Skip to main content

5 Tipps zur einfachen PCI-Compliance

Wenn Sie ein kleiner Händler sind, kann die PCI-Konformität als eine geheimnisvolle Kunst erscheinen, aber Sie ignorieren sie auf eigene Gefahr. Die Nichteinhaltung der Sicherheitsstandards, die vom PCI-Sicherheitsstandardrat (PCI) entwickelt wurden, zieht Strafen von 5.000 bis 100.000 US-Dollar pro Monat nach sich.

Die PCI-Datensicherheitsstandards (DSS) und viele andere unterstützende Dokumente können problemlos heruntergeladen werden Website des Rates, aber für kleine Unternehmen ohne IT-Sicherheitsexperten können die Anforderungen verwirrend sein. Es gibt jedoch einige Dinge, die Sie tun können, um den Compliance-Prozess und die Sicherheitsmaßnahmen, die er vorschreibt, zu erleichtern. Ich rate Ihnen immer noch, einen Qualified Security Assessor (QSA) zu beauftragen, aber diese Tipps können Sie in die richtige Richtung lenken.

Keine Karteninhaberdaten speichern

Um Ihre Sicherheitsmaßnahmen für die PCI-Compliance erheblich zu vereinfachen, tun Sie dies nicht speichern oder speichern Sie Karteninhaberdaten in schriftlicher oder digitaler Form. Verwenden Sie einen Kartenleser, POS und / oder Zahlungsprozessor, der diese Informationen nicht auf Ihren Systemen speichert, so dass Sie sich keine Gedanken über den Schutz und die Verschlüsselung dieser Daten machen müssen. Details zu den jeweiligen Modellen erhalten Sie bei den Zahlungsanbietern.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Bewahren Sie niemals die Authentifizierungsinformationen einer Kreditkarte auf.

Wenn Sie die Karteninhaberdaten erneut aufbewahren müssen Rechnungsstellung oder andere erforderliche Geschäftszwecke, erkundigen Sie sich bei Ihrem Zahlungsprozessor, ob sie Optionen bieten, mit denen Sie die Daten auf ihren Systemen eingeben und speichern können. Wenn Sie die Daten selbst speichern müssen, denken Sie daran, dass Sie viele weitere Sicherheitsmaßnahmen befolgen müssen und niemals vertrauliche Authentifizierungsinformationen speichern können: volle Magnetstreifendaten, Sicherheitscode oder PIN.

Wählen Sie eine PCI-konforme Option Webhost

Wenn Sie Produkte verkaufen oder Zahlungen über Ihre Website vornehmen, wählen Sie einen PCI-konformen Webhostingplan und eine E-Commerce- oder Warenkorbanwendung. Einige Webhosting-Unternehmen veröffentlichen ihre Compliance-Daten öffentlich auf ihrer Website, aber in vielen Fällen müssen Sie sich an die Verkaufs- oder Supportabteilung wenden. Für E-Commerce-Anwendungen und Einkaufswagen können Sie die Liste der validierten Zahlungsanwendungen vom PCI-Rat konsultieren.

Sie werden wahrscheinlich eine härtere Chance haben, PCI-Konformität zu erreichen, wenn Sie billigere Shared-Hosting-Pläne aufgrund der Art der Server verwenden sind auf mehrere Website-Besitzer aufgeteilt. Sie können jedoch mit einer (die sogar nicht konform ist) fortfahren, wenn Sie eine gehostete Zahlungslösung wählen, bei der Kunden zu einer kompatiblen Website weitergeleitet werden, um ihre Kreditkartendetails wie PayPal Standard, 2Checkout oder Autorisieren einzugeben. Netz. Und Sie sollten möglicherweise eine gehostete Zahlungslösung in Betracht ziehen, selbst wenn Ihr Webhosting-Plan kompatibel ist, um die Sicherheitsmaßnahmen zu reduzieren, die Sie ergreifen müssen. Wenn Sie jedoch den Zahlungsprozess vollständig in Ihre Site integrieren möchten, müssen Sie möglicherweise einen teureren virtuellen privaten oder dedizierten Server verwenden, die in der Regel PCI-kompatibel sind.

Verwenden Sie DFÜ-Terminals anstelle von IP-Terminals

DFÜ-Kreditkarten-Terminals verbinden sich mit Ihrer Telefonleitung und kommunizieren mit dem Zahlungsprozessor ähnlich wie die alten 56K-Modems, die mit dem DFÜ-Internet verbunden sind. Sie sind langsamer als IP-basierte Terminals, können aber Ihre Karteninhaberdatenumgebung - die Computer und Komponenten, auf denen Karteninhaberdaten gespeichert, verarbeitet oder übertragen werden - stark reduzieren und so die Sicherheitsmaßnahmen reduzieren, die Sie befolgen müssen.

Was auch immer Wählen Sie die Art des Kreditkarten-Terminals oder POS-Systems, das Sie wählen, stellen Sie sicher, dass es PCI-konform ist, entweder über den Anbieter oder indem Sie die Genehmigten PIN-Transaktions-Sicherheitsgeräte und / oder die Liste validierter Zahlungsanwendungen vom PCI-Rat prüfen. Erkundigen Sie sich auch bei den Anbietern, wie ihre Terminals funktionieren und erkundigen Sie sich nach denen, die die Compliance erleichtern.

Verwenden Sie ein separates Netzwerk für die Zahlungsverarbeitung

Wenn Sie IP-basierte Kreditkarten-Terminals verwenden, ist es möglicherweise einfacher, ein vollständig separates Netzwerk mit einer eigenen Internetverbindung für die Zahlungsverarbeitung zu haben. Dies kann die Sicherheitsmaßnahmen erleichtern, die Sie während der anfänglichen Netzwerkeinrichtung ergreifen müssen und denen Sie in Zukunft folgen müssen, um PCI-konform zu bleiben.

Sichere mobile Kartenleser

Für kleine Unternehmen, die Vor-Ort-Services anbieten, mobile Kartenleserlösungen wie Square, GoPayment oder PayPal Hier sind sehr attraktiv. Sie bieten eine schnelle und einfache Möglichkeit, Kreditkartenzahlungen zu akzeptieren, und können mit Smartphones oder Tablets über eine Zellendaten- oder Wi-Fi-Verbindung genutzt werden. Obwohl die aktuellen PCI DSS-Anforderungen (Version 2.0) nicht speziell auf mobile Kartenleser ausgerichtet sind, müssen Unternehmen dennoch sicherstellen, dass diese Lösungen die PCI-Richtlinien erfüllen.

Die PCI hat Sicherheitsrichtlinien für die Sicherung mobiler Zahlungslösungen veröffentlicht Ihre Smartphones oder Tablets. Grundsätzlich sollten Sie sicherstellen, dass die mobilen Geräte physisch und digital vor Diebstahl, unbefugter Nutzung, Malware und Hacking geschützt sind. Jailbreak oder root dein Gerät oder andere Funktionen, die das Gerät unsicher machen können, wie USB-Debugging auf Android-Geräten. Installieren Sie eine Antivirus-App und laden Sie Apps nur von vertrauenswürdigen Quellen wie dem offiziellen App Store herunter. Denken Sie daran, wenn die mobilen Geräte während der Verwendung des Kartenlesers unter der Kontrolle des Unternehmens mit einer Wi-Fi-Verbindung verbunden sind, muss das Netzwerk PCI-konform sein.