Varje år riskerar företag att drabbas av dataintrång som äventyrar kundinformation. Enligt en årsrapport från Risk Based Security sågs förra året en ny topp i intrångsincidenter:3 930 händelser vilket resulterade i över 736 miljoner exponerade poster.
Datasäkerhet är ett allvarligt affärsproblem, särskilt med tanke på att nästan 60 % av småföretagen går i konkurs efter ett intrång.
Om ditt företag accepterar debet-/kreditbetalningar kanske du är bekant med efterlevnad av Payment Card Industry (PCI), säkerhetskraven och åtgärder som vidtagits av branschen. Men många nya företag (och några väletablerade sådana) är helt obekanta med PCI-efterlevnad.
PCI-efterlevnad hänvisar till en uppsättning obligatoriska standarder och regler skrivna och upprätthållna av betalkortsindustrin, nämligen Visa, MasterCard, American Express och Discover.
Alla företag som lagrar, behandlar eller överför kredit- och betalkortsbetalningar måste uppfylla PCI Security Standards Councils (SSC) riktlinjer och årligen visa efterlevnad eller annars drabbas av dyra böter och eventuell förlust av behörighet att behandla transaktioner.
SSC har fastställt tolv breda krav för PCI-efterlevnad. Även om dessa krav måste uppfyllas, specificerar de inte specifikt hur ditt företag måste uppfylla dem. Företag måste till exempel använda och uppdatera antivirusprogram, men SSC anger inte vilken programvara som ska användas.
För att implementera dessa standarder tillhandahåller SSC en guide för prioriterad strategi för PCI-efterlevnad.
Standardkrav för datasäkerhet:
1:Bedöm
Syftet med bedömningen är att identifiera sårbarheter som utgör en risk för säkerheten för kundbetalningsdata. Bedömningen bör vara heltäckande och analysera hela ditt företags transaktionsprocess från början till slut. Detta inkluderar inte bara digitala nätverk, utan alla områden där kundbetalningsdata lagras, såsom fysiska bärbara datorer, stationära datorer och papperskvitton.
Om en tredje part är en del av din betalningsprocess måste du också bedöma deras rutiner och system.
SSC tillhandahåller hjälp genom att utbilda och validera professionella bedömare, av vilka det finns två typer:kvalificerade säkerhetsbedömare och godkända skanningsleverantörer (ASV).
QSA:s bedömer din datasäkerhet och förbereder bevis att skicka in som bevis på efterlevnad.
ASV tillhandahåller kommersiella mjukvaruverktyg som kan analysera dina datasystem för svagheter.
2:Åtgärda
Åtgärd är processen för att åtgärda och korrigera eventuella sårbarheter som upptäcks under din bedömning.
Många åtgärdsstrategier är enkla:uppdatera antivirusprogramvara, lägg till lås till dörrar där företagets servrar finns, anta nya lösenord som uppdateras var 90:e dag.
Där många företag kämpar är dock skapandet och implementeringen av företagets säkerhetspolicyer och rutiner. Utan välgjorda policyer och procedurer som tydligt kommuniceras i hela företaget kommer de flesta företag så småningom att misslyckas med att upprätthålla efterlevnad.
Varje företag är unikt, och därför är sanering mycket specifik för varje verksamhet. Inga två saneringsstrategier ser exakt likadana ut.
3:Rapportera
En rapport om efterlevnad (ROC) måste skickas in för att visa att ditt företag har uppfyllt SSC-kraven. En ROC är inte ett enda dokument, utan snarare en sammanfattning av bevis som samlats in under bedömnings- och saneringsstadierna.
ROC-dokument kan innehålla detaljerade arbetsdokument från en kvalificerad bedömare, resultat av systemtestning, konfigurationsdata, intervjuanteckningar, skärmdumpar och många andra bevis.
SSC har tillhandahållit ett detaljerat 113-sidigt rapportinstruktionsdokument som kan granskas för att vägleda rapporteringsprocessen.
Pågående
PCI-kompatibilitet är en pågående process . En enda bedömning eller årlig validering är inte slutet på processen. Istället är efterlevnad den kontinuerliga implementeringen och övervakningen av ett flertal strategier för att säkerställa att data förblir säker och säker.
Om jag inte lagrar kreditkortsinformation gäller inte PCI för mig.
PCI-efterlevnad gäller för företag som lagrar betal-/kreditkortsinformation och företag som behandlar eller överför dessa betalningar. Oavsett om du lagrar data eller inte, om du accepterar debet-/kreditbetalningar, gäller PCI-efterlevnad för dig.
Jag bearbetar bara ett litet antal transaktioner, och PCI gäller bara stora företag.
PCI-efterlevnad är för alla företag som lagrar, bearbetar eller överför till och med en enda debet-/kreditbetalning. Det enda undantaget är för företag som har överlämnat hela transaktionsprocessen till en tredje part.
Efter att jag har rapporterat och validerat efterlevnaden är PCI över och gjort.
PCI-efterlevnad är en pågående process, inte en händelse en gång om året. Validering ska ses som en ögonblicksbild i tid, inte en generell stämpel för godkännande. Det är vanligt att hitta företag som validerades under en årlig bedömning men som senare upplevde ett säkerhetsintrång på grund av bristande efterlevnad.
Andra handlare har inte bötfällts, och även om jag inte följer reglerna är böterna ingen stor sak.
Böterna för bristande efterlevnad är rejäla och sträcker sig från $5 000 till $100 000 per månad. Företag kan också förlora rätten att behandla debet-/kreditbetalningar helt och hållet tills efterlevnaden har bevisats och bekräftats.
Jag klarade min ASV-skanning, så jag är klar.
ASV-skanningar är bara ett enda steg i en kontinuerlig process. Se dem som ett enda verktyg bland många i det pågående arbetet med att upprätthålla efterlevnad.