这种高敏感数据的共享需要在这些所涉及各方之间达成强大而责权明确的商业合作伙伴协议,这些第三方要遵守支付卡行业数据安全标准的担保也包括在内。
要求5:员工必须经过培训和提高安全意识非常关键
遵守支付卡行业数据安全标准的一个经常被忽略的方面是确保员工了解如何正确使用高敏感持卡人数据的重要性,从贸易公司的零售商代表到网上商店的客户代表再到任何需要使用持卡人数据的第三方都是如此。许多恶意的攻击者将企业员工看成是这个链条上薄弱的环节。攻击者使用诈骗,钓鱼和恶意网站等手段来诱骗企业员工在不知情的情况下泄露信用卡和借记卡信息。
要求6:你的审计师就是你的朋友
支付卡行业数据安全标准审计师,安全资质评估师和注册扫描厂商都能帮助企业变得更加安全。企业不应该担心这些审计流程,除非这些审计师在评估流程和控制时有不公正的情况。但是审计发现企业的薄弱之处时,他们也应该予以接受并且和审计师配合来改进他们在法规遵从方面的姿态,从而也减少可能带来的风险。
要求7.支付卡行业数据安全标准是个起点
支付卡行业数据安全标准是个起点,是流程和控制的基本环节,也是企业必须执行的。不过就像任何安全法规,最佳实践或者标准一样,支付卡行业数据安全标准也不是万能钥匙,它还需要企业执行比支付卡行业数据安全标准规定更加严厉的流程和控制。事实上论企业是否执行流程和控制,风险评估都应该超越支付卡行业数据安全标准的定义去执行。
因此什么是支付卡行业数据安全标准必须遵循的方面呢?总的来说应该是流程,控制,技术和合法协议,这些都是让企业降低风险的有效手段。对于某些企业来说,这可能意味着要对员工进行更加深入的背景审核,加强安全意识培训。对于其他企业而言,它可能意味着需要涉及到支付卡行业数据安全标准最低要求的完善的商业合作伙伴协议。
同时还意味要实施更加复杂的加密手段或杜绝使用无线互联网等更高风险技术。对于多数企业来说是要将这些流程和控制结合起来。不管细节如何,通过执行以计划为基础的支付卡行业数据安全标准,遵守流程和控制,企业就能在降低风险的同时提高安全性,并且确保他们符合支付卡行业数据安全标准的规定。