Accepter les cartes de crédit? La conformité PCI est une préoccupation pour les petites entreprises
Les violations récentes contre les principaux détaillants ont mis en lumière les réglementations de l'industrie des cartes de paiement (PCI). Cependant, ce ne sont pas seulement les grandes entreprises qui doivent s'inquiéter du respect de ces réglementations. Les règles s'appliquent à toutes les entreprises qui utilisent des cartes de crédit et de débit pour les transactions. Même si votre entreprise emploie quatre personnes et qu'elle effectue une transaction par carte de crédit par mois, elle doit être conforme à la norme PCI.
C'est plus facile à dire qu'à faire. Le rapport de conformité PCI Verizon 2014 a révélé que la plupart des entreprises ont du mal à respecter la norme de sécurité des données PCI, l'ensemble des réglementations créées pour aider à sécuriser et sécuriser les données des cartes de crédit et de débit. Selon Computerworld, plus de 82% des entreprises étaient en conformité avec seulement 8 sur 10 de ces exigences au moment de leurs évaluations annuelles, et ont besoin de plusieurs mois pour combler les lacunes. En outre, seulement 11,1% des entreprises conservent leur statut de conformité entre les évaluations.
Etre conforme PCI n'est pas négociable si vous acceptez les cartes de crédit et de débit, mais vous préparez un audit PCI et assurez-vous que votre entreprise respecte les normes de conformité. décourageant. Jeff VanSickel, consultant senior à la société de conseil en conformité informatique SystemExperts, a fourni quelques conseils pour se préparer à une évaluation PCI et pour maintenir vos normes à des niveaux sécurisés à tout moment.
1. Identifier toutes les données commerciales et client Définir correctement le périmètre d'évaluation PCI est probablement la partie la plus difficile et la plus importante de tout programme de conformité PCI, a déclaré VanSickel. Une portée trop étroite peut compromettre les données des titulaires de cartes, alors qu'une portée trop large peut ajouter des coûts et des efforts considérables et inutiles à un programme de conformité PCI.
2 . Comprendre les limites de l'environnement Tout système qui se connecte à l'environnement de données du titulaire de carte doit être conforme et doit donc répondre aux exigences PCI. L'environnement de données du titulaire comprend tous les processus et la technologie, ainsi que les personnes qui stockent, traitent ou transmettent les données du titulaire ou les données d'authentification, ainsi que tous les composants du système et les composants de virtualisation, comme les serveurs. service de traitement de carte de crédit pour votre entreprise? Si vous recherchez des informations pour vous aider à choisir celle qui vous convient le mieux, utilisez le questionnaire ci-dessous pour obtenir gratuitement des informations auprès de différents fournisseurs.
3. Établir des contrôles opérationnels pour protéger la confidentialité et l'intégrité des données des titulaires de carte.
Les données du titulaire de carte devraient être protégées chaque fois qu'elles sont importées, traitées, stockées et transmises. Il doit ensuite être éliminé correctement à la fin de sa durée de vie. «Les sauvegardes doivent également préserver la confidentialité et l'intégrité des données des titulaires de cartes», a ajouté M. VanSickel. "De plus, tous les supports doivent être correctement éliminés afin d'assurer la confidentialité des données.Essurez-vous d'inclure non seulement les disques durs utilisés par les systèmes informatiques de l'entreprise, mais aussi les systèmes loués et le stockage inclus dans les photocopieurs et imprimantes modernes. "
4. Avoir un plan d'intervention en cas d'incident
Lorsqu'un incident survient, il est important d'avoir un plan de retour pour sécuriser les opérations le plus rapidement possible. Ce plan de réponse aux incidents doit définir les rôles, les responsabilités, les exigences de communication et les stratégies de contact en cas de compromis, y compris la notification des marques de paiement, les conseils juridiques et les relations publiques. "Idéalement, les entreprises devraient avoir un expert en médecine légale certifié sur mandat qui peut recueillir des preuves et témoigner en tant que témoin expert si nécessaire", a déclaré VanSickel. 5. Expliquez et appliquez les procédures de sécurité.
Vous ne pouvez jamais être sûr que les employés comprennent les meilleures pratiques en matière de sécurité et les autres comportements qui peuvent mettre votre entreprise en danger. C'est à vous de veiller à ce que tout le monde au sein de l'entreprise soit informé des procédures de sécurité et des procédures de conformité PCI, qu'il s'agisse des employés, des informaticiens ou de la direction.
Le client passe une carte de crédit ou de débit. devenir responsable de la sécurité des données associées à cette carte. Bien que les étapes ci-dessus visent principalement à vous préparer à un audit PCI, elles fourniront également un filet de sécurité entre les évaluations. Pour plus d'informations, visitez PCIComplianceGuide.org.
Utiliser le test A / B pour booster les résultats marketing
L'une des questions les plus critiques auxquelles un agent de commercialisation doit répondre est de savoir ce qui incite les clients à agir. Qu'est-ce qui fait que quelqu'un ouvre un email de marketing, clique sur un site web et finalement fait un achat? Plutôt que de deviner et d'espérer pour le meilleur, les entreprises intelligentes utiliseront ce qu'on appelle A / B ou split testing pour savoir exactement ce qui conduit les conversions dans leurs campagnes marketing.
Navire sautant: Votre PDG partira-t-il quand les temps seront durs?
Si vous voulez savoir si votre PDG va faire des bonds quand les temps seront durs, regardez les relations qu'ils entretiennent avec d'autres professionnels, suggère une nouvelle recherche. Une étude récemment publiée dans le Strategic Management Journal a révélé que la décision d'un PDG de quitter volontairement une entreprise quand elle commence à échouer est dictée par le capital social de l'exécutif - les relations personnelles qu'ils entretiennent avec leurs collègues et les principaux intervenants externes.
Articles Populaires