小型企业的PCI合规性:你需要知道的乐鱼游戏app下载
本文是关于支付.
PCI遵从性是满足支付卡行业数据安全标准(PCI DSS)列出的12项要求。的安全标准委员会是由维萨等主要信用卡公司委托成立的独立小组。任何接受信用卡的业务都必须符合pci,以避免费用、罚款,甚至在数据泄露的情况下承担责任。
要实现小型企业的PCI符合性,需要完成并提交一份自我评估问乐鱼游戏app下载卷和每年由PCI安全标准委员会提供的符合性认证,并完成内部和外部漏洞扫描。
以下是12个PCI要求的列表,根据小型企业应该遵循的6个主要目标进行分类,以保持PCI符合性:乐鱼游戏app下载
目标 |
PCI要求/清单 |
---|---|
维护安全的物理网络 |
|
保护持卡人数据 |
|
管理网络的脆弱性 |
|
实施强有力的访问控制措施 |
|
监控和测试数据安全系统 |
|
确保信息安全 |
|
谁需要符合PCI标准?
任何参与处理支付的人——包括商家、服务提供商、支付处理程序和支付网关——都需要遵守PCI DSS指南。不幸的是,中小型企业(SMBs)是更容易受到数据泄露的影响比更大、更成熟的公司。这种情况在大流行期间恶化了,当时远程工作设置明显增加中小企业没有做好保护的准备他们自己。
虽然这些标准会定期进行评估和更新,但支付安全的基本目标是不变的。你需要防火墙来保证物理安全,数据安全,升级的技术(包括安全的POS系统),以及最新的杀毒软件。
新闻:
今年3月,PCI安全标准委员会发布了PCI数据安全标准v4.0.更新要求的重点是确保企业有适当的安全措施,以适应支付行业中更动态和快速发展的技术。PCI DSS v4.0将在2024年3月实现,企业可以利用这两年的过渡期来采用必要的升级。
如何让你的小企业符合PCI标准乐鱼游戏app下载
为了确保遵从PCI,您需要填写适当的自我评估问卷(SAQ)和合规认证(AoC),以及每年完成的漏洞扫描。以下是PCI遵从性的详细步骤:
步骤1:确定您所属的PCI遵从级别
对于不同规模的企业,有不同级别的PCI遵从性,每个级别都有自己的一组特定要求和指导方针。很多时候,您的商家服务提供商或支付处理程序将提供某种程度的PCI遵从性,但作为商家,您仍然必须采取一些步骤。首先,确定哪个级别适合你。
1级
|
每年处理600多万笔签证交易的企业 |
2级
|
每年处理100万至600万笔签证交易的企业 |
3级
|
企业每年处理2万至100万笔Visa电子商务交易 |
4级
|
每年处理签证电子商务交易少于20,000宗的业务;每年处理最多100万笔签证交易的企业(非电子商务) |
大多数小型实体企业将属于第4级PCI遵从。小型在线业务很可能属于第3级。但是,请注意,遇到安全漏洞导致账户数据泄露的商家可能被要求具有更高级别的PCI遵从性。
你知道吗?
根据最近的希斯考克斯网络准备报告在美国,415家员工少于50人的企业中,有139家(34.8%)在2022年第一季度经历了至少一次网络攻击。由此引起的任何数据泄露都将使小型企业从第4级PCI遵从性要求转移到第1级PCI遵从性要求。乐鱼游戏app下载
第二步:填写PCI依从性自我评估问卷
所有接受主要信用卡的中小型商家(第4级)必须完成一部分PCI遵从性要求的SAQ。此表格应由一名公司职员正式签署,并每年提交一次给收单银行。你可以在官方PCI DSS网站然后决定哪一个适合你。例如:
- 如果你经营在线业务,并使用Shopify作为你的支付网关和处理器,你需要填写SAQ-A。
- 使用POS系统和终端的实体企业(如Lightspeed)将需要使用SAQ-C文档。
- 对于虚拟终端的手动输入,例如当您接受电话订单或在线发票时,您需要完成SAQ-C-VT。
填写SAQ的技巧:
- SAQ要求对所列问题给出“是或否”的回答,并期望每个问题都有相关的测试程序。使用这些测试程序作为一种方法来验证您的遵从性,并自信地回答问卷。
- SAQ的最后一部分允许您指定您的行动计划,如果您没有达到任何PCI DSS要求,这包括您正在采取的步骤和您预计完成这些步骤的预计日期。
- 如果你不确定该做什么,考虑和一个合格的PCI QSA公司帮助进行自我评估。
第三步:研究你的支付技术
虽然云用户可能更容易受到影响(对网络应用程序的网络攻击从2021年到2022年增长了88%),使用云计算运营业务的优势远远超过了这些风险,特别是因为你可以采取措施保护数据。
您需要选择与pci兼容的支付网关对于初学者来说,如果你经营一个店面,你还需要保护你的POS系统不受数据泄露的影响。
单独的安全套接字层(SSL)证书并不能使您的网站与pci兼容。这段代码加密了你的网站和浏览器之间的通信,在在线销售和接受支付时非常有用。然而,它不保护网络服务器免受网络攻击。您将需要额外的步骤来满足PCI遵从性以建立完整电子商务安全.
调查支付技术的贴士:
- 在考虑您用于运行小型企业的工具和系统时,要寻找创建专用用户帐户和登录的能力。乐鱼游戏app下载只有需要访问权限的人才应该能够获得消费者数据,而您应该能够跟踪谁看到了什么。
- 双因素身份验证和点对点加密(P2PE)是其他很好的安全特性,特别是对于由于证书被盗而引起的网络攻击。
- 及时安装所有供应商的安全补丁和更新。否则,您将面临被攻击的风险。还要记得检查你的设置。近一半的企业永远不要更改供应商的默认设置。
步骤4:创建并记录安全与合规流程
有趣的是,最近的UpCity研究发现,尽管80%的小企业主越来越意识到网络盗窃的乐鱼游戏app下载危险,但50%的中小企业仍然没有适当的网络安全计划。您可能没有一个完善的数据隐私团队来帮助安全性,但是负责确保PCI遵从性的人也应该为其余业务创建要遵循的流程。
重要的是要沟通您新的PCI合规措施,为什么它们很重要,以及您的其他员工可以如何做出贡献。在大流行期间,这一点变得更加重要。惠普最近的一项研究显示,网络攻击目标有所增加远程工作设置中的安全盲点.
第五步:完成你的合规证明(AoC)
AoC是一份文档,如果您进行自我审计,或者合格的安全评估人员(QSA)将使用该文档来声明您的业务遵从程度。表单应填写、签署并与SAQ和经批准的扫描供应商(ASV)结果一起提交,我们将在下面讨论。预计企业每年都要提交AoC。
SAQ评审可以亲自完成,也可以通过虚拟方式完成,这取决于你的质量安全主管的喜好。如果他们从你的SAQ中确定你是pci兼容的,那么你将从他们那里收到你的AoC。
当商家使用第三方支付处理器时,大多数PCI遵从性要求都得到满足。但是,您仍然需要了解规则,并且必须满足环境PCI遵从性,例如使用防火墙、强密码和限制对持卡人数据的访问。
步骤6:用漏洞扫描证明PCI遵从性
这取决于你如何接受信用卡在美国,您可能需要向经批准的扫描供应商(ASV)支付定期漏洞扫描的费用,ASV是一家第三方公司,它将进行每季度的漏洞扫描,以验证您的PCI符合性。ASV将确定您是否尽一切可能保护消费者信用卡和联系信息。
什么是漏洞扫描?
外部漏洞扫描由ASV执行,以确定您的网络对用户是否安全。ASV还可以执行内部扫描来检测漏洞,但许多商家选择使用适当的SAQ自己进行扫描。
外部扫描在您的网络防火墙中查找漏洞,而内部扫描在您的企业防火墙中查找漏洞。两者都是必要的,但内部扫描可以自行执行。
ASV每个季度都会给你及格或不及格,你需要把它提交给PCI DSS委员会。如果您对网络进行了任何更改,则必须安排新的扫描,因为在发生微小更改时可能会发生故障。例如,您的互联网服务提供商(ISP)可能更改了您的公共IP地址,而您的ASV可能正在扫描您的旧IP地址,这可能导致“未检测到主机”。
步骤7:提交PCI遵从性文档
收集您的所有文件,并通过电子文件选项或通过蜗牛邮件向PCI DSS委员会提交您的PCI DSS报告。
该报告将包括:
- 总结发现:由一般陈述和详细的安全评估组成
- 审计细节:这将列出根据需求组织的所有相关业务框架规范的所有测试过程和实现问题
- 业务信息:这是您的SAQ中所示的业务概况的摘要
- 卡支付基础设施:文档,例如您的网络图、事务流程图、无线局域网设置的详细信息、正在使用的POS产品列表(包括无线POS终端)
- 外部关系的细节:这是一个共享您的持卡人数据的服务提供商列表,包括卡支付公司和其他需要遵从PCI DSS的业务实体
步骤8:跟踪和测试你的系统
数据安全性和PCI遵从性并不是设置好就可以忘记的。经常测试您的安全措施以确保它们按预期工作是很重要的。只有一半多一点的组织成功地测试了他们的数据安全程序,只有三分之二的公司对系统访问进行了充分的跟踪和监控。12点要求详细说明了如何在评估期间保持PCI符合性。
保持PCI符合性的提示:
- 定期:保持所有杀毒软件、入侵检测和防御引擎的更新,并定期进行扫描。
- 日报:使用日志收集、解析和告警工具记录安全事件。采用信誉良好的安全漏洞信息来源,并建立识别和分配风险排名的流程。
- 周末:安装一个变化检测软件来监视和识别关键文件的修改。
- 每月:在发布后一个月内安装供应商提供的关键和非关键安全补丁。
- 季度:通过AVS执行系统扫描。
- 每半年一次:执行并记录检查,以确保您的防火墙和路由器配置符合PCI遵从标准
- :每年执行系统审计、安全测试和风险评估程序。检查您的信息安全政策和面向公众的web应用程序。为员工进行安全意识培训。
PCI合规对小型企业的重要性乐鱼游戏app下载
建立消费者信心
不仅每个企业都容易受到数据泄露的影响,而且消费者也越来越意识到商家可以采取哪些措施来保护他们的信息。这影响了他们的购买决定。
一项调查发现86%的人消费者有一个日益增长的担忧过去一年的数据隐私状况。另一项调查显示,当消费者对机构保护其数据的能力失去信心时,他们会采取行动19%的人终止与零售商的关系乐鱼app官网下载入口还有19%与信用卡提供商合作,18%与金融机构合作。
防止资料泄露
2019年第一资本(Capital One)和2021年微软(Microsoft)等大公司的数据泄露报告让消费者对分享自己的财务信息持谨慎态度,与小型企业更是如此——他们谨慎地这么认为。许多公司,特别是中小型企业,在数据安全方面都面临着严峻的挑战。
此外,许多企业甚至不确定他们是否保持了PCI符合性。网络罪犯可以利用网站、防火墙和不安全远程访问中的已知漏洞来获取有价值的信用卡数据。再来看看另一起臭名昭著的数据泄露事件,这次的受害者是Equifax2017年,超过18.2万个信用卡号被曝光。这类信息泄露对信用卡公司、银行和小商户都是破坏性的。
你知道吗?
PCI依从性上升已经有一段时间了。尽管报告显示,2010年代前半段合规程度大幅上升,但自那以来合规程度有所下降。根据Verizon 2020支付安全报告在美国,只有超过四分之一的企业完全符合PCI标准,比前一年下降了近9%,比2016年下降了27.5%。
做好数据泄露的准备
在2021年,数据泄露的成本小企业达乐鱼游戏app下载到298万美元,其中38%是由于业务损失。根据IBM的同一份报告,这种损失会持续数年——第一年53%,第二年31%,甚至两年后还有16%的成本仍然有效。
你知道吗?
如果你面临数据泄露,你可能还会破坏客户的信任。一项调查显示,约四分之三的在线购物者更倾向于从大型零售商那里购物乐鱼app官网下载入口2021年BrizFeel调查因为消费者相信大型企业重视安全。消费者非常清楚安全问题和数据泄露79%的美国人担心对他们的数据。
符合PCI意味着您有一个最新的事件响应计划在PCI DSS要求12中概述。整个准则还可作为有效应急管理和取证调查过程的可靠起点,以帮助在发生导致数据泄露的网络攻击时降低成本。
PCI合规成本
为了确保您的业务符合PCI标准,您可能需要缴纳各种费用。这些费用可以是月费或年费,费用从每月10美元到每年数百美元不等。这取决于服务、您选择的支付处理器类型,以及您计划如何处理AoC和漏洞扫描。
通常情况下,像Square和Shopify这样的支付处理程序不会为遵从PCI而单独收取费用。相反,他们将合规成本计入您的月费或交易费。一个传统的商业账户可能会附带额外的合规费,或者合并到声明费中。例如,大通商业服务公司(Chase Merchant Services)在其现收现付(pay-as-you-go)计划中不收取任何符合PCI标准的费用。
当你需要漏洞扫描或你想雇佣一个QSA时,你可以期望支付PCI遵从费:
- ASV扫描:每季度对您的业务环境进行漏洞扫描,例如防火墙、互联网等,通常按年收费;平均价格从200美元到1000美元不等。
- QSA服务:拥有多个地点的商家可能希望雇佣一个QSA来遵从PCI;费用从1万美元起,根据地点的数量和网络的复杂性而定。
对PCI遵从性收取费用是常见的,因为这些费用用于更新和维护数据服务器,并确保所有数据安全性。你的支付处理程序、支付网关或服务提供商负责数据传输和存储,所以不管怎么收费,这都是一笔重要且必要的费用。
PCI合规是一套标准,而不是实际的法律,所以它是由信用卡公司监管的。那么,如果您仍然不遵从,最坏的情况会是什么?以下是一些可能性:
- PCI不顺从的费用:你将每月支付19.95美元(或更多),直到你证明你的业务是pci兼容的(虽然它看起来来自你的支付处理器,但它来自信用卡公司,但有些处理器可能会收取更高的费用)。
- PCI不服从好:发生安全漏洞,导致消费者数据泄露;你们的记录显示不合规;你每月将支付5000到100000美元的违约金。
- PCI不符合和撤销:你的收单银行取消了你接受信用卡的能力,这可能是你生意的结束。
PCI遵从性常见问题(FAQ)
小型企乐鱼游戏app下载业需要遵循pci吗?
是的。乐鱼游戏app下载小企业更容易受到数据泄露的影响。对于小型企业来说,必须符合第4级PCI标准,其中包括至少每季度扫描一次和每年提交一乐鱼游戏app下载份自我评估问卷(SAQ)。
小型企业的基本PCI遵从性要求是什么?乐鱼游戏app下载
乐鱼游戏app下载每年处理交易少于20,000美元的小型企业须每年提交一份自我评估问卷(SAQ)和一份合规证明(AoC)。您还需要为您的公司建立、记录和维护安全策略。
小型企业的PCI合规成本是多少?乐鱼游戏app下载
对于小型乐鱼游戏app下载企业,第三方安全专业人员的自我评估问卷(SAQ)费用约为50 - 200美元。漏洞扫描的费用从每个IP地址100美元起;补救工作的起价也是100美元,但可以根据需要做的事情(软件更新、硬件更换等)迅速增加。每位员工的安全意识培训费用约为50 - 70美元。
有没有一种方法可以免费成为pci兼容?
建议咨询安全专业人员,以确保您准确地执行了必要的步骤,但您可以通过选择正确的商家服务提供商将成本降至最低。之后,您可以开始填写SAQ并自行维护安全扫描记录。
底线
对于商人来说,认真对待他们的小型企业的PCI遵从性变得越来越重要。乐鱼游戏app下载不要认为仅仅因为您的支付处理程序是合规的,您就可以摆脱困境。遵循指导方针,一定要检查官方网站对于任何更改。PCI遵从性需求随着数据安全性的发展而发展。