Ako sa stať zadarmo kompatibilným s PCI?

1. 1
   Určte manažéra súladu. Váš personál by mal zahŕňať jednu osobu, ktorá je zodpovedná za udržiavanie a testovanie zhody s PCI.

   • Váš manažér dodržiavania predpisov by mal pravidelne kontrolovať predpisy PCI DSS, aby sa s nimi udržal oboznámený, a monitorovať informácie, ktoré o interpretácii a implementácii týchto predpisov poskytuje Rada pre bezpečnostné štandardy PCI.
   • Váš manažér súladu si môže stiahnuť najnovšie dokumenty PCI DSS z online knižnice dokumentov Rady pre bezpečnostné štandardy, ktorá je k dispozícii na adrese https://pcisecuritystandards.org/security_standards/documents.php.
   • Aj keď sa PCI DSS vzťahuje na všetky hlavné značky kariet, každá môže mať mierne odlišné požiadavky na súlad. Váš manažér dodržiavania predpisov by mal byť oboznámený so špecifickými normami pre každý typ karty, ktorý akceptujete.
   • Tieto všeobecné zásady dodržiavanie stanovenej Radou bezpečnostných štandardov sú len minimum - každý poskytovateľ karty môže vyžadovať dodatočné ochrany. Aby ste zaistili, že budete plne kompatibilní s PCI, musíte mať znalosti a znalosti o štandardoch pre všetky značky kariet, ktoré akceptujete.
   • Ak si vaša firma nemôže dovoliť zamestnať niekoho konkrétne na túto úlohu, stále by ste mali mať konkrétneho manažéra z personálu, ktorý sa stará o dodržiavanie PCI. Môžete sa tiež obrátiť na banku, ktorá spracováva vaše transakcie s kreditnými kartami (zvyčajne sa označuje ako vaša nadobúdajúca banka), a opýtať sa, ako najlepšie dodržať štandardy. Mnoho z týchto bánk má zdroje a odborné rady, ktoré vám bezplatne ponúknu.
2. 2
   Kupujte a používajte iba schválené zariadenia na zadávanie pinov a platobný softvér. Schválené a overené zariadenia a softvér už spĺňajú štandardy zhody PCI.

   • Rada pre bezpečnostné štandardy má zoznam schválených zariadení dostupných na svojej webovej stránke na adrese https://pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php. Zoznam je zoradený abecedne podľa názvu spoločnosti, ktorá zariadenie predáva, a tiež je možné ho vyhľadávať v niekoľkých rôznych poliach vrátane názvu produktu a poskytovaných funkcií.
   • Zoznam overených žiadostí o platby je dostupný aj na webovej stránke Rady pre bezpečnostné štandardy na adrese https://pcisecuritystandards.org/approved_companies_providers/vpa_agreement.php. Tento zoznam je možné vyhľadávať podľa názvu spoločnosti, názvu aplikácie alebo typu aplikácie.
3. 3
   Heslá zamestnancov pravidelne meňte. Pravidlá pravidelnej zmeny hesiel zamestnancov alebo v prípade určitých udalostí môžu zabrániť prístupu neoprávnených strán k vášmu systému.

   • Zakážte zamestnancom zapisovať si heslá alebo ich nechávať vedľa počítača alebo kdekoľvek, kde by k nim mohol získať prístup niekto iný.
   • Zmeňte všetky heslá zamestnancov, kedykoľvek zamestnanec z akéhokoľvek dôvodu opustí vašu spoločnosť, a odstráňte staré heslo tohto zamestnanca zo systému. Umožnenie nepretržitého prístupu k vášmu systému niekomu, kto už nie je vo vašej spoločnosti zamestnaný, môže mať za následok vážne narušenie bezpečnosti.
   • Majte heslá pre jednotlivých zamestnancov s úrovňami prístupu, ktoré zodpovedajú ich úlohe vo vašej firme, a nie s generickými správcovskými účtami alebo s prístupom pre každého.
4. 4
   Zaškolte personál o bezpečnosti údajov. Všetci zamestnanci, ktorí narábajú s citlivými údajmi držiteľa karty, by mali pochopiť, ako najlepšie tieto informácie udržať v bezpečí a ako postupovať v prípade narušenia zabezpečenia.

   • Uistite sa, že každý vie, kto je manažér súladu a ako sa s ním môžete zoznámiť, ak sa zistí porušenie.
   • Váš manažér dodržiavania predpisov by mal zvyčajne tiež zodpovedať za komunikáciu vašich zásad a postupov v oblasti zabezpečenia údajov s ostatnými vašimi zamestnancami a za informovanie ich o akýchkoľvek zmenách alebo aktualizáciách.
   • Zdôraznite zamestnancom dôležitosť zabezpečenia údajov držiteľa karty a sankcionujte zamestnancov, ktorí porušujú vaše zásady zabezpečenia informácií.
5. 5
   Fyzicky zabezpečte všetky papierové záznamy. Chcete sa vyhnúť uchovávaniu papierových záznamov obsahujúcich údaje o držiteľovi karty, ako sú úplné čísla kreditných kariet, na papieri.

   • Prísne kontrolujte prístup k akýmkoľvek papierovým záznamom, ktoré obsahujú akékoľvek údaje o držiteľovi karty.
   • Nikdy si nezapisujte úplné číslo kreditnej karty zákazníka, najmä žiadne ďalšie identifikačné údaje, ako napríklad jeho meno alebo dátum vypršania platnosti karty.
   • Uistite sa, že na všetkých účtenkách vrátane kópie zákazníka je maskované celé číslo účtu zákazníka.
   • Majte na pamäti, že možno budete musieť nainštalovať fyzický zabezpečovací systém vrátane bezpečnostných kamier a dverných alarmov, ktorý nemusí byť zahrnutý alebo zahrnutý v prenájme vašej nehnuteľnosti. Týmto dodatočným nákladom môžete zabrániť tým, že informácie o držiteľovi karty neuložíte vo svojom vlastnom systéme.
6. 6
   Vytvorte plán reakcie na incident. V prípade narušenia zabezpečenia musia všetci manažéri vedieť, aké opatrenia je potrebné vykonať okamžite na zabezpečenie vašej siete.

   • Majte na pamäti, že väčšina štátov má zákony vyžadujúce upozornenie držiteľov kariet v prípade narušenia ochrany údajov.
   • Musíte si overiť právo štátu alebo štátov, v ktorých vaša firma pôsobí, aby ste zistili, aký druh oznámenia je vyžadovaný pri narušení bezpečnosti.
   • Mali by ste spolupracovať so svojim manažérom súladu, aby ste zaistili, že všetky zistené porušenia alebo zraniteľné miesta budú opravené alebo opravené čo najskôr po ich prvom zistení.
7. 7
   Podľa potreby aktualizujte svoje pravidlá, aby boli v súlade s novými predpismi. Pri revízii predpisov PCI DSS musíte určiť, aké zmeny musíte vykonať vo svojom systéme alebo postupoch, aby bola zachovaná zhoda. [[Obrázok: Be-a-Business-Analyst-in-Top-

Management-Step-3-Version-2.jpg | centrum]]

1. 1
   • Majte na pamäti, že štandardy sa musia rýchlo vyvíjať, aby držali krok s technologickým pokrokom. Hackeri pracujú na prelomení nového bezpečnostného protokolu v okamihu jeho implementácie, takže vaše zásady musia zostať flexibilné a prispôsobiteľné rýchlo sa meniacim technologickým prostrediam

1. 1
   Vykonajte štvrťročné kontroly zraniteľností. Ak prijímate platby priamo cez internet, musíte vyhľadať chyby zabezpečenia vo verejnej sieti.

   • Nie všetci obchodníci sú povinní predkladať štvrťročné správy o skenovaní. Ak nemáte internetový obchod alebo ak sú vaše online platobné procesy výlučne outsourcované, tieto skenovania nemusíte vykonávať, aby ste zostali v súlade s PCI.
   • Ak sú však vaše platobné procesy zadávané externe iba čiastočne alebo ak prijímate platby priamo prostredníctvom verejnej online siete, musíte štvrťročne skenovať a podávať správy.
   • Majte na pamäti, že štvrťročné skenovanie bude stáť peniaze. Aby ste dodržali súlad, musíte uzavrieť zmluvu so schváleným dodávateľom skenovania, akým je napríklad ControlScan. Tieto štvrťročné kontroly zvyčajne stoja niekoľko stoviek dolárov ročne.
   • Ak sa od vás požaduje odosielanie štvrťročných skenov, vaša nadobúdajúca banka môže odporučiť konkrétneho poskytovateľa. Môžete ísť s touto spoločnosťou, ak chcete, ale môže to stáť za váš čas porozhliadnuť sa a zistiť, či nájdete cenovo výhodnejšie riešenia u iného predajcu. Jedinou požiadavkou je, aby predajcu schválila rada PCI.
2. 2
   Pravidelne kontrolujte pripájacie zariadenia a počítače. Hackeri môžu k vašim strojom pripojiť „skimmery“ alebo podobné zariadenia na zachytávanie údajov o kreditných kartách tak, ako ich zadávajú zamestnanci alebo zákazníci.

   • Zariadenia môžu byť umiestnené na vonkajšej strane strojov a môžu byť prakticky nedetekovateľné, pokiaľ sa na svoj stroj nepozriete pozorne. Je tiež možné nainštalovať softvér na odcudzenie citlivých údajov držiteľa karty. Uistite sa, že pravidelne kontrolujete všetky stroje a systémy a že váš antivírusový program zakazuje inštaláciu programov alebo softvéru bez hesla správcu.
3. 3
   Implementujte denníky návštevníkov a automatické audítorské chodníky. V prípade narušenia alebo problému s transakciou vám tieto denníky a chodníky poskytujú informácie o každom prístupe k tejto transakcii. [[Obrázok: Pracovne efektívne a uchovávajte-

Oneself-Diversities-Step-3.jpg | centrum]]

1. 1
   • Protokoly by mali mať dostatok podrobností, aby vám umožnili znovu vytvoriť všetky prístupy jednotlivých používateľov k akýmkoľvek údajom držiteľa karty, akcie kohokoľvek, kto používa heslo správcu, akékoľvek pokusy o neplatný prístup a akýkoľvek prístup k samotným protokolom.
   • Každý záznam v denníku by mal obsahovať identifikáciu používateľa, typ udalosti, dátum a čas udalosti, či bol pokus o prístup úspešný alebo neúspešný, kde k pokusu o prístup došlo a aké údaje boli zahrnuté.

1. 1
   Odošlite štvrťročné správy o skenovaní. Ak sa od vás požaduje, aby ste štvrťročne vykonávali kontroly zraniteľností, musíte správy o týchto skenoch odoslať svojim nadobúdajúcim bankám a všetkým značkám kariet, s ktorými obchodujete.

   • Táto správa poskytuje dôkaz, že ste prešli kontrolou zraniteľnosti vykonanou schváleným dodávateľom skenovania.
   • Každých 90 dní alebo najmenej raz za štvrťrok musíte svojej nadobúdajúcej banke predložiť správu o úspešnom skenovaní. Banka spravidla nastaví plán, ktorý určuje, kedy sú vaše správy splatné.
2. 2
   Vyplňte svoj vlastný hodnotený dotazník (SAQ) každý rok. Vo väčšine prípadov sú malé podniky oprávnené dokončiť SAQ, a nie platiť za prepracovanejšie overovanie.

   • SAQ je navrhnutý pre malé podniky a vo väčšine prípadov ho môžete vyplniť sami alebo s pomocou svojho manažéra dodržiavania predpisov bez toho, aby ste museli znášať ďalšie náklady.
   • Konkrétny SAQ, ktorý musíte vyplniť každý rok, bude závisieť od spôsobov spracovania, ktoré používate, a od toho, či spracúvate svoje vlastné platby alebo spracovanie platieb zadávate tretej strane tretej strane overenej PCI.
   • Vaše hodnotiace správy by mali byť odoslané vašej nadobúdajúcej banke, ako aj každej značke karty, ktorú vo svojej firme akceptujete.
3. 3
   Uchovávajte dokumentáciu všetkých šifrovacích kľúčov a históriu auditných záznamov. Musíte zaznamenať a uchovávať všetky kryptografické kľúče potrebné na prístup k šifrovaným údajom v prípade, že sa vo vašom systéme niečo stane a budete potrebovať údaje obnoviť.

   • Ak máte na diskoch a v sieti šifrovanie údajov, musíte udržiavať správnu dokumentáciu kľúčov, aby bolo možné súbory na obnovenie odšifrovať.
   • Rovnako ako všetky ostatné údaje, aj táto dokumentácia by mala byť zabezpečená. Ak uchovávate tieto informácie vo fyzickom súbore, mali by ste ich uchovávať pod zámkou s prístupom prísne obmedzeným a monitorovaným. Zároveň však musíte zaistiť, aby k informáciám mali v prípade potreby prístup kľúčoví ľudia, napríklad váš manažér dodržiavania predpisov.
   • Protokoly návštevníkov by sa mali uchovávať najmenej tri mesiace a história auditných záznamov by sa mala uchovávať najmenej jeden rok.