En iyi PCI uyumluluk efsanelerinin PCI - 5 uyumluluk efsanelerini çürütmek

PCI DSS standardı 7 Eylül 2006'da yürürlüğe girmiştir. Amacı, PCI güvenlik standartlarını yönetmek ve işlem sırasında hesapların güvenliğini arttırmaktı. Ödeme kartı endüstrisinin veri güvenliği standardı, PCI DSS'NİN yönetiminden ve yönetiminden sorumludur. PCI DSS tarafından belirlenen kurallara ve düzenlemelere uyduklarından emin olmak için ödeme yapan markalardır.

PCI standardına uygunluk sorunları

Bu günlerde, kart verileriyle çalışan herhangi bir şirket veya kuruluş için PCI standardına uygunluk zorunludur. PCI kurallarına uymanın temel sorunu, bunların çok kapsamlı olması ve bu nedenle çoğu kuruluşun bu kurallara uymanın zor bir görev olduğuna inanmasıdır. Ödeme endüstrisini çevreleyen ve işleri daha da karmaşıklaştıran birçok yanlış anlama ve efsane vardır. Bu, kuruluşların PCI kurallarıyla tam olarak uyumlu olmanın ne anlama geldiğinden bile emin olmadıkları anlamına gelir. Satıcılar, yalnızca profesyonel performansları için mantıklı bir anlam ifade eden standartlara uymak için cazip olabilirler. Onlara, kritik alanlarda korunmaya yetecek kadar şey yaptıklarını hissedebilirler. Güvenlik ihlalinin oldukça olası olmadığını düşündükleri için. Bazı tüccarlar PCI standardına uyma ihtiyacını tamamen görmezden gelebilirler.

PCI standartlarına uyumsuzluk sorunu, bunun veri sızıntısından kaynaklanan maddi hasarlara, müşterilerden gelen güven kaybına ve hatta kredi kartı şirketleri tarafından yapılan önemli cezalara ve ciddi yasal işlemlere yol açmasıdır. Bu nedenle kuruluşlar PCI uyumluluk gereksinimlerini açıkça bilmelidir.

İşte bilmeniz gereken PCI uyumluluğu hakkında 5 temel efsane.

PCI, e-ticaret işletmeleri için tasarlanmıştır

Tüccarlar, yalnızca e-ticaret yapıyorlarsa PCI kurallarına uymaları gerektiğine inanıyorlar. Bununla birlikte, gerçekte PCI uyumluluğu, kart sahipleri hakkındaki bilgilerin depolanması, işlenmesi ve iletilmesini içeren her türlü işletme için geçerlidir. Bu, satış noktasında bir e-ticaret platformu veya mağazada kullanılan bir POS sistemi, sanal bir terminal veya ayrı bir terminal olabilir. Mağazada bir satıcıysanız ve kredi kartı verilerinizle çalışmak istiyorsanız, POS cihazlarının bazen kullanıcıların işlemlerle birlikte parça verilerini depolamasını gerektirdiğini aklınızda bulundurmanız gerekir. Bununla birlikte, bu süreç PCI DSS kurallarına aykırıdır ve çeşitli bankalardan büyük para cezalarına neden olabilir. Bu nedenle, hoş olmayan olayları önlemek için POS cihazını dikkatli bir şekilde seçmelisiniz. Bu ödeme ağ geçitleri için geçerlidir. Tüm satıcılar PCI kurallarına uymalıdır.

Küçük işletmelerin, işletmeleri genişleyip büyüyene kadar PCI hakkında endişelenmeleri gerekmez.

Bu ifade gerçeklerden uzak olamaz. Gerçek şu ki, küçük işletmeler PCI uyumluluğuna özel dikkat göstermelidir. Siber suçlular ve bilgisayar korsanları genellikle daha büyük işletmelere göre zayıf veri güvenliği önlemlerine sahip küçük işletmeleri seçerler. İşletmenin hangi büyüklükte olduğu önemli değil - büyük veya küçük. Hassas kart verileriyle çalıştıkları sürece PCI uyumluluk kurallarına uymaları gerekir. Bu, bir ticari firma faaliyete başladıktan sonra, tüm PCI gereksinimlerinin farkında olması ve bunlara uyması gerektiği anlamına gelir.

Çoğu kritere uyuyorsa, bir işletme PCI ile eşleşebilir

Birçok tüccar, PCI ile ilgili koşulların ve kuralların çoğuna uyuyorlarsa PCI gerekliliklerine uygun olduklarına inanmaktadır. Ancak durum böyle değildir ve böyle bir düşünce tarzı onları çeşitli güvenlik ihlallerine karşı savunmasız hale getirebilir. Yalnızca bir PCI kuralına uymasanız bile, PCI kurallarına uygun olarak kabul edilemezsiniz. Uyumlu olabilmek için tüm gerekliliklere uymanız gerekir. Yalnızca işletmeniz için makul veya mantıklı görünen standartları seçmeye çalışmayın. Belirli bir uyum kuralının önemini fark edip etmediğinizden bağımsız olarak, potansiyel saldırılara karşı tamamen korunmanız için onu takip etmeniz gerekir. En az bir standarda uymadığınız anda müşterilerinizi riske atıyorsunuz demektir. Kart sahipleri hakkındaki bilgileri korumak için PCI standardına tam uyumluluk gereklidir. Ancak, bu sadece minimum standarttır. Veri sistemlerinin güvenliğini artırmak için ek güvenlik önlemleri uygulayabilirsiniz.

PCI, ticaret işletmelerinin kart sahipleri hakkında bilgi depolamasını gerektirir

PCI için kart sahipleri hakkında veri depolamak isteğe bağlıdır. Dahası, PCI, işlemcilerin ve tüccarların bu verileri saklamasını şiddetle tavsiye etmemektedir. Kredi kartlarının arkasındaki manyetik şeritlerden alınan verilerin saklanması yasa dışıdır. Bir ticaret şirketinin hesap numaraları ve müşteri adları gibi kredi kartının ön tarafındaki bilgileri saklaması gerekiyorsa, bu bilgiler şifrelenmiş biçimde saklanmalıdır.

Tüccarlar herhangi bir veriyi depolamayı seçebilir.

Tüccarların herhangi bir müşteri verilerine sahip olmadıklarını ve hak sahibi olmadıklarını belirtmek önemlidir. Sonuç olarak, işletmeler iş gereksinimlerini desteklemek için kullanmak istedikleri bilgileri saklayamazlar veya bunlara erişemezler. PCI, tüm ticaret işletmelerinin kredi kartı numaralarını, pın bloklarını, CVV veya CVV2'Yİ ve PIN kodlarını saklamasını kesinlikle yasaklar. Bu tür veriler şirket veritabanında, denetim kayıtlarında veya kayıt kayıtlarında bulunursa, bu verilere karşı yasal işlem yapılabilir.

Yukarıdaki efsaneleri takip etmek, şirketin PCI Uyumluluk kurallarına uymak için ne yapılması gerektiğini bildiğinden emin olmanın bir yoludur. PCI Uyumluluğu hakkında daha fazla bilgi edinmek için bağlantıyı da takip edebilirsiniz.