Hur små och medelstora företag (SMEs) kan följa PCI DSS

 

Organisationer som accepterar betalkortsbetalningar är ansvariga för säkerheten för kundens betalningsinformation och måste följa Betalningskortbranschens säkerhetsstandard (PCI DSS).

PCI DSS är en uppsättning verktyg och mått som hjälper till att skydda dina betalkortsuppgifter. Det gäller för alla organisationer som överför och lagrar sådan information men mindre och medelstora företag (SMEs) bör vara extra vaksamma. De är de mest sannolika att bli utsatta för cyberkriminella och konsekvenserna av en dataöverträdelse kan hota deras överlevnad.

Utmaningar för mindre köpmän

PCI DSS är tekniskt komplext att implementera och upptar 12 krav baserade på gemensam informationssäkerhetspraxis om behövs för att uppnå överensstämmelse.

Nyckeln till PCI DSS överensstämmelse är att identifiera och säkrade punkter där kortinnehavarens information kan äventyras. Dessa kan omfatta kompromitterade kortläsare, papper förvarade i arkivskåp, en svag databas eller ett hemligt besök i ditt trådlösa nätverk.

Med EU:s EU General Data Protection Regulation (GDPR), som nu har trätt i kraft, behöver organisationerna vara särskilt försiktiga med hanteringen av kundens personuppgifter. Irlands Dataskyddskommissionär (DPC) kommer förmodligen att behandla otillräcklig eller icke- implementering av PCI DSS som ett misslyckande med att implementera tillämpliga ”tekniska och organisatoriska åtgärder” för att skydda personuppgifter. Företag som bryter mot GDPR kan se fram emot betydande verkställighetsåtgärder från DPC samt böter och påföljder från den förvärvande banken.

Jeremy King, chef för PCI Security Standards Council, sade i ett e-post-uttalande: ”Den nya EG lagstiftningen kommer att vara av avgörande betydelse både för stora organisationer och för SMEs. Regulatorn kommer att kunna införa en stratosfärisk ökning av straff för brott mot säkerheten och det återstår att se om verksamheterna, som står inför dessa böter, kommer att kunna stå för kostnaderna.”

För att uppfylla PCI DSS’s kraven, kan huvuddelen av SMEs införa egenrevisioner och fylla i ett egenbedörmningsformulär (SAQ) samt genomföra kvartalsvisa skanningar enligrt Godkända Skanningsleverantörer (ASV).

Det fordras emellertid mycket mer för att bli PCI kompatibel än att bara slutföra ett SAQ formulär med kryssrutor. Köpmän och tjänsteleverantörer som underlåter att implementera kraven lämnar sig själva vidöppna för betalningskortsöverträdelser, skadat renommé och kraftiga böter om deras efterlydnadsmaterial skulle uppvisa brister.

Hur IT Governance Europe kan hjälpa till

Vår PCI DSS Support Avtal för SMEsär ett kostnadseffektivt, allt inklusive, PCI DSS assistansprogram för Köpmän och Tjänsteleverantörer som är i behov av egenbedömning. Det minskar dramatiskt arbetsbelastningen som krävs för att tillfredsställa PCI Datasäkerhets Standard.

Det här paketet inkluderar:

  • En PCI konsultsupporttjänst, som hjälper dig att identifiera de rätta SAQs för att slutföra och som tillhandahåller den tillämpliga supporten och rådgivningen för att du ska uppnå full överensstämmelse med PCI DSS.
  • En PCI DSS Verktygssats för dokumentation, som ger dig all erforderlig dokumentation som krävs av PCI DSS. Utformad av en ledande säkerhetsbedömare (QSA) innehåller denna verktygssats all expertvägledning, råd och dokumentationsmallar som du behöver för att verksamheten med ditt betalningskort ska vara smidig och säker.
  • HackerGuardian sårbarhetsskanningar, som erbjuder en lösning med sårbarhetsbedömning utformad för att identifiera sårbarheten hos webbsajter där detta är relevant för att uppnå och upprätthålla överensstämmelse med PCI DSS.
  • Kurser i säkerhetsmedvetenhet, som omspänner en ökning av de anställdas kunskap om PCIDSS för att ge omfattande och praktisk täckning av alla aspekter avseende implementering av ett efterlevnadsprogram.

Ta reda på mer om vårt PCI DSS Support Avtal för SMEs>>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.