Er du PCI DSS-kompatibel? Forsikre deg om med PANscan

For en stund tilbake skrev jeg om å hjelpe vennen min med å forberede seg på en PCI DSS-revisjon og reisene vi gikk gjennom. Vi kom sammen for kaffe her om dagen, og han smilte alle sammen. "Jeg fikk den forbaskede PCI-apen av ryggen."

Jeg burde forklare. Han kaller det noe annet, men enkelt og greit, skriker vennen min. Så da han overtok et selskap, bestemte han seg for å håndtere kredittkorttransaksjoner direkte med banken og ta seg av PCI DSS-samsvar internt for å spare penger. Det var da jeg engasjerte meg. Deretter begynte han å lese om bøter og hva som skjer hvis et datainnbrudd skyldes manglende overholdelse. For eksempel tar VISA:

"Hvis et medlem, en selger eller en tjenesteleverandør ikke oppfyller sikkerhetskravene eller ikke klarer å rette et sikkerhetsproblem, kan Visa bøte på det ansvarlige medlemmet."

Visa nevner også:

"For å forhindre bøter, må et medlem, en selger eller en tjenesteleverandør opprettholde full overholdelse til enhver tid, også på tidspunktet for brudd som vist under en rettsmedisinsk etterforskning."

Outsourcing er ikke det komplette svaret

Jeg hadde en ide om hva han gjorde, men jeg lot ham fortsette. "Det koster mer, men jeg bestemte meg for å outsource kredittkortbehandling."

"Det er vel og bra, " påpekte jeg. "Men du er ikke av kroken. Husker du da du ble revidert? Jeg spurte fyren om det."

Han sa til oss: "Outsourcing garanterer ikke automatisk etterlevelse."

Vennen min kom tilbake, "Vel, det er fremdeles bedre enn å gjøre det selv."

Jeg vil gjerne ta et øyeblikk her og sørge for at dette er veldig tydelig. PCI Security Standards Council støtter revisor og påpeker at det ikke er noen garanti:

"Outsourcing forenkler behandlingen av betalingskort, men gir ikke automatisk etterlevelse. Ikke glem å adressere retningslinjer og prosedyrer for kortholdertransaksjoner og databehandling. Din virksomhet må beskytte kortholderdata når du mottar den, og behandle tilbakebetaling og tilbakebetaling.

Du må også sørge for at leverandørens applikasjoner og kortbetalingsterminaler samsvarer med respektive PCI-standarder og ikke lagrer sensitive kortholderdata . Du bør be om et sertifikat om samsvar om året fra leverandører. "

Hovedvekten er min. Fordi det er hovedgrunnen til at bedriftseiere får problemer med PCI DSS-samsvar.

Bekreftelse av problem

Jeg la til mer elendighet. Jeg fortalte vennen min om en pressemelding fra SecurityMetrics. Organisasjonen gir uavhengige sikkerhetsrevisjoner for å bekrefte samsvar med PCI DSS og en rekke andre forkortelser. De refererte til selve problemet med lagring av sensitive data.

SecurityMetrics har bestemt at over halvparten av systemene de testet lagrer ukryptert betalingskortdata. Det er et stort nei, og et brudd på PCI DSS. Brad Caldwell, administrerende direktør i SecurityMetrics, påpeker:

"Ukorrekt lagring av informasjon om betalingskort setter kortinnehaverens data i fare. Testingen vår antyder at problemet forblir overraskende utbredt selv med økende bransjefokus på behovet for å overholde PCI DSS-forskrifter.

Å lete etter ubeskyttede data med et verktøy som PANscan kan bidra til å lukke dette sikkerhetsgapet og potensielt hindre fremtidige tyverihendelser. "

Hva du skal se etter

For å være ærlig, fikk jeg det ikke til. Hvis prosessen er ikke hentet, hvorfor lagres noen viktige data på selgers datamaskiner? Bedre spør ekspertene. Så jeg kontaktet SecurityMetrics. Jon Clark, produktmarkedsføringsleder tok anropet mitt og ble ikke overrasket over forvirringen min. Han nevnte at butikkeiere også er i mørket:

"Etter at teamet vårt finner ukrypterte betalingskortdata på datasystemer, sier mange selgere at de ikke visste at de hadde noen kortdata. Dessverre er dette for ofte tilfelle; mange selgere er ganske enkelt uvitende om at de har lagret ukrypterte betalingskortdata. "

For å sikre at vi var på samme side, spurte jeg Mr. Clark hva PCI DSS anser som sensitive data. Han svarte:

"PCI DSS-krav tillater ikke at ikke-kryptert data fra spor 1, spor 2 og primært kontonummer (PAN) lagres på handelsmaskiner, informasjon hentet fra magnetstripen på betalingskort."

Dernest ga Mr. Clark følgende årsaker til at data ved et uhell kan lagres på salgsstedet:

  • Ofte er ikke betalingsapplikasjoner konfigurert riktig og lar data sitte rundt for en hacker å ta.
  • Forsikre deg om at betalingssøknaden din er PA DSS-kompatibel. Noen ganger lagrer applikasjoner som ikke er kompatible automatisk kortdata på en ukryptert måte.
  • Kjøpmenn kan lagre kortdata i Word- eller Excel-filer som prøver å effektivisere betalinger og gjøre ting praktisk for kundene sine.

Jeg spurte deretter hva som skal gjøres hvis ikke kryptert kortdata blir funnet. Mr. Clark tilbød dette rådet:

"Hvis selgere finner ukryptert betalingskortdata, bør de slette dataene fra sine systemer. Hvis en selger blir hacket og dataene blir stjålet av kriminelle, er selgeren ansvarlig og vil være den som betaler.

For å redusere ansvaret ytterligere, er det viktig å trene ansatte på å ikke lagre ukryptert betalingskortdata i noe format. "

PANscan til unnsetning

Husker du SecurityMetrics konsernsjef Mr. Caldwell som nevnte PANscan tidligere? God. Navnet gjelder riktig for skanning etter det primære kontonummeret. Uansett er det en gratis app levert av SecurityMetrics som gir selgere muligheten til å skanne datamaskinene deres etter ukryptert betalingskortdata. PANscan oppnår dette ved å:

  • Søker etter kortholderdata på lokale harddisker, optiske stasjoner og nettverksservere.
  • Trippelkontrollresultater for å sikre nøyaktighet.
  • Publisere en sammendragsrapport etter fullført skanning.

Følgende lysbilde viser PANscan-grensesnittet:

oppsummering

Jeg ønsket å oppnå tre ting med denne artikkelen:

  • Påpek at et brudd på data som følge av manglende overholdelse av PCI DSS vil være kostbart for den ansvarlige.
  • Outsourcing av betalingskortbehandling er ikke en garanti for PCI DSS-samsvar.
  • Det er mulig å avgjøre om ikke-kryptert betalingskortdata er lagret på datamaskinene dine.

En viktig FYI

Du har kanskje lagt merke til at andre TechRepublic-forfatter Jack Wallen har en ny artikkel om Intuits GoPayment for Android-telefoner. Det er en fin måte å samle inn kredittkortbetalinger ved å bruke en smarttelefon, Intuit-appen og en spesiell kortleser.

Jeg håper at etter å ha lest denne artikkelen, vil du gjøre betydelige CYA før du bruker denne eller lignende betalingsmetoder. De samme forskriftene som gjelder for "murstein og mørtel" butikkeiere gjelder for de som bruker denne teknologien.

Dette betyr at den som mottar betaling til syvende og sist er ansvarlig for å oppbevare den enkeltes økonomiske informasjon som er samlet inn av magnetstripen, og med forbehold for alle bøter og kostnader som tilskrives tap av disse dataene.

Siste tanker

Jeg prøver å holde meg oppdatert på PCI DSS-kravene. Men, det er tøft. Derfor er jeg glad når jeg finner applikasjoner som PANscan som hjelper til med å forenkle prosessen og forhindre ekstra motgang.

Takk til Jon Clark og SecurityMetrics for appen deres og svar på spørsmålene mine.

© Copyright 2020 | mobilegn.com