如何确保企业符合支付卡行业数据安全标准的规定
那么这些企业必须做些什么来确保自己能符合支付卡行业数据安全标准的规定呢?尽管企业的需求根据他们的规模,他们所使用的应用软件和系统的类型,支付卡交易的数量有所不同,但是对于这些企业来说还是有一些要遵守支付卡行业数据安全标准都必须符合的要求。
要求1:制定安全计划
支付卡行业数据安全标准并不是作为一系列可选项来设计的,反之支付卡行业数据安全标准对于信息安全计划有着完整的框架,包括法规监管,风险管理,处理与控制等。
尽管许多企业目前都在有选择的向支付卡行业数据安全标准靠拢(许多安全产品厂商希望在有限的支付卡行业内销售他们的产品),事实上遵守支付卡行业数据安全标准正确的方式是建立一个安全计划,而不仅是配置与支付卡行业相关的技术就够了。
需求2:执行流程和控制
遵守支付卡行业数据安全标准需要企业围绕他们对持卡人数据的使用建立完备的流程和控制。这些措施包括确保他们用来接收,处理和传输数据的方法是安全的。处理过程是保证安全性的基本可重复模式,诸如保证所有使用存储或者传输持卡人数据的来访者在他们访问期间的登录和追踪都是安全可靠的,
控制是用来保障持卡人数据安全的常规方式(通常是使用技术手段)。举例来说,设定最小密码长度和复杂性要求,企业必须执行处理和控制来遵守支付卡行业数据安全标准的规定;法规遵从不是简单的使用技术手段就可以实现的。
要求3:了解你的资产
支付卡行业数据安全标准适用于任何存储或者传输持卡人数据的系统。他们有着重要的差别,因为在许多环境中,存储或者处理持卡人数据的系统与整个技术基础架构相比都是相对薄弱的。
因此这些企业只是对基础架构和真实存储,处理或者传输持卡人数据的系统都执行支付卡行业数据安全标准。通过正确的区分受到支付卡行业数据安全标准约束的基础架构和系统,企业就能更加轻松的通过限制专门针对需要遵守支付卡行业数据安全标准规定的环境进行处理和控制来保证标准的执行。
要求4:确保企业合作伙伴协议应用到位
几乎所有的支付卡行业交易都需要和第三方交换持卡人数据:消费者向零售商提供支付卡信息,零售商使用范围提供商安装和管理的设备将持卡人数据发送给付款处理方,付款处理方向金融机构查询支付卡号码的合法性和资金的可用额度。