PCI अनुपालन: आपके व्यवसाय को क्रेडिट कार्ड अपराधियों से सुरक्षित रखें

साइबर अपराधी क्रेडिट कार्ड भुगतान स्वीकार करने वाले छोटे व्यवसायों को लक्षित करने के लिए अपना ध्यान केंद्रित कर रहे हैं, जिसका अर्थ है कि आपका व्यवसाय अगले हो सकता है। 60% छोटे व्यवसायों के भंग होने के 6 महीने के भीतर, आपके व्यवसाय की साइबर सुरक्षा और PCI अनुपालन आपकी सर्वोच्च प्राथमिकताओं में से एक होनी चाहिए। इस लेख को पढ़ने के बाद आप जानेंगे:

  1. क्यों साइबर सुरक्षा आपके छोटे व्यवसाय के लिए महत्वपूर्ण है।
  2. क्रेडिट कार्ड की प्रोसेसिंग करते समय अपने व्यवसाय को साइबर खतरों से कैसे बचाएं।
  3. यदि आपको संदेह है कि आपको हैक किया गया है तो क्या करें।

इससे पहले कि हम इस विषय पर विवरणों में डुबकी लगाते हैं, हमारा सुझाव है कि आप स्क्वायर, एक मुफ्त पीओएस सिस्टम देखें जो इन्वेंट्री का प्रबंधन कर सकते हैं, क्रेडिट कार्ड की प्रक्रिया कर सकते हैं और आइटम द्वारा बिक्री को ट्रैक कर सकते हैं। अधिक जानने के लिए स्क्वायर पर जाएँ।

क्यों साइबर सुरक्षा आपके छोटे व्यवसाय के लिए महत्वपूर्ण है

  • साइबर क्रिमिनल्स अब अधिक से अधिक संख्या में छोटे व्यवसायों को लक्षित कर रहे हैं जहाँ सुरक्षा कमजोर है।
  • 60% छोटे व्यवसाय जो डेटा उल्लंघन का शिकार होते हैं वे 6 महीने बाद व्यवसाय से बाहर हो जाते हैं
  • फोर्टिनेट के एक हालिया सर्वेक्षण में पाया गया कि लगभग दो-तिहाई उपभोक्ताओं ने व्यापारियों को डेटा उल्लंघनों के लिए जिम्मेदार ठहराया।

(सूत्र: गोविंफो सिक्योरिटी, सिमेंटेक)

इन मुद्दों को समझने में मदद करने के लिए हमने साइमन गैंबल, लघु-व्यवसाय साइबर सुरक्षा विशेषज्ञ और माको नेटवर्क्स की अमेरिकी शाखा के अध्यक्ष के साथ बात की।

एक बुनियादी अवलोकन

साइमन ने तीन टिप्पणियों के साथ हमारी बातचीत शुरू की:

  1. कोई भी छोटा व्यवसाय जो क्रेडिट कार्ड स्वीकार करता है, साइबर सुरक्षा उल्लंघन का एक संभावित लक्ष्य है।
  2. छोटे व्यवसायों को क्रेडिट कार्ड सुरक्षा मानकों के समान स्तर (इस आलेख में बाद में चर्चा की गई) के रूप में बड़े व्यवसायों जैसे टारगेट या होम डिपो में आयोजित किया जाता है।
  3. कोई भी छोटा व्यवसाय जो साइबर सुरक्षा उल्लंघन से ग्रस्त है और क्रेडिट कार्ड सुरक्षा मानकों के अनुरूप नहीं पाया जाता है, वह उल्लंघन से संबंधित आरोपों के लिए पूरी तरह से उत्तरदायी है।
आप एक लक्ष्य हो सकते हैं

यदि आप एक छोटे व्यवसाय हैं, जो क्रेडिट कार्ड स्वीकार करते हैं, तो आप एक साइबर हमले की चपेट में हैं। साइबर हमलावर छोटे व्यवसायों को अधिक से अधिक लक्षित कर रहे हैं, क्योंकि उनके नेटवर्क को हैक करना आसान है और क्रेडिट कार्ड सुरक्षा मानकों के अनुपालन के लिए उन्हें नियमित रूप से चेक नहीं किया जाता है।

यदि आप असुरक्षित हैं, तो एक हैकर अब दुनिया में कहीं से भी आपके भुगतान टर्मिनल पर मैलवेयर इंजेक्ट कर सकता है और आपके ग्राहकों की जानकारी तक पहुँच सकता है।

PCI अनुपालन (क्रेडिट कार्ड सुरक्षा मानक)

यदि आप क्रेडिट कार्ड स्वीकार करते हैं, तो आप भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (PCI DSS) का पालन करने के लिए सहमत हो गए हैं, चाहे आप इसे जानते हैं या नहीं। PCI DSS यह सुनिश्चित करने के लिए डिज़ाइन की गई आवश्यकताओं का एक समूह है कि सभी कंपनियां जो क्रेडिट कार्ड की जानकारी को प्रोसेस, स्टोर या ट्रांसमिट करती हैं, एक सुरक्षित वातावरण बनाए रखती हैं।

सुरक्षा भंग, दायित्व, और अन्य परिणाम

यदि आपके छोटे व्यवसाय को सुरक्षा उल्लंघन का संदेह है, तो PCI DSS निरीक्षक आते हैं और यह निर्धारित करने का प्रयास करते हैं कि क्या कोई उल्लंघन है और यह कैसे हुआ। अपने आप में यह प्रक्रिया एक छोटे से व्यवसाय के लिए अपंग हो सकती है, कम से कम कई दिनों के लिए परिचालन बंद कर सकती है और निरीक्षण शुल्क में $ 8,000 - $ 20,000 के बीच लागत आती है।

यदि आपका व्यवसाय गैर-अनुपालन योग्य पाया जाता है, तो आपको संभावित रूप से और भी अधिक शुल्क के लिए उत्तरदायी माना जाता है:

  1. डेटा सिक्योरिटी फाइन - प्रति सुरक्षा उल्लंघन घटना के लिए $ 500,000 तक का जुर्माना।
  2. गैर-अनुपालन जुर्माना - प्रकाशित मानकों के साथ गैर-अनुपालन के लिए प्रति दिन $ 50,000 तक।
  3. कार्ड रिप्लेसमेंट शुल्क - $ 3- $ 10 प्रति कार्ड x कुल कार्डों की संख्या में समझौता किया गया।
  4. रिफंड शुल्क - समझौता किए गए खाता नंबरों से होने वाले सभी धोखाधड़ी नुकसानों के लिए संभावित रूप से उत्तरदायी।

यदि भंग किया जाता है, तो आपका व्यवसाय न केवल एक गंभीर मौद्रिक दंड का जोखिम उठाता है, आप अपने ग्राहकों का विश्वास खोने का भी जोखिम उठाते हैं, जैसा कि ऊपर दिए गए आंकड़ों में वर्णित है। अक्सर, ग्राहकों का नुकसान अंतिम झटका है जो पहले से ही समझौता किए गए छोटे व्यवसाय को खत्म करता है।

कैसे करें PCI DSS शिकायत और साइबर खतरों से अपने व्यवसाय की रक्षा करें

कुंजी यह सुनिश्चित करने के लिए है कि आपका व्यवसाय PCI DSS अनुरूप है। क्यूं कर? सबसे पहले, पीसीआई अनुपालन व्यवसाय शायद ही कभी, यदि कभी भी सफलतापूर्वक हैक किया गया हो। दूसरा, यदि आपका व्यवसाय सफलतापूर्वक हैक किया गया है, तो आप किसी भी जुर्माना या शुल्क (संभवतः ऑडिट शुल्क को छोड़कर) के लिए उत्तरदायी नहीं हैं।

यहां बताया गया है कि अपने व्यवसाय को पीसीआई डीएसएस के अनुरूप कैसे बनाया जाए।

पीसीआई डीएसएस अनुपालन के लिए आवश्यकताओं को जानें

आपको यह जानना होगा कि आपने अपने व्यवसाय के लिए क्या हस्ताक्षर किए हैं और आपके व्यवसाय के लिए क्या आवश्यक है। यदि आप नहीं करते हैं, तो आपको पता नहीं चलेगा कि आपके व्यवसाय को सुरक्षित करने के लिए आपको क्या कदम उठाने की आवश्यकता है।

PCI अनुपालन अधिक से अधिक लेनदेन अनुपालन है

पीसीआई अनुपालन के दो मुख्य प्रकार हैं, पर्यावरण (नेटवर्क) और लेन-देन। कई व्यवसाय पीसीआई डीएसएस अनुपालन पीओएस सिस्टम खरीदते हैं और सोचते हैं कि वे आज्ञाकारी हैं। वास्तव में, इस तरह का अनुपालन केवल क्रेडिट कार्ड लेनदेन से संबंधित है न कि आपके व्यावसायिक वातावरण / नेटवर्क से, जो पीसीआई अनुपालन भी होना चाहिए। नेटवर्क वातावरण जिसमें आपके पीओएस उपकरण रहते हैं, आपके लेनदेन प्रणाली की तरह ही महत्वपूर्ण है।

सभी अनुपालन क्षेत्रों की एक विस्तृत सूची पीसीआई के त्वरित संदर्भ गाइड में पाई जा सकती है। पीसीआई की त्वरित और गंदी सूची इस प्रकार है:

  1. अपने पॉइंट-ऑफ-सेल पर केवल स्वीकृत पिन एंट्री डिवाइस खरीदें और उपयोग करें।
  2. अपने पीओएस या वेबसाइट शॉपिंग कार्ट पर केवल मान्य भुगतान सॉफ़्टवेयर खरीदें और उपयोग करें। उनकी वेबसाइट पर एक सूची देखने के लिए यहां क्लिक करें।
  3. स्टोर न करें कोई भी कंप्यूटर, रसीद प्रिंटर, या कागज पर संवेदनशील कार्डधारक डेटा।
  4. अपने नेटवर्क और पीसी पर फ़ायरवॉल का उपयोग करें।
  5. सुनिश्चित करें कि आपका वायरलेस राउटर पासवर्ड से सुरक्षित है और एन्क्रिप्शन का उपयोग करता है।
  6. मजबूत पासवर्ड (ऊपरी और निचले मामलों के अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण) का उपयोग करें। हार्डवेयर और सॉफ्टवेयर पर डिफ़ॉल्ट पासवर्ड बदलना सुनिश्चित करें - सबसे असुरक्षित हैं!
  7. यह सुनिश्चित करने के लिए कि कोई भी दुष्ट सॉफ़्टवेयर या "स्किमिंग" उपकरण स्थापित नहीं किया है, पिन प्रविष्टि उपकरणों और पीसी की नियमित जांच करें।
  8. अपने कर्मचारियों को सुरक्षा और कार्डधारक डेटा की सुरक्षा के बारे में सिखाएं।
  9. PCI मानक का पालन करें। निचे देखो।
    1. आकलन - कार्डधारक डेटा की पहचान करना, भुगतान कार्ड प्रसंस्करण के लिए अपनी आईटी परिसंपत्तियों और व्यावसायिक प्रक्रियाओं की सूची लेना और कमजोरियों के लिए उनका विश्लेषण करना।
    2. remediate - कमजोरियों को ठीक करना और जब तक आपको इसकी आवश्यकता न हो, कार्डधारक का डेटा संग्रहीत नहीं करना।
    3. रिपोर्ट - आपके द्वारा व्यवसाय करने वाले बैंक और कार्ड ब्रांडों के लिए आवश्यक रिपोर्ट संकलित और प्रस्तुत करना।

आवश्यक पीसीआई अनुपालन कदम उठाएं

आपके व्यवसाय को और अधिक सुरक्षित बनाने के दो मुख्य तरीके हैं और PCI DSS का अनुपालन

  1. एक पीसीआई डीएसएस योग्य सुरक्षा आश्वासन (QSA) किराए पर लें
  2. यह स्वयं करो
एक PCI DSS QSA किराए पर लेना

PCI SSC प्रमाणित है QSA ऐसे संगठन हैं जो PCI DSS मानकों के अनुपालन का आकलन करने के लिए PCI परिषद द्वारा योग्य हैं। क्यूएसए डेटा सुरक्षा आकलन करता है, सिफारिशें करता है और प्रमाणन प्रदान करता है। क्यूएसए को किराए पर लेना आपके शोध को करने में लगने वाले समय को बचाएगा और आपको मानसिक शांति भी देगा कि नौकरी सही तरीके से की गई थी।

क्यूएसए को काम पर रखने के लिए बड़ा नकारात्मक मूल्य है। आपको क्यूएसए शुल्क का भुगतान करना होगा, जो आम तौर पर काफी महंगे हैं। एक उद्धरण जिस पर मैंने जाँच की, हर घंटे के लिए $ 5,000 का शुल्क और $ 200 का शुल्क लिया। उसके ऊपर, आपको QSA को जो भी समस्याएँ आती हैं, उन्हें ठीक करने के लिए उपकरण / सॉफ्टवेयर के लिए भुगतान करना होगा, जो कि महंगा भी है।

यहाँ PCI प्रमाणित QSA कंपनियों की एक सूची दी गई है
यहां एक गाइड है जो पीसीआई डीएसएस क्यूएसए में देखने के लिए क्या है

यह स्वयं करो

अपने लिए PCI DSS अनुपालन का पता लगाना एक कठिन काम लग सकता है। हालाँकि, सिर्फ इसलिए कि आप क्यूएस को काम पर नहीं रख रहे हैं इसका मतलब यह नहीं है कि यह नहीं किया जा सकता है या आपको इसे बिना मदद के करना होगा।

यहां है कि इसे कैसे करना है

  1. अपने आप को शिक्षित करें
  2. अपने भुगतान नेटवर्क को सुरक्षित करें
  3. एक सुरक्षा सॉफ्टवेयर का उपयोग करें जो परीक्षण के लिए कमजोरियों
  4. अपने PCI DSS स्व-मूल्यांकन प्रश्नावली को भरें और चालू करें
अपने आप को शिक्षित करें

यह पहले से ही आम तौर पर ऊपर संबोधित किया गया है। यहां त्वरित संदर्भ PCI DSS अनुपालन मार्गदर्शिका के लिए फिर से लिंक दिया गया है। यद्यपि यह थोड़ा कठिन है, लेकिन यह केवल 33 पृष्ठों का है और यदि आप अपने लिए PCI DSS अनुपालन की निगरानी करने की योजना बनाते हैं तो यह पढ़ना महत्वपूर्ण है।

अपने भुगतान नेटवर्क को सुरक्षित करें

साइमन ने अपने नेटवर्क को और अधिक सुरक्षित और आज्ञाकारी बनाने के लिए प्रत्येक मुख्य व्यवसाय के लिए 3 मुख्य कदम उठाए।

1. एक उचित फ़ायरवॉल स्थापित करें एक उचित फ़ायरवॉल हैकर्स को आपके व्यवसाय की जानकारी चोरी करने से बचाता है।
हम माको नेटवर्क की अनुशंसा करते हैं, जो लगभग $ 80 / माह से शुरू होने वाले फ़ायरवॉल के साथ एक सुरक्षित और PCI DSS अनुरूप भुगतान नेटवर्क प्रदान करता है। आप के पास एक पुनर्विक्रेता को खोजने के लिए उनकी वितरक सूची देखें।

2. भुगतान सेवाओं के लिए एक अलग नेटवर्क हो अपने भुगतान नेटवर्क को अपने अन्य व्यावसायिक नेटवर्क से अलग करने का मतलब हैकर्स आपके सामान्य व्यवसाय नेटवर्क में कहीं से भी संवेदनशील कार्ड डेटा तक नहीं पहुँच सकते। इसके बजाय, उन्हें विशेष रूप से आपके भुगतान नेटवर्क को हैक करना होगा, जो कि उचित फ़ायरवॉल के साथ उनके कार्य को और अधिक कठिन बना देगा।

3. उपयोगकर्ता नाम और पासवर्ड हर 90 दिन या सभी एक्सेस पॉइंट पर बदलें सुनिश्चित करें कि आप जितनी जल्दी हो सके डिफ़ॉल्ट उपयोगकर्ता नाम और पासवर्ड बदल सकते हैं, क्योंकि वे शायद ही कभी सुरक्षित हैं। फिर, हर 90 दिनों में उपयोगकर्ता नाम और पासवर्ड बदलें। अधिकांश नेटवर्क प्रदाताओं के पास अपने स्वयं के दस्तावेज़ उपलब्ध हैं जो यह विवरण देते हैं कि यह कैसे करना है। यहां आपके वायरलेस नेटवर्क पासवर्ड को बदलने के लिए एक सामान्य गाइड है।

एक सुरक्षा सॉफ्टवेयर का उपयोग करें जो परीक्षण के लिए कमजोरियों

ऐसे विभिन्न सॉफ़्टवेयर विकल्प उपलब्ध हैं जो आपके नेटवर्क का परीक्षण करते हैं और भंग सुरक्षा और पीसीआई सुरक्षा अनुपालन के लिए भुगतान टर्मिनलों का परीक्षण करते हैं। पहले अपने भुगतान प्रोसेसर की जाँच करें, कुछ अपने पैकेज के हिस्से के रूप में मुफ्त PCI DSS परीक्षण सॉफ्टवेयर प्रदान करते हैं।

यदि आपके पास पहले से पीसीआई सिक्योरिटी सॉफ्टवेयर का उपयोग नहीं है, तो हम कंट्रोलस्कैन इंक के पीसीआई 1-2-3 की सलाह देते हैं। यह सॉफ्टवेयर छोटे व्यवसाय के मालिक को पीसीआई के अनुपालन नियमों के अनुसार वास्तविक समय तक पहुंच प्रदान करता है। यह भेद्यता स्कैन भी करता है, रिपोर्ट प्रदान करता है और किसी भी कमजोर क्षेत्रों को सुरक्षित करने के लिए विस्तृत निर्देश देता है। कर्मचारियों के लिए साइबर सुरक्षा प्रशिक्षण भी शामिल है। PCI 1-2-3 की लागत $ 250 / yr प्लस एक अतिरिक्त $ 100 प्रति अतिरिक्त IP पता है।

अपनी PCI DSS सेल्फ असेसमेंट शीट भरें

पीसीआई के अनुरूप होने के लिए, छोटे व्यवसायों को एक वार्षिक पीसीआई डीएसएस स्व-मूल्यांकन शीट भरना आवश्यक है। यह शीट अनुपालन का निर्धारण करने के लिए एक स्वयं का चेकलिस्ट है। निर्देश और इस स्व-मूल्यांकन प्रश्नावली को पूरा करने के लिए लिंक पीसीआई के स्व-मूल्यांकन प्रपत्र पेज पर पाया जा सकता है।

यदि आपको संदेह है कि आपको क्या हुआ है तो क्या करें

यदि आपके कंप्यूटर असामान्य रूप से धीमा हैं, तो किसी के साथ छेड़छाड़ की गई है, या आप बिना किसी कारण के विभिन्न खातों से बाहर हैं, यह संभव है कि आप भंग हो गए हैं। वीज़ा की वेबसाइट पर एक संभावित उल्लंघन के निर्धारण और उससे निपटने के लिए एक अधिक व्यापक मार्गदर्शिका उपलब्ध है।

यदि आपको किसी ब्रीच पर संदेह है, तो यहां आपको करने की आवश्यकता है।

  1. ब्रीच टू योर पेमेंट प्रोसेसर / मर्चेंट बैंक
  2. राज्य प्रकटीकरण विनियमों और चेतावनी स्थानीय कानून प्रवर्तन की जाँच करें
  3. पूरी तरह से किसी भी पीसीआई डीएसएस ऑडिट के साथ पूरी तरह से
ब्रीच टू योर पेमेंट प्रोसेसर / मर्चेंट बैंक

यदि आपको किसी ब्रीच पर संदेह है, तो अपने भुगतान प्रोसेसर या मर्चेंट बैंक से संपर्क करें और उन्हें बताएं कि संभावित सुरक्षा उल्लंघन का पता चला है। वे फिर प्रोटोकॉल पर जाएंगे और निर्धारित करेंगे कि क्या किया जाना चाहिए।

राज्य प्रकटीकरण विनियमों और चेतावनी स्थानीय कानून प्रवर्तन की जाँच करें

अपने राज्य के नियमों को देखें कि आपको किसे सूचित करना है। ज्यादातर मामलों में, आपको ग्राहकों को यह बताना होगा कि आमतौर पर लिखित रूप में एक संभावित सुरक्षा उल्लंघन हुआ है।

आम तौर पर, आपको अपने स्थानीय कानून प्रवर्तन एजेंसी को भी सतर्क करना चाहिए। सुनिश्चित करने के लिए अपने कानूनी सलाहकार और / या अपने भुगतान प्रोसेसर की जाँच करें।

पूरी तरह से किसी भी पीसीआई डीएसएस ऑडिट के साथ पूरी तरह से

आपका भुगतान प्रोसेसर या उनका बैंक आम तौर पर PCI DSS ऑडिट आरंभ करता है। यदि आपको आगामी ऑडिट के बारे में सूचित किया जाता है, तो PCI अनुपालन से संबंधित आपकी सभी जानकारी एकत्रित करें, जब यह निरीक्षकों के आने पर तैयार हो। आप चाहते हैं कि ऑडिट टीम आश्वस्त हो कि आप पूर्ण सहयोग के लिए ऑन-बोर्ड हैं। यह इस प्रक्रिया को बहुत आसान बना देगा, जिससे आपका व्यवसाय वापस हो जाएगा और जितना संभव हो उतना जल्दी चल सकेगा। पूर्ण-अनुपालन यह भी बताता है कि आपके पास छिपाने के लिए कुछ भी नहीं है।

ऑडिट टीम आती है और यह देखने के लिए जांच करती है कि क्या, कैसे और कहाँ एक सुरक्षा उल्लंघन हुआ है। वे यह भी निर्धारित करते हैं कि पीसीआई डीएसएस आवश्यकताओं के साथ आपका व्यवसाय वास्तव में अनुरूप था या नहीं। आपको शायद ऑडिट फीस का भुगतान करना होगा। लेकिन, यदि आप PCI DSS आवश्यकताओं को पूरा करते हैं, तो आप किसी भी जुर्माना, क्रेडिट कार्ड प्रतिस्थापन शुल्क, या धोखाधड़ी रिफंड के लिए जिम्मेदार नहीं हैं।

निष्कर्ष

आपके छोटे व्यवसाय की साइबर सुरक्षा और PCI DSS अनुपालन स्थिति एक महत्वपूर्ण मुद्दा है। यदि आप इस मार्गदर्शिका का पालन करते हैं और आवश्यक कदम उठाते हैं, तो आपका व्यवसाय कई अन्य छोटे व्यवसायों की तुलना में अधिक सुरक्षित होगा और तैयार किया जाएगा कि वास्तव में साइबर हमला होना चाहिए।

रिटेल चोरी को कम करना चाहते हैं और बेहतर तरीके से अपनी इन्वेंटरी का प्रबंधन करना चाहते हैं? कैसे करना है यह पता लगाने के लिए यहां क्लिक करें।

Loading...