Skip to main content

5 เคล็ดลับในการปฏิบัติตามข้อกำหนดของ PCI ได้ง่าย

การปฏิบัติตามข้อกำหนดของ PCI อาจดูเหมือนศิลปะอาเขตถ้าคุณเป็นผู้ค้ารายย่อย แต่คุณไม่สนใจมันเมื่อตกอยู่ในอันตรายของคุณ การไม่ปฏิบัติตามมาตรฐานความปลอดภัยที่พัฒนาขึ้นโดยสภามาตรฐานความมั่นคงของ PCI (PCI Card Security Standards Council) มีการลงโทษ 5,000 ถึง 100,000 เหรียญต่อเดือน

มาตรฐานความปลอดภัยข้อมูล PCI (DSS) และเอกสารสนับสนุนอื่น ๆ สามารถดาวน์โหลดได้จาก เว็บไซต์ของสภา แต่สำหรับธุรกิจขนาดเล็กที่ไม่มี IT Security Professional ความต้องการอาจทำให้งงงัน อย่างไรก็ตามมีบางสิ่งที่คุณสามารถทำได้เพื่อลดขั้นตอนการปฏิบัติตามกฎระเบียบและมาตรการด้านความปลอดภัยที่กำหนดไว้ แม้ว่าคุณจะยังคงแนะนำว่าคุณควรใช้ Qualitative Security Assessor (QSA) แต่เคล็ดลับเหล่านี้อาจชี้ไปในทิศทางที่ถูกต้อง

อย่าเก็บข้อมูลผู้ถือบัตรใด ๆ

เพื่อลดความซับซ้อนของมาตรการรักษาความปลอดภัยที่จำเป็นสำหรับการปฏิบัติตามข้อกำหนด PCI บันทึกหรือจัดเก็บข้อมูลผู้ถือบัตรใด ๆ ในรูปแบบลายลักษณ์อักษรหรือแบบดิจิตอล ใช้เครื่องอ่านบัตร POS และ / หรือตัวประมวลผลการชำระเงินที่ไม่เก็บข้อมูลนี้ในระบบของคุณดังนั้นคุณจะไม่ต้องกังวลเกี่ยวกับการปกป้องและเข้ารหัสข้อมูลนั้น ตรวจสอบกับผู้ให้บริการการชำระเงินเพื่อขอรายละเอียดเกี่ยวกับรูปแบบเฉพาะของตน

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

อย่าเก็บข้อมูลรับรองความถูกต้องของบัตรเครดิต

หากคุณต้องการเก็บข้อมูลผู้ถือบัตรอีกครั้ง การเรียกเก็บเงินหรือวัตถุประสงค์ทางธุรกิจที่จำเป็นอื่น ๆ โปรดตรวจสอบกับผู้ประมวลผลการชำระเงินของคุณเพื่อดูว่ามีตัวเลือกที่ช่วยให้คุณสามารถป้อนและจัดเก็บข้อมูลในระบบได้หรือไม่ หากคุณต้องเก็บข้อมูลด้วยตัวเองอย่าลืมว่าคุณต้องปฏิบัติตามมาตรการรักษาความปลอดภัยอีกมากมายและคุณจะไม่สามารถจัดเก็บข้อมูลการตรวจสอบความถูกต้องได้เช่นข้อมูลแถบแม่เหล็กเต็มรูปแบบรหัสรักษาความปลอดภัยหรือ PIN

เลือกมาตรฐาน PCI โฮสต์ของเว็บ

หากคุณขายผลิตภัณฑ์หรือชำระเงินผ่านทางเว็บไซต์ของคุณเลือกแผนบริการเว็บโฮสติ้งที่สอดคล้องกับ PCI และอีคอมเมิร์ซหรือแอพพลิเคช็อปปิ้ง บางเว็บโฮสติ้ง บริษัท โพสต์รายละเอียดการปฏิบัติตามกฎระเบียบของตนบนเว็บไซต์ของตน แต่ในหลายกรณีคุณจะต้องถามแผนกขายหรือฝ่ายสนับสนุน สำหรับแอพพลิเคชันอีคอมเมิร์ซและรถเข็นช็อปปิ้งคุณสามารถดูรายการแอพพลิเคชั่นการชำระเงินที่ผ่านการตรวจสอบจากสภา PCI

คุณอาจจะมีโอกาสที่จะประสบความสำเร็จในการปฏิบัติตามข้อกำหนดของ PCI หากคุณใช้แผนการโฮสต์ที่ถูกกว่าเนื่องจากเซิร์ฟเวอร์ แบ่งระหว่างเจ้าของเว็บไซต์หลายแห่ง แต่คุณสามารถหลีกเลี่ยงการใช้บัญชีที่ไม่สอดคล้องกันได้หากคุณเลือกโซลูชันการชำระเงินแบบโฮสต์ซึ่งลูกค้าจะถูกส่งต่อไปยังไซต์ที่สอดคล้องกับรายละเอียดบัตรเครดิตเช่น PayPal Standard, 2Checkout หรือ Authorize สุทธิ. และคุณอาจต้องการพิจารณาวิธีการชำระเงินแบบเป็นโฮสต์แม้ว่าแผนบริการพื้นที่เว็บของคุณจะเป็นไปตามข้อกำหนดเพื่อลดมาตรการรักษาความปลอดภัยที่คุณต้องทำ อย่างไรก็ตามหากคุณต้องการรวมกระบวนการชำระเงินเข้ากับไซต์ของคุณอย่างเต็มที่คุณอาจต้องไปใช้เซิร์ฟเวอร์เสมือนส่วนตัวหรือเซิร์ฟเวอร์เฉพาะที่มีราคาแพงกว่าซึ่งโดยปกติจะใช้ PCI

ใช้เทอร์มินัลการเรียกผ่านสายโทรศัพท์แทนเทอร์มินัล IP

เทอร์มิการ์ดบัตรโทรศัพท์แบบ Dial-up เชื่อมต่อกับสายโทรศัพท์ของคุณและติดต่อสื่อสารกับผู้ประมวลผลการชำระเงินซึ่งคล้ายกับโมเด็ม 56K ที่เชื่อมต่อกับอินเทอร์เน็ตผ่านสายโทรศัพท์ พวกเขาทำงานได้ช้ากว่าเทอร์มินัลที่ใช้ IP แต่สามารถลดสภาพแวดล้อมของผู้ถือบัตรของคุณได้อย่างมากคอมพิวเตอร์และส่วนประกอบที่ข้อมูลผู้ถือบัตรถูกจัดเก็บประมวลผลหรือส่งมอบซึ่งจะช่วยลดมาตรการด้านความปลอดภัยที่คุณต้องปฏิบัติตาม

ไม่ว่าอะไรจะเกิดขึ้น ประเภทของเทอร์มินัลบัตรเครดิตหรือระบบ POS ที่คุณเลือกให้เป็นไปตามข้อกำหนดของ PCI ไม่ว่าจะเป็นทางผู้ขายหรือโดยการตรวจสอบอุปกรณ์รักษาความปลอดภัยรายการ PIN ที่ผ่านการรับรองและ / หรือรายการใบสมัครการชำระเงินที่ผ่านการตรวจสอบจากสภา PCI ตรวจสอบกับผู้ขายเกี่ยวกับวิธีการทำงานของเทอร์มินัลและสอบถามเกี่ยวกับผู้ที่ปฏิบัติตามข้อกำหนดได้ง่าย

ใช้เครือข่ายแยกต่างหากสำหรับการประมวลผลการชำระเงิน

หากคุณใช้เทอร์มิการ์ดบัตรเครดิตที่ใช้ IP ระบบเครือข่ายแยกต่างหากอาจมีการเชื่อมต่ออินเทอร์เน็ตสำหรับการประมวลผลการชำระเงินได้ง่ายกว่า นี้สามารถลดความปลอดภัยของมาตรการที่คุณต้องทำในระหว่างการติดตั้งเครือข่ายเริ่มต้นและคุณต้องปฏิบัติตามข้อกำหนดในอนาคตต่อไป

Secure Card Reader

สำหรับธุรกิจขนาดเล็กที่ให้บริการในสถานที่ เช่น Square, GoPayment, หรือ PayPal นี่น่าสนใจมาก พวกเขาเสนอวิธีการที่ง่ายและรวดเร็วในการเริ่มรับการชำระเงินผ่านบัตรเครดิตและสามารถใช้กับสมาร์ทโฟนหรือแท็บเล็ตผ่านทางข้อมูลเซลล์หรือการเชื่อมต่อ Wi-Fi แม้ว่าความต้องการของ PCI DSS ในปัจจุบัน (เวอร์ชัน 2.0) ไม่ได้กล่าวถึงเฉพาะผู้อ่านการ์ดโทรศัพท์มือถือ แต่ธุรกิจยังคงต้องให้แน่ใจว่าโซลูชันเหล่านี้อยู่ในการปฏิบัติตามข้อกำหนดของ PCI

PCI ได้เผยแพร่หลักเกณฑ์ด้านความปลอดภัยสำหรับการรักษาความปลอดภัยของโซลูชันการชำระเงินผ่านมือถือที่คุณใช้ด้วย มาร์ทโฟนหรือแท็บเล็ตของคุณ โดยทั่วไปคุณควรตรวจสอบว่าอุปกรณ์เคลื่อนที่ได้รับความปลอดภัยจากการโจรกรรมการใช้งานโดยไม่ได้รับอนุญาตมัลแวร์และแฮ็ก อย่าแหกคุกหรือ root อุปกรณ์ของคุณหรือเปิดใช้งานฟังก์ชันอื่น ๆ ที่อาจทำให้อุปกรณ์ไม่ปลอดภัยเช่น USB Debugging บนอุปกรณ์แอนดรอยด์ ติดตั้งแอปพลิเคชันป้องกันไวรัสและดาวน์โหลดแอปพลิเคชันเฉพาะจากแหล่งที่เชื่อถือได้เช่น App Store อย่างเป็นทางการ และจำไว้ว่าอุปกรณ์มือถือเชื่อมต่อกับการเชื่อมต่อ Wi-Fi ภายใต้การควบคุมของธุรกิจในขณะที่ใช้เครื่องอ่านบัตรเครือข่ายต้องเป็นไปตามมาตรฐาน PCI