Om ditt företag accepterar kortbetalningar är det viktigt att ha en robust säkerhetsplattform för att skydda dina kunder. Kortbetalningsindustrin såg en ökning av kortbetalningsbedrägerier och utvecklade Payment Card Industry Data Security Standard (PCI DSS) för att förbättra kortbetalningssäkerheten.

PCI DSS lanserades 2006 och gäller för alla företag som behandlar, lagrar eller överför betalningskortinformation. Om ditt företag accepterar betalningar från MasterCard, Visa, American Express, Discover eller JCB måste ditt företag vara fullständigt PCI DSS-kompatibelt.

Varför ska småföretag använda PCI DSS-systemet? PCI DSS-systemet administreras av PCI Security Standards Council som är en oberoende organ som skapats av de stora kreditkortsutgivarna som råder:

  • Överensstämmelse med PCI DSS innebär att dina system är säkra, och kunder kan lita på dig med känsliga betalkortinformation.
  • Tillit innebär att dina kunder har förtroende för att göra affärer med dig.
  • Säkra kunder är mer benägna att vara upprepade kunder och att rekommendera dig till andra.
  • Överensstämmelse är en pågående process, inte en engångshändelse. Det hjälper till att förhindra säkerhetsbrott och stöld av betalningskortsdata, inte bara idag, men i framtiden.

PCI Security Standards Council säger: "Du har arbetat hårt för att bygga upp ditt företag - se till att du säkerställer din framgång genom att säkra dina kunders betalkortdata. Dina kunder är beroende av dig för att hålla sin information säker - återbetala deras förtroende med att de överensstämmer med PCI-säkerhetsstandarderna. "

Om ditt företag inte stöder PCI DSS, varnar PCI Security Standards Council:

  • Kompromissdata påverkar konsumenter, handlare och finansinstitut negativt.
  • Bara en incident kan allvarligt skada ditt rykte och din förmåga att bedriva verksamhet effektivt, långt in i framtiden.
  • Konto dataöverträdelser kan leda till katastrofala förluster av försäljning, relationer och stående i ditt samhälle och deprimerat aktiekurs om din är ett offentligt företag.
  • Eventuella negativa konsekvenser inkluderar även: rättegångar, försäkringsanspråk, avbokade konton, betalningskort emittent böter och statliga böter.

PCI DSS-complianceprocessen

De flesta företag kommer att falla i kategorin Merchant Level 4, som definieras som att behandla färre än 20 000 Visa-transaktioner per år.

Du kan se till att ditt företag är fullt kompatibelt genom att följa dessa steg:

  1. Identifiera vilken valideringstyp ditt företag ska använda enligt PCI DSS. Detta kommer att avgöra vilket självbedömningsformulär (SAQ) ditt företag måste slutföra.
  2. När självformuläret är slutfört måste du visa bevis för att ditt företag har klarat sårbarhetsscanning av en av de godkända scanningleverantörerna för PCI SSC. Detta krävs av företag i kategorin Nivå 4 som har en kundansatt webbplats, som alla e-handelsföretag kommer att ha. En fullständig lista över godkända scanningsleverantörer finns på webbplatsen för PCI Security Standards Council:
  3. Fullfölja Attestation of Compliance, som finns i SAQ-verktyget. Mer information finns på PCIs säkerhetsnämnds webbplats:
  4. Skicka in din SAQ och bevis på att ditt företag har passerat sårbarhetsscanning och ytterligare dokumentation som din förvärvare har begärt. Din förvärvare är det företag som hanterar ditt betalningskort.

Det är viktigt att förstå att ha ett säkerhetssystem på din webbplats - vanligtvis SSL (Secure Sockets Layer) - gör inte menar att ditt företag är PCI DSS-kompatibelt eftersom de två säkerhetssystemen är olika. SSL ger besökare på din webbplats ett säkerhetslager som krypterar information som passerar mellan datorn och företagets servrar.

Detta inkluderar alla kredit- eller betalkortinformation som de anger i ditt företags kassasystem, men skyddar inte betalningen. Det här är där PCI DSS-överensstämmelse kommer in. Ditt företag bör se till att det har ett giltigt SSL-certifikat från en av de ledande leverantörerna som Thawte eller VeriSign och har nuvarande överensstämmelse med PCI DSS.

För mindre företag som får full PCI DSS-överensstämmelse kan det tyckas ganska skrämmande. Lyckligtvis finns det ett antal företag som erbjuder överensstämmelsestjänster och verktyg som ditt företag kan använda för att göra hela processen mycket enklare.

Ett verktyg är QualysGuard PCI Compliance. Det molnbaserade systemet erbjuder en effektiv process som garanterar att ditt nätverk är mycket säkert. QualysGuard PCI-webbapplikationen går igenom PCI-efterlevnadsprocessen med det enkla att följa steg för steg och tips om överensstämmelse.

När ditt företag har erhållit sitt SSL-certifikat och också fullt ut följer PCI DSS, bör din verksamhet fortfarande vara vaksam om kortbaserat bedrägeri. Eftersom fler säkerhetsinitiativ har utvecklats som PCI DSS och Chip & PIN har incidenterna för kortbedrägerier minskat, men ditt företag borde ha en detaljerad kunskap om vilka åtgärder som ska vidtas om du misstänker att ett bedrägeri har ägt rum. Visa har ett praktiskt dokument "Vad gör du om din webbplats är äventyrad", som tittar noggrant på de typer av kortbedrägeri som du ska se upp för och vad du ska göra om du tror att ett kortbedrägeri har ägt rum. Om ditt företag inte är kompatibelt med PCI DSS, lägg det här på toppen av din agenda.