Kreditkarten akzeptieren? PCI Compliance ein Anliegen für kleine Unternehmen

Durch die jüngsten Verstöße gegen große Einzelhändler stehen die Vorschriften für die Zahlungskartenindustrie (PCI) im Rampenlicht. Es sind jedoch nicht nur große Unternehmen, die sich um die Einhaltung dieser Vorschriften kümmern müssen. Die Regeln gelten für jedes Geschäft, das für Transaktionen auf Kredit- und Debitkarten angewiesen ist. Selbst wenn Ihr Unternehmen vier Mitarbeiter beschäftigt und monatlich eine Kreditkartentransaktion durchführt, muss es PCI-konform sein.

Dies ist leichter gesagt als getan. Der PCI-Compliance-Bericht von Verizon 2014 hat ergeben, dass die meisten Unternehmen Schwierigkeiten haben, den PCI Data Security Standard zu erfüllen, ein Regelwerk, das entwickelt wurde, um Kredit- und Debitkartendaten sicher und geschützt zu halten. Laut Computerworld erfüllten mehr als 82 Prozent der Unternehmen zum Zeitpunkt ihrer jährlichen Bewertungen nur etwa 8 von 10 dieser Anforderungen und benötigten mehrere Monate, um die Lücken zu schließen. Darüber hinaus behalten nur 11,1 Prozent der Unternehmen ihren Compliance-Status zwischen den Assessments.

PCI-kompatibel ist nicht verhandelbar, wenn Sie Kredit- und Debitkarten akzeptieren, sich aber auf ein PCI-Audit vorbereiten und sicherstellen, dass Ihr Unternehmen die Compliance-Standards erfüllt entmutigend. Jeff VanSickel, Senior Consultant bei IT-Compliance-Consulting-Unternehmen SystemExperts, gab ein paar Tipps, um sich auf eine PCI-Beurteilung vorzubereiten und Ihre Standards jederzeit auf einem sicheren Niveau zu halten.

1. Identifizieren Sie alle Geschäfts- und Kundendaten, einschließlich aller Karteninhaberdaten, ihrer Sensitivität und Kritikalität. Die korrekte Definition des PCI-Prüfumfangs ist wahrscheinlich der schwierigste und wichtigste Teil jedes PCI-Compliance-Programms, sagte VanSickel. Ein zu enger Geltungsbereich kann die Karteninhaberdaten gefährden, während ein zu breiter Geltungsbereich zu einem PCI-Compliance-Programm immense und unnötige Kosten und Anstrengungen verursachen kann.

2 . Verstehen Sie die Grenzen der Karteninhaberdatenumgebung und aller die Daten, die hinein- und herausfließen. Jedes System, das eine Verbindung zur Karteninhaberdaten-Umgebung herstellt, unterliegt der Compliance und muss daher die PCI-Anforderungen erfüllen. Die Karteninhaberdatenumgebung umfasst alle Prozesse und Technologien sowie die Personen, die Kundenkarteninhaberdaten oder Authentifizierungsdaten speichern, verarbeiten oder übertragen, sowie alle angeschlossenen Systemkomponenten und alle Virtualisierungskomponenten wie Server.

Hinweis des Herausgebers: Unter Berücksichtigung a Kreditkarten-Processing-Service für Ihr Unternehmen? Wenn Sie nach Informationen suchen, die Ihnen bei der Auswahl des für Sie richtigen Produkts helfen, können Sie mithilfe des unten stehenden Fragebogens kostenlos Informationen von verschiedenen Anbietern abrufen.

3. Einrichtung von Betriebskontrollen zum Schutz der Vertraulichkeit und Integrität von Karteninhaberdaten. Karteninhaberdaten sollten geschützt werden, wo immer sie importiert, verarbeitet, gespeichert und übertragen werden. Es muss dann am Ende seiner Lebensdauer ordnungsgemäß entsorgt werden.

"Backups müssen auch die Vertraulichkeit und Integrität der Karteninhaberdaten wahren", fügte VanSickel hinzu. "Darüber hinaus müssen alle Medien ordnungsgemäß entsorgt werden, um die kontinuierliche Vertraulichkeit der Daten zu gewährleisten. Achten Sie darauf, nicht nur die von unternehmenseigenen Computersystemen verwendeten Festplatten, sondern auch gemietete Systeme und den in modernen Kopierern und Druckern enthaltenen Speicher einzuschließen. "

4. Halten Sie einen Reaktionsplan für Incidents bereit. Wenn ein Vorfall auftritt, ist es wichtig, einen Plan zu haben, so schnell wie möglich zum sicheren Betrieb zurückzukehren. In diesem Vorfallreaktionsplan sollten Rollen, Verantwortlichkeiten, Kommunikationsanforderungen und Kontaktstrategien im Falle eines Kompromisses festgelegt werden, einschließlich der Benachrichtigung der Zahlungsmarken, des Rechtsbeistands und der Öffentlichkeitsarbeit. Dies stellt eine rechtzeitige und effektive Behandlung aller kompromittierten Situationen sicher.

"Im Idealfall sollten Unternehmen einen zertifizierten Forensik-Spezialisten in Sachen Retainer haben, der Beweise sammeln und gegebenenfalls als Sachverständiger aussagen kann", sagte VanSickel.

5. Erklären und erzwingen Sie Sicherheitsverfahren. Sie können nie sicher sein, dass Mitarbeiter bewährte Sicherheitsverfahren und andere Verhaltensweisen verstehen, die Ihr Unternehmen gefährden können. Es liegt an Ihnen, sicherzustellen, dass alle Mitarbeiter im Unternehmen, von den unteren Angestellten über die IT-Spezialisten bis hin zum Management, über Sicherheitsverfahren und PCI-Compliance-Verfahren aufgeklärt werden.

Sobald Ihr Kunde eine Kredit- oder Debitkarte aushändigt sich dafür verantwortlich machen, die mit dieser Karte verbundenen Daten sicher zu verwahren. Während die oben genannten Schritte in erster Linie Sie auf ein PCI-Audit vorbereiten sollen, bieten sie auch ein Sicherheitsnetz zwischen den Assessments. Weitere Informationen finden Sie unter PCIComplianceGuide.org.

So schreiben Sie den Finanzteil eines Geschäftsplans

Als neuer Geschäftsinhaber erstellen Sie einen Geschäftsplan, indem Sie Ihr neues Geschäft starten. Dies stellt nicht nur Ihr Unternehmen für zukünftige Erfolge in den Mittelpunkt, sondern hilft Ihnen, wenn Sie nach Finanzierung suchen, mit einem soliden Geschäftsplan Investoren und Kreditgeber Ihre Vision so klar zu sehen wie Sie selbst.

(Geschäft)

Der Staat der Kleinunternehmen: Georgia

Im Rahmen seines einjährigen Projekts "The State of Small Business" berichtet Mobby Business über das Umfeld für kleine Unternehmen in allen Bundesstaaten Amerikas. In dieser Ausgabe haben wir ein paar von Georgiens fast 1 Million Kleinunternehmern befragt, um uns über die Herausforderungen und Möglichkeiten zu informieren, Geschäfte in ihrem Staat zu machen.

(Geschäft)