¿Aceptando tarjetas de crédito? El cumplimiento de PCI es una preocupación para las pequeñas empresas

Las recientes infracciones contra los principales minoristas han puesto a la industria de las tarjetas de pago (PCI) en el punto de mira. Sin embargo, no solo las grandes compañías deben preocuparse por cumplir con estas regulaciones. Las reglas se aplican a todas las empresas que dependen de las tarjetas de crédito y débito para las transacciones. Incluso si su empresa emplea a cuatro personas y realiza una transacción de tarjeta de crédito por mes, debe ser compatible con PCI.

Esto es más fácil decirlo que hacerlo. El Informe de cumplimiento de PCI 2014 de Verizon descubrió que la mayoría de las empresas tienen dificultades para cumplir con el Estándar de seguridad de datos PCI, el conjunto de regulaciones creadas para ayudar a mantener los datos de tarjetas de crédito y débito seguros y protegidos. Según Computerworld, más del 82 por ciento de las empresas cumplían con solo 8 de cada 10 de estos requisitos en el momento de sus evaluaciones anuales, y necesitaron varios meses para cerrar las brechas. Además, solo el 11.1 por ciento de las empresas mantiene su estado de cumplimiento entre evaluaciones.

Ser compatible con PCI no es negociable si acepta tarjetas de crédito y débito, pero se prepara para una auditoría PCI y garantiza que su empresa cumpla con los estándares de cumplimiento. desalentador Jeff VanSickel, consultor sénior de la firma consultora de cumplimiento de TI SystemExperts, brindó algunos consejos para prepararse para una evaluación PCI y para mantener sus estándares en niveles seguros en todo momento.

1. Identifique todos los datos comerciales y de clientes, incluyendo los datos de los titulares de tarjetas, su sensibilidad y criticidad. Definir correctamente el Alcance de Evaluación de PCI es probablemente la parte más difícil e importante de cualquier programa de cumplimiento de PCI, dijo VanSickel. Un alcance demasiado limitado puede poner en peligro los datos del titular de la tarjeta, mientras que un alcance demasiado amplio puede agregar un costo y esfuerzo inmenso e innecesario a un programa de cumplimiento de PCI.

2 . Comprenda los límites del entorno de datos del titular de la tarjeta y todos los datos que entran y salen de él. Cualquier sistema que se conecte al entorno de datos del titular de la tarjeta está dentro del alcance del cumplimiento, y por lo tanto debe cumplir con los requisitos de PCI. El entorno de datos del titular de la tarjeta incluye todos los procesos y tecnologías, así como las personas que almacenan, procesan o transmiten datos del titular de la tarjeta del cliente o de autenticación, así como todos los componentes del sistema conectados y cualquier componente de virtualización, como servidores.

Nota del editor: servicio de procesamiento de tarjetas de crédito para su negocio? Si busca información que lo ayude a elegir la adecuada para usted, utilice el siguiente cuestionario para obtener información de una variedad de proveedores de forma gratuita.

3. Establezca controles de operación para proteger la confidencialidad e integridad de cualquier información del titular de la tarjeta. Los datos del titular de la tarjeta deben estar protegidos dondequiera que se importen, procesen, almacenen y transmitan. Luego debe eliminarse adecuadamente al final de su vida útil.

"Las copias de seguridad también deben preservar la confidencialidad y la integridad de los datos del titular de la tarjeta", agregó VanSickel. "Además, todos los medios deben desecharse adecuadamente para garantizar la confidencialidad continua de los datos. Asegúrese de incluir no solo los discos duros utilizados por los sistemas informáticos propiedad de la compañía, sino también los sistemas arrendados y el almacenamiento incluido en las impresoras y las máquinas copiadoras modernas. "

4. Tener un plan de respuesta a incidentes en marcha. Cuando ocurre un incidente, es importante contar con un plan para regresar a operaciones seguras lo más rápido posible. Este plan de respuesta a incidentes debe definir roles, responsabilidades, requisitos de comunicación y estrategias de contacto en caso de un compromiso, incluida la notificación de las marcas de pago, el abogado y las relaciones públicas. Esto asegurará el manejo oportuno y efectivo de todas las situaciones comprometidas.

"Idealmente, las compañías deberían tener un especialista forense certificado en un detenedor que pueda reunir pruebas y testificar como un testigo experto si es necesario", dijo VanSickel.

5. Explique y haga cumplir los procedimientos de seguridad. Nunca puede estar seguro de que los empleados comprendan las mejores prácticas de seguridad y otros comportamientos que pueden poner en riesgo su negocio. Depende de usted asegurarse de que todos los integrantes de la empresa, desde los empleados de nivel inferior hasta los especialistas en TI y la administración, conozcan los procedimientos de seguridad y los procedimientos de cumplimiento de PCI.

En el momento en que su cliente entrega una tarjeta de crédito o débito, ser responsable de mantener seguros los datos asociados con esa tarjeta. Si bien los pasos anteriores están principalmente destinados a prepararte para una auditoría PCI, también proporcionarán una red de seguridad entre evaluaciones. Para obtener más información, visite PCIComplianceGuide.org.

Haz lo que te gusta: The 'Fashion Star'

¿Alguna vez soñaste con encontrar la manera de hacer lo que amas para ganarte la vida? En mi columna "Haz lo que amas", le pido a las personas que lo han hecho que me cuenten sus secretos. Espero que te inspiren a hacer lo mismo. Es posible que conozcas a Caprice Willard de su papel como una destacada compradora del reality show de NBC "Fashion Star.

(Negocio)

10 Señales de que eres adicto a ser un empresario

Desde fumar cigarrillos hasta jugar videojuegos, casi cualquier sustancia o actividad puede convertirse en un comportamiento adictivo. ¿Pero qué hay de comenzar un negocio? ¿El espíritu empresarial también puede convertirse en una adicción? El emprendimiento puede ser una gran opción de carrera para algunas personas, pero los emprendedores en serie (aquellos que inician múltiples negocios) podrían ser más que simples conocedores de negocios y aventureros: el emprendimiento habitual puede ser un comportamiento adicción, según un estudio reciente en el Journal of Business Venturing.

(Negocio)