Skip to main content

5 Tips untuk kemudahan kepatuhan PCI

Kepatuhan PCI mungkin tampak seperti seni misterius jika Anda seorang pedagang kecil, tetapi Anda mengabaikannya pada bahaya Anda. Ketidakpatuhan terhadap standar keamanan yang dikembangkan oleh Dewan Standar Perlindungan Industri Kartu Pembayaran (PCI) membawa hukuman $ 5.000 hingga $ 100.000 per bulan.

Standar Keamanan Data PCI (DSS) dan banyak dokumen pendukung lainnya dapat dengan mudah diunduh dari situs web dewan, tetapi untuk usaha kecil tanpa profesional keamanan TI, persyaratannya bisa membingungkan. Namun, ada beberapa hal yang dapat Anda lakukan untuk mempermudah proses kepatuhan dan langkah-langkah keamanan yang ditentukannya. Meskipun saya masih menyarankan untuk mempekerjakan seorang Qualified Security Assessor (QSA), tips ini dapat mengarahkan Anda ke arah yang benar.

Jangan simpan data pemegang kartu apa pun

Untuk sangat menyederhanakan tindakan keamanan yang Anda perlukan untuk kepatuhan PCI, jangan menyimpan atau menyimpan data pemegang kartu apa pun dalam bentuk tertulis atau digital. Gunakan pembaca kartu, POS, dan / atau prosesor pembayaran yang tidak menyimpan informasi ini di sistem Anda sehingga Anda tidak perlu khawatir tentang melindungi dan mengenkripsi data tersebut. Tanyakan kepada vendor pembayaran untuk perincian tentang model khusus mereka.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Jangan pernah menyimpan info otentikasi kartu kredit.

Jika Anda perlu menyimpan data pemegang kartu untuk direoccurring penagihan atau keperluan bisnis lain yang diperlukan, periksa dengan prosesor pembayaran Anda untuk melihat apakah mereka menawarkan opsi yang memungkinkan Anda untuk memasukkan dan menyimpan data pada sistem mereka. Jika Anda harus menyimpan data sendiri, ingatlah bahwa Anda harus mengikuti lebih banyak tindakan keamanan, dan Anda tidak pernah dapat menyimpan info otentikasi sensitif: data strip magnetik penuh, kode keamanan, atau PIN.

Pilih PCI compliant Web host

Jika Anda menjual produk atau menerima pembayaran melalui situs web Anda, pilih paket hosting web yang sesuai PCI dan aplikasi keranjang belanja elektronik atau belanja. Beberapa perusahaan hosting Web secara terbuka memposting detail kepatuhan mereka di situs web mereka, tetapi dalam banyak kasus Anda harus menanyakan departemen penjualan atau dukungan. Untuk aplikasi e-commerce dan keranjang belanja, Anda dapat merujuk pada Daftar Aplikasi Pembayaran Tervalidasi dari dewan PCI.

Kemungkinan Anda akan memiliki kesempatan yang lebih ketat untuk mencapai kepatuhan PCI jika Anda menggunakan paket hosting bersama yang lebih murah karena cara server dibagi di antara beberapa pemilik situs web. Tetapi Anda mungkin bisa lolos dengan menggunakan satu (yang bahkan tidak patuh) jika Anda memilih solusi pembayaran host di mana pelanggan diteruskan ke situs yang sesuai untuk memasukkan detail kartu kredit mereka, seperti Standar PayPal, 2CheckOut, atau Otorisasi. Bersih. Dan Anda mungkin ingin mempertimbangkan solusi pembayaran host bahkan jika rencana hosting Web Anda sesuai, untuk mengurangi langkah-langkah keamanan yang harus Anda ambil. Namun, jika Anda ingin sepenuhnya mengintegrasikan proses pembayaran dalam situs Anda, Anda mungkin harus pergi dengan server pribadi atau dedicated virtual yang lebih mahal, yang biasanya PCI compliant.

Gunakan terminal dial-up bukan terminal IP

Terminal kartu kredit dial-up terhubung ke saluran telepon Anda dan berkomunikasi dengan prosesor pembayaran yang serupa dengan cara modem lama 56K terhubung ke Internet dial-up. Mereka lebih lambat dari terminal berbasis IP, tetapi mereka dapat sangat mengurangi Lingkungan Data Pemegang Kartu Anda-komputer dan komponen di mana informasi pemegang kartu disimpan, diproses, atau dikirimkan-sehingga mengurangi langkah-langkah keamanan yang harus Anda ikuti.

Tidak peduli apa pun jenis terminal kartu kredit atau sistem POS yang Anda pilih, pastikan itu PCI compliant, baik melalui vendor atau dengan memeriksa Perangkat Keamanan Transaksi PIN Disetujui dan / atau Daftar Aplikasi Pembayaran Tervalidasi dari dewan PCI. Juga periksa dengan vendor tentang cara kerja terminal mereka dan tanyakan tentang mereka yang memudahkan kepatuhan.

Gunakan jaringan terpisah untuk pemrosesan pembayaran

Jika Anda menggunakan terminal kartu kredit berbasis IP, mungkin lebih mudah untuk memiliki jaringan yang sepenuhnya terpisah dengan koneksi Internet sendiri hanya untuk pemrosesan pembayaran. Ini dapat meringankan langkah-langkah keamanan yang harus Anda ambil selama pengaturan jaringan awal dan yang harus Anda ikuti di masa depan untuk tetap mematuhi PCI.

Pembaca kartu seluler yang aman

Untuk usaha kecil yang menyediakan layanan di tempat, solusi pembaca kartu seluler seperti Square, GoPayment, atau PayPal Di sini sangat menarik. Mereka menawarkan cara cepat dan mudah untuk mulai menerima pembayaran kartu kredit dan dapat digunakan dengan ponsel pintar atau tablet melalui data sel atau koneksi Wi-Fi. Meskipun persyaratan DSS PCI saat ini (versi 2.0) tidak secara khusus menangani pembaca kartu seluler, bisnis masih diperlukan untuk memastikan bahwa solusi ini sesuai dengan kepatuhan PCI.

PCI telah menerbitkan panduan keamanan untuk mengamankan solusi pembayaran seluler yang Anda gunakan dengan ponsel pintar atau tablet Anda. Pada dasarnya Anda harus memastikan perangkat seluler dijaga secara fisik dan digital aman dari pencurian, penggunaan tidak sah, malware, dan peretasan. Jangan jailbreak atau rooting perangkat Anda atau aktifkan fungsi lain yang dapat membuat perangkat tidak aman, seperti USB Debugging pada perangkat Android. Pasang aplikasi antivirus dan unduh aplikasi hanya dari sumber tepercaya seperti toko aplikasi resmi. Dan ingat jika perangkat seluler terhubung ke koneksi Wi-Fi di bawah kendali bisnis saat menggunakan pembaca kartu, jaringan harus sesuai dengan PCI.