Comment devenir conforme à pci

PCI, souvent appelé PCI DSS, signifie la norme de sécurité des données de la carte de paiement. En bref, PCI est un ensemble de normes de l`industrie utilisés pour mesurer la sécurité des entreprises acceptant, processus, stocker et transmettre des informations sur la carte de crédit. Les entreprises qui sont conformes à PCI souffrent moins probablement de violations de données susceptibles d`exposer les clients pour identifier le vol. Si vous avez un identifiant de marchand et acceptez des cartes de crédit dans votre entreprise physique ou virtuelle, vous êtes soumis aux normes de l`industrie PCI DSS. Le Conseil des normes de sécurité PCI est un groupe indépendant de professionnels de l`industrie qui étudient les problèmes de sécurité PCI émergents et créent les programmes et les normes visant à maintenir l`intégrité du système de carte de paiement.

Pas

Partie 1 de 3:
Examen des bases du PCI DSS
  1. Image intitulée Obtenez un emploi en tant que Bank Teller Step 1
1. Confirmez votre niveau de marchand. La première étape consiste à discuter et à vérifier votre niveau de marchand avec la banque ou le Clearinghouse qui gère vos transactions de carte de crédit. Les marchands sont divisés en quatre catégories basées sur la transaction de carte Visa sur 12 mois. Votre niveau de marchand déterminera la manière dont les programmes de conformité de votre PCI doivent être stricts.
  • Un marchand de niveau 1 traite plus de 6 millions de transactions de visa par an ou est désignée de niveau 1 par la société Visa.
  • Un marchand de niveau 2 accepte chaque année entre 1 et 6 millions de visa. Cela inclut en personne et en ligne.
  • Un marchand de niveau 3 traitera entre 20 000 et 1 million de transactions de visa par an.
  • Un commerçant de niveau 4, considéré comme un petit marchand, prend moins de 20 000 paiements de visa par an.
  • Les exigences PCI DSS s`appliquent également aux entreprises qui acceptent d`autres cartes de crédit, telles que American Express, MasterCard et Discover. Visa est utilisé comme référence pour établir des niveaux de marchands.
  • Image intitulée Économisez de l`argent sur les batteries Étape 3
    2. Comprendre les pénalités pour les violations PCI DSS. Les entreprises qui ne sont pas conformes à PCI DSS peuvent être soumises à des amendes, sanctions et perte de privilèges de la Clearinghouse qui traite des paiements par carte de crédit. Si l`échec PCI entraîne une perte réelle de données, l`entreprise pourrait faire face aux amendes, à des honoraires plus élevés et à d`autres sanctions des banques et des processeurs de cartes de crédit.
  • Les entreprises qui ne sont pas conformes à la PCI peuvent être soumises à des poursuites et à des poursuites gouvernementales pour ne pas protéger les données client.
  • Image intitulée Présenter vous-même et votre entreprise puissamment l`étape 4
    3. Familiarisez-vous avec les meilleures pratiques de sécurité. La première norme PCI DSS, mise en œuvre septembre 2009 (DSS V 1.2) a introduit les 12 exigences qu`un commerçant doit examiner afin d`être conforme à PCI. En fonction de votre niveau de marchand, le montant de la technologie, de la formation et de l`expertise pour mettre en œuvre les normes variera. Par exemple, un réseau qui gère 2 millions de transactions sera plus sophistiqué qu`un réseau qui traite 2000.
  • PCI 3.1 entré en vigueur en juin 2015 et traite de nouvelles normes dans la technologie et traite des vulnérabilités dans les programmes de cryptage communs.
  • Les meilleures pratiques de conformité PCI relèvent de cinq catégories générales: réseau sécurisé, protection des données, gestion de la vulnérabilité, contrôle d`accès, surveillance et politique de sécurité. Le Conseil PCI dispose d`un questionnaire d`auto-évaluation pour aider les petites entreprises à déterminer le respect des normes de sécurité.
    • Partie 2 de 3:
    Mise en œuvre de programmes de conformité PCI
    1. Image intitulée Build Trust dans une petite entreprise Étape 3
    1. Construire et maintenir un réseau sécurisé. Pour les entreprises, cela signifie que développer une relation avec un entrepreneur de confiance. Sauf si vous êtes un professionnel informatique, vous ne devez pas installer votre propre réseau s`il stockera les données client. Même un système hors de la case peut avoir des vulnérabilités si non installé et mis à jour correctement.
    • Gardez vos pare-feu à jour et opérationnel. Ne laissez pas les employés désactiver les pare-feu à un but.
    • Changer les mots de passe fournis par le fournisseur immédiatement. En outre, mettre en place un programme de mot de passe pour vos employés. Les mots de passe doivent être modifiés régulièrement conformément aux instructions du fournisseur. Par exemple, les mots de passe doivent être des combinaisons de caractères alphanumériques qui ne sont pas des mots de dictionnaire. Si votre fournisseur fonctionne sur votre système, vous devez modifier tous les mots de passe quand il revient en ligne.
  • Image intitulée Ouvrir un compte bancaire Étape 7
    2. Protégez les informations du titulaire de la carte. Si vous traitez manuellement les cartes de crédit, les glissades et les reçus doivent être conservés dans des fichiers verrouillés avec un accès limité. Si les informations du titulaire de la carte sont stockées sur votre réseau, elles doivent être cryptées et protégées derrière les pare-feu de la société
  • Image intitulée Mettre à jour un plan d`affaires de garderie Étape 2
    3. Créer un programme de gestion de la vulnérabilité. Votre système doit être protégé avec un logiciel anti-virus approprié. Vous devriez également avoir un programme d`entreprise interdit d`ajouter des logiciels, tels que des jeux, qui pourraient compromettre le système.
  • Image intitulée Soyez un analyste d`entreprise en haute direction étape 3
    4. Mettre en œuvre le contrôle d`accès. L`accès des mots de passe à votre système doit être restreint. Chaque employé ne devrait avoir que l`accès qu`il a besoin de faire son travail. Expliquez que cela protège vos employés et vos clients. S`il existe une violation des données, l`accès restreint affectera les possibilités et aidera l`enquête.
  • Pour votre réseau, donnez à chaque utilisateur et chaque terminal un numéro d`identification unique. En cas de violation confirmée ou suspectée, vos professionnels de l`informatique pourront identifier rapidement le point d`entrée.
  • Enregistrements physiques sécurisés contenant des données client et de titulaires de carte. Utilisez un système de clé de carte ou une serrure physique et une clé.
    • Partie 3 sur 3:
    Test et maintien de la conformité PCI
    1. Image intitulée Build Trust dans une petite étape 1
    1. Surveiller et tester vos réseaux. Votre programme de sécurité doit inclure des analyses et des tests réguliers pour suivre et surveiller le flux de données client via votre réseau. Votre professionnel ou votre fournisseur informatique peut mettre en œuvre des tests lorsque le système est à faible consommation (par exemple, tard dans la nuit le week-end) et en temps réel lorsque le système est utilisé.
    • Maintenir un journal des résultats du test. Discutez de combien de temps pour maintenir des enregistrements de test avec votre banque et votre compagnie d`assurance.
  • Image intitulée Build Trust dans une petite étape 6
    2. Développer une politique de sécurité de l`information. Toutes les étapes de votre programme de conformité PCI doivent être documentées dans votre politique de sécurité. Ce document devrait détailler toutes les étapes de votre entreprise pour sécuriser les données client. Pour les marchands de niveau 1 à 3, ce programme peut fonctionner pour plusieurs volumes et intégrer le manuel des employés.
  • Les marchands de niveau 1 à 3 seront probablement contractuellement contractuels avec un professionnel de la sécurité ou avoir un personnel dédié formé à la complexité de la rédaction et de maintien de la politique de sécurité de l`information.
  • Un marchand de niveau 4 doit contacter le Clearinghouse de carte de crédit pour obtenir des conseils et une assistance sur la création de la politique de sécurité. Si le processeur ne fournit pas de modèle de programme, vous devriez alors envisager de contracter avec un professionnel de la sécurité pour créer le document. Sauf si vous êtes un professionnel informatique, il est peu probable que vous soyez suffisamment versé dans les détails techniques de votre système pour créer une politique de sécurité conforme à la PCI. Une fois qu`il est créé, il n`aura besoin d`être mis à jour que lorsque votre réseau est élargi ou mis à jour. Votre entrepreneur informatique peut vous fournir les documents dont vous avez besoin pour garder votre politique de sécurité à jour.
  • La plupart de votre programme de sécurité seront de nature technique, comme dans le choix du pare-feu et du logiciel de sécurité, ainsi que des protocoles de test. Cependant, vous devez également inclure des sections sur le processus lorsqu`un employé quitte la société et les mots de passe sont révoqués.
  • Développer un processus pour garder une trace des clés et des cartes-clés. Les touches principales doivent être aussi strictement réglementées comme des mots de passe de haut niveau.
  • Image intitulée Build Trust dans une petite entreprise Étape 4
    3. Évaluer, assainir et signaler votre conformité PCI. Une fois que les 12 parties des meilleures pratiques PCI sont mises en œuvre, vous devriez courir périodiquement dans le cadre du processus d`examen en trois étapes du Conseil PCI pour vous assurer que la conformité est maintenue.
  • Inventaire de vos systèmes informatiques et processus métier. Si quelque chose a changé, mettez à jour vos programmes de sécurité et vos plans de gestion de la vulnérabilité.
  • Si vous trouvez une faiblesse dans votre système, corrigez le problème. Cela peut nécessiter de nouveaux équipements ou logiciels, formation utilisateur ou à jour de votre réseau. Les professionnels de l`informatique doivent mettre en œuvre ces changements.
  • Gardez les archives de vos actions et soumettez des rapports sur vos efforts de conformité à vos sociétés de votre banque et de votre carte de crédit. Vos rapports, vos efforts et vos idées peuvent aider une autre société à protéger les données du client.

    • Mises en garde

    Les marchands de niveau 4 devraient discuter de la conformité du PCI avec la banque ou la carte de crédit de la carte de crédit et suivez les recommandations.
  • Si vous êtes un très petit marchand, comme une entreprise à domicile, il est peu probable que vous rangiez des données de carte sur votre réseau personnel. Cependant, vous devriez toujours revoir vos processus avec votre banque. Le Conseil PCI a une formation et des ressources en ligne pour vous aider à prévenir le vol de données client.
    • Articles connexes