beperkte scope kan de gegevens van kaarthouders in gevaar brengen, terwijl een te breed bereik enorme en onnodige kosten en moeite kan toevoegen aan een PCI-compliance-programma. 2
. Begrijp de grenzen van de kaarthouder-gegevensomgeving en alle de gegevens die erin in- en uitstromen. Elk systeem dat verbinding maakt met de gegevensomgeving van de kaarthouder, heeft ruimte voor naleving en moet daarom voldoen aan de PCI-vereisten. De kaarthouder-gegevensomgeving omvat alle processen en technologie, evenals de mensen die klantkaarthoudergegevens of authenticatiegegevens opslaan, verwerken of verzenden, evenals alle aangesloten systeemcomponenten en eventuele virtualisatiecomponenten, zoals servers. Noot van de redacteur: een creditcard-verwerkingsservice voor uw bedrijf? Als u op zoek bent naar informatie die u kan helpen bij het kiezen van de juiste informatie, gebruikt u de onderstaande vragenlijst om gratis informatie van verschillende leveranciers te ontvangen.
3. Stel bedieningselementen in om de vertrouwelijkheid en integriteit van gegevens van kaarthouders te beschermen.
Gegevens van kaarthouders moeten worden beschermd, ongeacht waar deze worden geïmporteerd, verwerkt, opgeslagen en verzonden. Het moet dan aan het einde van zijn levensduur op de juiste manier worden verwijderd. "Back-ups moeten ook de vertrouwelijkheid en integriteit van kaarthoudergegevens bewaren," voegde VanSickel eraan toe. "Bovendien moeten alle media op de juiste manier worden weggegooid om de vertrouwelijkheid van de gegevens te waarborgen. Vergeet niet om niet alleen de harde schijven op te nemen die worden gebruikt door computersystemen van het bedrijf, maar ook gehuurde systemen en de opslag die is opgenomen in moderne kopieermachines en printers. "
4. Zorg voor een plan voor incidentenrespons.
Wanneer zich een incident voordoet, is het belangrijk om een plan te hebben om zo snel mogelijk terug te keren naar veilige operaties. Dit incidentresponsplan moet de rol, verantwoordelijkheden, communicatie-eisen en contactstrategieën definiëren in geval van een compromis, inclusief kennisgeving van de betaalmerken, juridisch adviseur en public relations. Dit zal een tijdige en effectieve afhandeling van alle besmette situaties garanderen. "Idealiter zouden bedrijven een gecertificeerde forensisch specialist op het gebied van de bewaarder moeten hebben die bewijs kan verzamelen en kan getuigen als een getuige-deskundige indien nodig," zei VanSickel.
5. Uitleg en handhaaf beveiligingsprocedures.
U kunt er nooit zeker van zijn dat medewerkers de beste beveiligingsmethoden en ander gedrag begrijpen dat uw bedrijf in gevaar kan brengen. Het is aan u om ervoor te zorgen dat iedereen binnen het bedrijf, van medewerkers op lager niveau tot IT-specialisten en management, wordt geïnformeerd over beveiligingsprocedures en PCI-nalevingsprocedures. Op het moment dat uw klant een credit- of debitcard afgeeft, kunt u verantwoordelijk worden voor het beveiligen van de gegevens die aan die kaart zijn gekoppeld. Hoewel de bovenstaande stappen vooral bedoeld zijn om u voor te bereiden op een PCI-audit, zullen ze ook een vangnet bieden tussen beoordelingen. Ga voor meer informatie naar PCIComplianceGuide.org.
Geef uw kantoor een IoT-makeover met deze slimme technologie
Smart Office Tech Het Internet of Things (IoT) klinkt als een vergezocht sciencefictionconcept, maar de overgang naar slimme werkomgevingen is al begonnen. Vooruitstrevende ondernemers vullen hun moderne kantoren met intelligent ontworpen producten die de technologische connectiviteit vergroten en de productiviteit verhogen.
Handelen in uw oude iPhone? 4 dingen doen First
Klaar om in te ruilen voor uw iPhone? Of je nu wacht om te zien of de iPhone 6 en iPhone 6 Plus geschikt zijn voor je bedrijf of dat je gewoon wacht tot je nieuwe telefoon arriveert, er zijn enkele belangrijke stappen die je moet nemen voordat je je oude apparaat opgeeft. Apple verkocht dit record-brekende 10 miljoen iPhone 6 en iPhone 6 Plus-eenheden dit startweekend, maar voor kleine bedrijven is het misschien verstandig om te wachten en te zien hoe deze apparaten in het echte leven presteren voordat ze de sprong maken.