Les violations récentes contre les principaux détaillants ont mis en lumière les réglementations de l'industrie des cartes de paiement (PCI). Cependant, ce ne sont pas seulement les grandes entreprises qui doivent s'inquiéter du respect de ces réglementations. Les règles s'appliquent à toutes les entreprises qui utilisent des cartes de crédit et de débit pour les transactions. Même si votre entreprise emploie quatre personnes et qu'elle effectue une transaction par carte de crédit par mois, elle doit être conforme à la norme PCI.
C'est plus facile à dire qu'à faire. Le rapport de conformité PCI Verizon 2014 a révélé que la plupart des entreprises ont du mal à respecter la norme de sécurité des données PCI, l'ensemble des réglementations créées pour aider à sécuriser et sécuriser les données des cartes de crédit et de débit. Selon Computerworld, plus de 82% des entreprises étaient en conformité avec seulement 8 sur 10 de ces exigences au moment de leurs évaluations annuelles, et ont besoin de plusieurs mois pour combler les lacunes. En outre, seulement 11,1% des entreprises conservent leur statut de conformité entre les évaluations.
Etre conforme PCI n'est pas négociable si vous acceptez les cartes de crédit et de débit, mais vous préparez un audit PCI et assurez-vous que votre entreprise respecte les normes de conformité. décourageant. Jeff VanSickel, consultant senior à la société de conseil en conformité informatique SystemExperts, a fourni quelques conseils pour se préparer à une évaluation PCI et pour maintenir vos normes à des niveaux sécurisés à tout moment.
1. Identifier toutes les données commerciales et client Définir correctement le périmètre d'évaluation PCI est probablement la partie la plus difficile et la plus importante de tout programme de conformité PCI, a déclaré VanSickel. Une portée trop étroite peut compromettre les données des titulaires de cartes, alors qu'une portée trop large peut ajouter des coûts et des efforts considérables et inutiles à un programme de conformité PCI.
2 . Comprendre les limites de l'environnement Tout système qui se connecte à l'environnement de données du titulaire de carte doit être conforme et doit donc répondre aux exigences PCI. L'environnement de données du titulaire comprend tous les processus et la technologie, ainsi que les personnes qui stockent, traitent ou transmettent les données du titulaire ou les données d'authentification, ainsi que tous les composants du système et les composants de virtualisation, comme les serveurs. service de traitement de carte de crédit pour votre entreprise? Si vous recherchez des informations pour vous aider à choisir celle qui vous convient le mieux, utilisez le questionnaire ci-dessous pour obtenir gratuitement des informations auprès de différents fournisseurs.
3. Établir des contrôles opérationnels pour protéger la confidentialité et l'intégrité des données des titulaires de carte.
Les données du titulaire de carte devraient être protégées chaque fois qu'elles sont importées, traitées, stockées et transmises. Il doit ensuite être éliminé correctement à la fin de sa durée de vie. «Les sauvegardes doivent également préserver la confidentialité et l'intégrité des données des titulaires de cartes», a ajouté M. VanSickel. "De plus, tous les supports doivent être correctement éliminés afin d'assurer la confidentialité des données.Essurez-vous d'inclure non seulement les disques durs utilisés par les systèmes informatiques de l'entreprise, mais aussi les systèmes loués et le stockage inclus dans les photocopieurs et imprimantes modernes. "
4. Avoir un plan d'intervention en cas d'incident
Lorsqu'un incident survient, il est important d'avoir un plan de retour pour sécuriser les opérations le plus rapidement possible. Ce plan de réponse aux incidents doit définir les rôles, les responsabilités, les exigences de communication et les stratégies de contact en cas de compromis, y compris la notification des marques de paiement, les conseils juridiques et les relations publiques. "Idéalement, les entreprises devraient avoir un expert en médecine légale certifié sur mandat qui peut recueillir des preuves et témoigner en tant que témoin expert si nécessaire", a déclaré VanSickel. 5. Expliquez et appliquez les procédures de sécurité.
Vous ne pouvez jamais être sûr que les employés comprennent les meilleures pratiques en matière de sécurité et les autres comportements qui peuvent mettre votre entreprise en danger. C'est à vous de veiller à ce que tout le monde au sein de l'entreprise soit informé des procédures de sécurité et des procédures de conformité PCI, qu'il s'agisse des employés, des informaticiens ou de la direction.
Le client passe une carte de crédit ou de débit. devenir responsable de la sécurité des données associées à cette carte. Bien que les étapes ci-dessus visent principalement à vous préparer à un audit PCI, elles fourniront également un filet de sécurité entre les évaluations. Pour plus d'informations, visitez PCIComplianceGuide.org.
Quatre générations dans l'affaire turque et toujours en train de bouffer
La famille Diestel Turkey Ranch est l'une des rares entreprises familiales de transformation de dinde aux États-Unis. Nous sommes une famille de dindons de quatrième génération, engagés Mon arrière-arrière-grand-oncle, Ernest Bottini, a mis notre histoire en mouvement lorsqu'il a émigré d'Europe occidentale à Sonora, en Californie, et acheté 400 acres pour démarrer un ranch de dinde.
Derrière le plan d'affaires: Front Row Education, Inc.
Mobby Business: Quel service fournit votre entreprise? Sidharth Kakkar: Front Row Education Inc. propose des programmes d'éducation adaptatifs, ludiques et axés sur les données pour les classes que les élèves de la maternelle à la 8e année utilisent pour apprendre à leur propre rythme. Dans ces salles de classe, les élèves qui sont en avance pratiquent du matériel plus difficile, tandis que les élèves qui sont en retard se voient offrir des outils qui comblent les lacunes dans leurs connaissances.