电子商务诀窍:准备超越PCI DSS合规性

2021年2月24日04:34:35 发表评论 37 次浏览

虽然电子商务欺诈与销售有关的事件的发生率一直处于历史低位, 在线零售商(尤其是小型零售商)应关注信用卡信息盗窃和交易欺诈, 甚至超出人们熟悉的支付卡行业(PCI)数据安全标准(DSS)。

根据2008年的数据, 在线零售商因交易欺诈而损失了大约40亿美元的收入Cyber​​Source, 一家电子商务支付管理公司。最近举行的Visa 2009全球安全峰会专家组将不​​存在信用卡(即在线或电话销售)的欺诈行为描述为"一个日益严重的全球性问题"。专家小组表示, " PCI DSS是一个出色的框架……但这并不是对所有挑战的答案。"

电子商务商人必须采取一切可能的步骤, 以确保他们保护自己收集的客户数据, 并且不处理信用卡号码被盗的订单。欺诈性安全措施对于卖方的商业生活至关重要, 因为违规行为可能会破坏品牌声誉, 并给卖方造成数百万美元的赔偿和罚款。

在本"电子商务专业知识"中, 我将(1)简要描述什么是PCI DSS遵从性, (2)在实用电子商务中为你提供其他出色的PCI资源, (3)描述为什么可能不遵循PCI遵从性足以保护你的客户, (4)提及马萨诸塞州的新法律, (5)鼓励你让客户参与其中。

什么是PCI合规性?

PCI DSS是一组全面且多方面的要求, 可共同帮助确保支付帐户数据的安全性。诸如American Express, Discover Financial Services, JCB International, MasterCard Worldwide和Visa Inc.等领先的信用卡品牌开发了该标准, 其中包括对安全管理, 策略, 过程, 网络体系结构, 软件设计等的特定要求。如果在线商店要接受信用卡, 则该商店必须符合这些标准。不合规的操作可能会失去接受信用卡交易的权利或被罚款。

你可以从Brian Getting的文章"关于PCI合规性的更多信息"中了解更多信息。

什么是PCI合规性?商家应对此予以关注吗?

"和"

新的PCI合规标准生效

。"你可能也对实用电子商务文章"

信用卡盗窃:保护你和你的客户的步骤

。"

现在你知道什么是PCI合规性, 请采取步骤以确保你的事务处理管道符合标准。最简单的方法是仅与PCI认证的供应商合作。

PCI DSS合规性是起点, 而不是终点

Visa的首席企业风险官Ellen Richey在2009年3月的一次主题演讲中解释说, 打击欺诈类似于军备竞赛。随着新安全性的加入, 黑客变得更具创造力, 改变了他们的方法或寻找脆弱的(通常是较小的)商店。在这场军备竞赛中, PCI DSS遵从性是起点, 而不是交易安全性的终点。尽管目前尚无完全合规的商人曾向黑客遗失客户数据, 但合规性并非每年一次, 甚至每季度一次。必须始终保持合规性。

实体零售商TJX(经营T.J. Maxx, Marshalls和HomeSense在2006年遭到破坏, 已经通过PCI认证, 但是在事件发生时并没有完全合规。策略上的细微分类可以使小偷有机会窃取客户数据。

许多在线商家相信他们的支付网关或支付处理器将为他们处理PCI DSS合规性, 但这并非完全正确。当然, 像PayPal, Authorize.net或Chase Paymentech这样的公司将严格遵守网络, 电信和软件的要求, 但是商家仍然可以管理客户数据或处理被盗的信用卡。

例如, 即使商家使用托管的购物车(例如Yahoo!)和安全的支付处理器, 该商家也可以通过不安全的无线网络公开客户的信用卡数据。黑客可以窃听网络, 查看商家所看到的内容, 并立即从Yahoo!取得客户卡号。

负责任的商人必须采取其他措施, 而不是与负责的网关或付款处理器合作。考虑添加描述客户数据处理方式的书面政策(即交易后存储信用卡号的时间);确保你的网络是加密和安全的;使用防火墙;监控员工对客户数据的访问;并获得有关交易欺诈风险的帮助。

立法即将来临

目前, PCI DSS合规性是行业标准。但是正式的法律已经在制定中, 该法律要求采用特殊的方法来保护或通知客户并避免欺诈。在马萨诸塞州, 该法律于2010年生效, 一旦数据泄露, 该法律将加快客户通知的速度。这是新的法律中的第一个, 可能会因丢失客户信息或不经意接受被盗卡号而构成犯罪。

而且, 美国总统巴拉克·奥巴马(Barak Obama)宣布他将任命一名国家网络顾问。虽然顾问当然将重点放在政府安全漏洞和网络恐怖主义上, 但也将新重点放在电子商务交易安全上。

吸引客户参与

客户参与是PCI DSS /电子商务交易安全难题中似乎缺少的一个方面。同样, 根据Visa峰会小组成员之一的说法, 只有26%的购物者认为他们可以在信用卡安全方面发挥作用。这是一个令人惊讶的低百分比, 因为客户可以采取许多措施来保护自己并减轻所有人的损失风险。

在我自己的商店中, 我添加了网络安全声明, 这些声明清楚地说明了我的业务为遵守PCI DSS所做的工作, 并为客户提供了有关如何保护其信用卡数据的建议。让客户知道你在做什么以及他们可以做什么, 这有助于减轻欺诈。

资源

  • PCI安全标准委员会
  • 马萨诸塞州第4144号法案
  • "关于PCI数据安全标准"
  • Cyber​​Source资源
  • 埃米尔·米尔斯的文章"你的身份欺诈风险等级是多少?
  • "签证2009年全球安全峰会摘要报告"PDF格式
  • Visa的PCI"商家的合规性验证详细信息"
  • 加拿大签证"定义的商人级别"
  • 网络安全咨询博客的"符合PCI-DSS:第1部分"
一盏木

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: