如果您的企业接受信用卡,则需要在2018年2月之前遵守新的支付卡行业数据安全标准(PCI DSS)3.2规定
PCI DSS从2004年开始生效,旨在帮助您在购买卡之前,期间和之后保护客户数据。
2016年4月,发布了PCI DSS 3.2版,新法规将帮助您的企业更有效地管理信息安全。
PCI DSS是数据安全措施和控制措施的集合,可防止欺诈性地使用卡付款信息
PCI DSS规定了数据安全最佳实践。它包含 12个核心点 关系到:
- 建立和维护安全的网络
- 保护持卡人数据
- 维护漏洞管理程序
- 实施强有力的访问控制措施
- 定期监控和测试网络
- 维护信息安全策略。
但是,支付方式的发展(例如,近年来出现了移动支付)在涉及客户支付信息时导致了新的漏洞。
PCI DSS法规的更新,包括最近引入的 版本3.2,反映这种变化的情况。
多因素身份验证是PSCI DSS 3.2中引入的主要更改
多因素身份验证意味着您至少需要两个凭据才能授权对卡数据和系统的访问。换句话说,即使您是在受信任的内部网络上工作,仅靠密码本身也已不足。
更改适用于有权访问持卡人数据环境的所有人,包括有权更改系统和设置的管理员。
服务提供商还必须遵守更强大的控制措施
您的服务提供商在保护客户数据方面起着关键作用。您可以制定严格的程序,但是如果第三方也未遵守高安全性标准,则仍然可能发生违规行为。
PCI DSS 3.2引入了几个新功能 服务提供商要求
例如,它们必须满足有关监督和故障检测机制的标准。他们必须更定期地测试他们的系统,并提供有关其已实施控制的其他证据。新的要求还使PCI DSS合规性成为服务提供商的管理层责任,从而确保信息安全是核心策略和重点的一部分。
涉及信息安全的每个人都对PCI DSS合规性感兴趣
如果您不确定如何进行更改,请先确保您的业务与兼容的服务提供商合作,例如付款网关和购物车。
您可能还会发现任命合格的安全评估员(QSA)很有帮助,以帮助您制定出合规所需采取的精确步骤。 QSA是评估员,而不是审计师,它是旨在帮助您取得成功的合作伙伴关系。
所有QSA必须是经过认证的公司的一部分: 在PCI网站上查看此认可的提供商列表。寻找一个在您所在行业具有SME经验的人。
直到2018年2月1日,PCI DSS 3.2中引入的大多数更改都是最佳实践
但是,最好是积极主动,这样您才能在截止日期前有足够的时间遵守规定。
中小型企业很可能需要时间来遵守,因为许多中小型企业缺乏专业的IT专业知识。鉴于中小型企业的主管戴上几顶帽子,处理从人力资源到业务开发和IT的所有事务,找到时间和资源投入信息安全是一个持续的挑战。
因此请记住,替换身份验证过程和协商新合同需要花费时间。您可能还需要在组织内部实施文化变革。这通常需要对员工进行培训,使其了解如何处理卡支付及其职责。并从QSA寻求专家支持,以帮助您制定合规,可持续的流程。
一旦实施了这些流程,将PCI DSS视为一项持续的承诺就很重要。这不仅可以使您的业务更加安全,而且还可以帮助您为客户提供更好的服务。
外卖:
- 接受信用卡付款的公司必须在2018年2月之前遵守PCI DSS 3.2。
- 影响中小企业的主要变化是多因素身份验证。
- 您的服务提供商必须遵守PCI DSS 3.2下更强大的控件,因此请确保您的合作伙伴符合要求。
- 即使您不需要在2018年2月之前进行所有更改,最好还是主动采取行动,因为这可能需要一些时间才能使您的流程和系统合规。
- 如果您需要或需要有关合规性方面的帮助,请咨询具有您所在行业的SME经验的合格安全评估师(QSA)。
获得有关如何将最佳实践SME金融和IT系统部署到位的更多提示。下载: 从您的财务系统中获得70%的增值:《业务负责人IT战略指南》
