小型企业的PCI合规性:你需要知道的
本文是一个更大的关于支付.
PCI合规性是满足支付卡行业数据安全标准(PCI DSS)概述的12项要求。的安全标准委员会是一个由Visa等主要信用卡公司委托的独立小组。任何接受信用卡的企业都必须与pci兼容,以避免费用、罚款,甚至在数据泄露的情况下承担责任。
实现小型企业的PCI合规性是通过每年完成并提交PCI安全标准委员会提供的自我评估问卷和合规性证明,并完成内部和外部漏洞扫描来完成的。
以下是12个PCI要求的列表,根据小型企业应该遵循的六个主要目标进行分类,以保持PCI合规性:
目标 |
PCI要求/清单 |
---|---|
维护安全的物理网络 |
|
保护持卡人数据 |
|
管理网络漏洞 |
|
实施强有力的访问控制措施 |
|
监控和测试数据安全系统 |
|
确保资讯安全 |
|
谁需要PCI兼容?
任何涉及处理支付的人——商家、服务提供商、支付处理器和支付网关——都需要遵守PCI DSS准则。不幸的是,中小型企业(smb)是更容易受到数据泄露的影响比更大、更成熟的公司。这种情况在大流行期间恶化了,当时远程工作设置显著增加,而且大多数情况下中小企业没有做好保护的准备他们自己。
虽然这些标准定期进行评估和更新,但支付安全的基本目标保持不变。您将需要防火墙来实现物理安全、数据安全、升级技术(包括一个安全POS系统),以及最新的杀毒软件。
新闻报道:
今年3月,PCI安全标准委员会发布了PCI数据安全标准v4.0.更新要求的重点是确保企业有适当的安全措施,以适应支付行业中更加动态和快速发展的技术。PCI DSS v4.0将于2024年3月实施,企业可以利用两年的过渡期采用必要的升级。
如何为您的小企业获得PCI合规性
为了确保PCI遵从性,您需要填写适当的自我评估问卷(SAQ)和合规证明(AoC),并每年进行一次完整的漏洞扫描。以下是PCI合规性的详细步骤:
步骤1:确定您属于哪个PCI合规级别
对于不同规模的企业,有不同级别的PCI遵从性,每个级别都有自己的一组特定需求和指导方针。很多时候,您的商家服务提供商或支付处理程序将提供某种程度的PCI遵从性,但作为商家,您仍然必须采取一些步骤。首先,确定哪个级别适合您。
1级
|
每年处理600多万笔Visa交易的企业 |
2级
|
每年处理100万到600万笔Visa交易的企业 |
3级
|
每年处理2万到100万笔Visa电子商务交易的企业 |
4级
|
每年处理Visa电子商务交易<2万笔;每年处理高达100万笔Visa交易的企业(非电子商务) |
大多数小型实体企业将属于第4级PCI遵从性。小型在线企业很可能属于第三级。但是,请注意,遇到安全漏洞导致帐户数据泄露的商家可能需要具有更高级别的PCI遵从性。
你知道吗?
基于最近的他的网络战备报告在415家员工少于50人的企业中,有139家(34.8%)在2022年第一季度至少遭受过一次网络攻击。由此产生的任何数据泄露都会将小型企业从4级PCI合规性要求转移到1级PCI合规性要求。
第二步:填写PCI合规性自我评估问卷
所有接受主要信用卡的中小型商家(级别4)必须完成部分PCI遵从性要求的SAQ。此表格须由一名公司高级职员签署,并每年一次送交收单银行。你可以在PCI DSS官方网站然后决定哪一个适合你。例如:
- 如果您经营在线业务并使用Shopify作为您的支付网关和处理程序,则需要填写SAQ-A。
- 使用POS系统和终端(如Lightspeed)的实体企业将需要使用SAQ-C文件。
- 如果使用虚拟终端进行人工录入,例如接受电话订单或在线发票,则需要填写SAQ-C-VT。
填写SAQ的提示:
- SAQ希望对所列问题给出“是”或“否”的答案,并提供与每个问题相关的预期测试程序。使用这些测试程序作为验证您是否遵守并自信地回答问卷的方法。
- SAQ的最后一部分允许您指定在未达到PCI DSS要求时的行动计划,其中包括您正在采取的步骤以及您希望完成这些步骤的估计日期。
- 如果你不确定该怎么做,可以考虑使用合格的PCI QSA公司以帮助自我评估过程。
第三步:调查你的支付技术
虽然云用户可能更容易受到影响(针对web应用程序的网络攻击从2021年到2022年增长了88%),使用云运营业务的优势远远超过了这些风险,特别是因为您可以采取措施来保护数据。
您需要选择一个pci兼容的支付网关对于初学者来说,如果你经营一个店面,你还需要保护你的POS系统免受数据泄露。
安全套接字层(SSL)证书本身并不能使您的网站符合pci标准。这段代码可以加密你的网站和浏览器之间的通信,在网上销售和接受付款时非常有用。然而,它不保护web服务器免受网络攻击。您将需要额外的步骤来满足PCI合规性以建立完整电子商务安全.
调查支付技术的建议:
- 当考虑你用来经营小企业的工具和系统时,要寻找创建专用用户帐户和登录的能力。只有需要访问权限的人才能获取消费者数据,你应该能够跟踪谁看到了什么。
- 双因素身份验证和点对点加密(P2PE)是其他很好的安全特性,特别是对于由于凭证被盗而引起的网络攻击。
- 及时安装所有供应商的安全补丁和更新。否则,您将面临漏洞的风险。也要记得检查你的设置。近一半的企业永远不要改变供应商的默认设置。
步骤4:创建并记录安全与合规流程
有趣的是,UpCity最近的一项研究表明发现,虽然80%的小企业主越来越意识到网络盗窃的危险,但50%的中小企业仍然没有适当的网络安全计划。您可能没有一个成熟的数据隐私团队来帮助处理安全性问题,但是负责确保PCI合规性的人员也应该创建流程,以便其他业务人员遵循。
重要的是要传达新的PCI遵从性措施、它们的重要性以及其他员工可以如何做出贡献。这在大流行期间变得更加重要。惠普(Hewlett-Packard)最近的一项研究显示,针对网络的攻击有所增加远程工作设置中的安全盲点.
第五步:完成您的合规证明(AoC)
如果您要进行自我审计,您将使用AoC,或者合格的安全评估员(QSA)将使用AoC来声明您的业务的合规性级别。表单应与SAQ和批准的扫描供应商(ASV)结果一起填写、签名并提交,我们将在下面讨论。企业应每年提交一份AoC。
SAQ审查可以亲自或虚拟完成,这取决于您的QSA的喜好。如果他们从您的SAQ中确定您是pci兼容的,那么您将从他们那里收到AoC。
当商家使用第三方支付处理程序时,大多数PCI遵从性要求都得到了满足。但是,您仍然需要了解法规,并且必须满足环境PCI合规性,例如防火墙、强密码和限制对持卡人数据的访问。
步骤6:通过漏洞扫描证明PCI合规性
这取决于你接受信用卡,您可能必须向经批准的扫描供应商(ASV)支付定期漏洞扫描费用,ASV是一家第三方公司,将进行季度漏洞扫描以验证您的PCI合规性。ASV将决定你是否尽一切可能保护消费者信用卡和联系信息。
什么是漏洞扫描?
外部漏洞扫描由ASV执行,以确定您的网络对消费者是否安全。ASV也可以执行内部扫描以检测漏洞,但许多商家选择使用适当的SAQ自己进行扫描。
外部扫描查找网络防火墙中的漏洞,而内部扫描查找业务防火墙中的漏洞。两者都是必需的,但是内部扫描可以自行执行。
ASV每个季度会给你一个及格或不及格的分数,你需要把分数提交给PCI DSS委员会。如果对网络进行了任何更改,则必须安排一次新的扫描,因为当发生微小更改时可能会出现故障。例如,您的互联网服务提供商(ISP)可能更改了您面向公众的IP号码,而您的ASV可能正在扫描您的旧IP号码,这可能导致“未检测到主机”。
步骤7:提交PCI合规性文档
收集您所有的文件,并通过电子文件选项或通过蜗牛邮件向PCI DSS委员会提交您的PCI DSS报告。
该报告将包括:
- 调查结果摘要:由一般陈述和详细的安全评估组成
- 审计细节:这将列出根据需求组织的所有相关业务框架规范的所有测试过程和实现问题
- 业务信息:这是您的业务概况的摘要,如您的SAQ所示
- 卡支付基础设施:您的网络图、交易流程图、无线局域网设置细节、使用的POS产品清单(包括无线POS终端)等文件
- 对外关系详情:这是共享您的持卡人数据的服务提供商列表,包括卡支付公司和其他需要遵守PCI DSS的业务实体
步骤8:跟踪和测试你的系统
数据安全性和PCI合规性不是设置后就忘记的问题。经常测试您的安全措施以确保它们按预期工作是很重要的。只有一半多一点的组织成功地测试了他们的数据安全程序,只有三分之二的人充分跟踪和监控系统访问。12点需求详细说明了如何在评估期间保持PCI合规性。
维护PCI合规性的提示:
- 定期:保持所有的杀毒软件、入侵检测和预防引擎最新并执行定期扫描。
- 日报:使用日志收集、解析和警报工具来记录安全事件。采用信誉良好的安全漏洞信息来源,并建立识别和分配风险等级的过程。
- 周末:安装变更检测软件以监视和识别对关键文件的修改。
- 每月:在发布后一个月内安装供应商提供的关键和非关键安全补丁。
- 季度:通过AVS进行系统扫描。
- 每半年一次:执行并记录检查以确保您的防火墙和路由器配置符合PCI合规性标准
- :每年执行系统审计、安全测试和风险评估程序。检查您的信息安全策略和面向公众的web应用程序。对员工进行安全意识培训。
PCI合规对小企业的重要性
建立消费者信心
不仅每个企业都容易受到数据泄露的影响,而且消费者也越来越意识到商家可以采取哪些措施来保护他们的信息。这影响了他们的购买决定。
一项调查发现,86%的人消费者也越来越担心关于过去一年的数据隐私状况。另一项调查显示,当消费者对机构保护其数据的能力失去信心时,他们会采取行动19%的人终止了与零售商的关系另外19%与信用卡提供商合作,18%与金融机构合作。
防止资料外泄
2019年第一资本(Capital One)和2021年微软(Microsoft)等大公司的数据泄露报告,让消费者对分享自己的财务信息持谨慎态度,对小型企业更是如此——他们谨慎地保持这种感觉。许多公司,尤其是中小企业,在数据安全方面都面临着严峻的挑战。
此外,许多企业甚至不确定他们是否在维护PCI合规性。网络犯罪分子可以利用网站、防火墙和不安全的远程访问的已知漏洞来获取有价值的信用卡数据。想想另一起臭名昭著的数据泄露事件,这次遭受的是Equifax2017年,超过18.2万个信用卡号被曝光。这种违规行为对信用卡公司、银行和小商家都是有害的。
你知道吗?
PCI合规性上升已经有一段时间了。尽管报告显示,2010年代前半期出现了大幅增长,但此后合规情况有所下降。根据Verizon 2020支付安全报告在美国,只有超过四分之一的企业完全符合PCI标准,比前一年下降了近9%,比2016年下降了27.5%。
做好数据泄露的准备
2021年,数据泄露的成本对于小型企业达到298万美元,其中38%是由于业务损失。根据IBM的同一份报告,这种损失会持续数年——第一年为53%,第二年为31%,甚至在两年后还有16%的成本仍然有效。
你知道吗?
如果你面临数据泄露,你可能还会破坏客户的信任。大约四分之三的网上购物者更有可能从大型零售商那里购物2021年BrizFeel调查因为消费者相信大公司会认真对待安全问题。消费者非常清楚安全问题和数据泄露79%的美国人担心关于他们的数据。
符合PCI标准意味着您拥有PCI DSS要求12中概述的最新事件响应计划。整个准则还可以作为有效应急管理和法医调查程序的良好起点,以帮助在发生导致数据泄露的网络攻击时降低成本。
PCI合规性成本
为了确保您的业务保持PCI合规性,您可能需要支付各种费用。这些费用可以是月费或年费,费用从每月10美元到每年数百美元不等。这取决于服务、您选择的支付处理程序类型,以及您计划如何处理AoC和漏洞扫描。
通常,像Square和Shopify这样的支付处理商不会对PCI合规收取单独的费用。相反,他们将合规成本纳入您的月费或交易费。一个传统商户账户可能会有额外的合规费用,或者被纳入报表费用。例如,Chase Merchant Services在其现收现付计划中不收取任何PCI合规性费用。
当您需要漏洞扫描或希望雇用QSA时,您可能需要支付PCI合规性费用:
- ASV扫描:对您的业务环境(如防火墙、互联网等)的季度漏洞扫描通常按年收费;平均价格从200美元到1000美元不等。
- QSA服务:有多个地点的商家可能想要雇佣一个符合PCI标准的QSA;费用从1万美元起,根据地点的数量和网络的复杂程度而有所不同。
为PCI遵从性收取费用是很常见的,因为这些费用用于更新和维护数据服务器,并确保所有数据的安全性。你的支付处理器、支付网关或服务提供商负责数据传输和存储,所以无论收取何种费用,这都是一项重要且必要的费用。
PCI遵从性是一套标准,而不是实际的法律,因此它由信用卡公司监管。那么,如果你继续不遵守规定,最坏的情况是什么呢?以下是一些可能性:
- PCI不合规费用:你将每月支付19.95美元(或更多),直到你证明你的业务是pci兼容的(虽然它看起来来自你的支付处理程序,它来自信用卡公司,但有些处理程序可能会收取更高的费用)。
- PCI违规罚款:发生安全漏洞,消费者数据泄露;您的记录显示不合规;你每个月要支付5000到100000美元的罚款。
- PCI不符合和撤销:你的收款银行撤销了你接受信用卡的能力,这可能是你业务的终结。
PCI合规性常见问题(FAQ)
是的。小企业更容易受到数据泄露的影响。小型企业需要4级PCI合规性,其中包括最低季度扫描和每年提交自我评估问卷(SAQ)。
每年交易额低于2万美元的小企业需要每年提交一次自我评估问卷(SAQ)和合规证明(AoC)。您还需要为您的公司建立、记录和维护安全策略。
对于小型企业,第三方安全专业人员将为自我评估问卷(SAQ)收取大约50 - 200美元的费用。漏洞扫描的费用从每个IP地址100美元起;修复工作的起价也是100美元,但根据需要做的事情(软件更新、硬件更换等),费用可能会迅速增加。每个员工的安全意识培训费用约为50至70美元。
建议咨询安全专业人员,以确保您准确地执行了必要的步骤,但您可以通过选择正确的商家服务提供商来最小化成本。之后,您可以开始自己填写SAQ并维护安全扫描记录。
底线
对于商家来说,认真对待小型企业的PCI合规性是非常重要的。不要以为你的支付处理程序是兼容的,你就可以摆脱困境了。遵循指导方针,并确保检查官方网站对于任何更改。PCI遵从性需求随着数据安全性的发展而发展。