Att upprätthålla efterlevnad av PCI DSS 4.0-regler kan verka överväldigande i början. I den här artikeln kommer vi att beskriva några av de mest relevanta förändringarna som introduceras av det nya ramverket och dela bästa praxis för att göra detta så enkelt som möjligt för dig.
Ansvarsfriskrivning
Detta dokument bör endast användas för vägledande syften och bör inte betraktas som definitivt råd. Vi inbjuder dig att konsultera en PCI DSS Kvalificerad Säkerhetsbedömare (QSA) för förtydligande.
Onlinebetalningar
Som en allmän rekommendation kan du upprätthålla PCI-efterlevnad genom att:
- Att använda en av Mollies rekommenderade betalningsintegrationer för att säkert överföra betalningsinformation direkt till Mollie.
- Att se till att dina betalningssidor är säkrade med Transport Layer Security (TLS) och använda HTTPS.
Det finns flera andra krav som är en del av PCI DSS-ramverket.
Observera att Mollie inte kan ge dig något slags definitivt råd för din egen PCI-efterlevnad, eftersom vi inte har alla detaljer om din installation. Eftersom det inte finns något universellt råd för PCI-efterlevnad, om du lagrar/behandlar kortdata kan du ha potentiellt tillämpliga PCI-krav. Beroende på din integration och installation skulle du vara ansvarig för att följa de tillämpliga PCI DSS-kraven.
Offlinebetalningar
Mollies kunder som använder POS-enheter har också vissa ansvar för att säkerställa säkerheten för sina system och skydda både terminalhårdvaran och den känsliga data som bearbetas genom dem.
Acceptera och installera programuppdateringar som skickas till terminalerna
Mollie förväntar sig att handlare accepterar programuppdateringar och sårbarhetsfixar när de skickas till terminalerna, och inte onödigt skjuter upp dessa uppdateringar.
Nätverkssäkerhet
Du bör säkerställa att din nätverksinfrastruktur är säkrad med brandväggar och intrångsdetekteringssystem (om tillämpligt). Dessutom är du ansvarig för att säkra dina integrationssystem med Mollie för att skydda dem från manipulation.
Fysiska säkerhetsåtgärder
Du bör implementera fysiska säkerhetsåtgärder för att skydda POS-enheter från stöld, manipulation eller obehörig åtkomst. Detta kan inkludera att installera säkerhetskameror, använda skåp och begränsa åtkomst till områden där POS-enheter finns.
Utbildning av anställda
Du bör ge regelbunden säkerhetsutbildning till dina anställda som hanterar och använder POS-enheter. Utbildningen bör täcka ämnen som phishing, skimming och medvetenhet om substitution, som anges i riktlinjerna som är länkade nedan.
Verifiera identiteten av tredje part eller begärningar om fjärranslutningar.
Innan du beviljar åtkomst för att modifiera eller felsöka dina enheter måste du först verifiera identiteten hos alla tredje personer (som påstår sig vara reparation eller underhållspersonal) som antingen dyker upp personligen vid din verksamhets plats eller försöker ansluta sig till dig eller din terminal online.
Upprätthålla en uppdaterad lista över enheter
När du tar emot din POS-enhet från Mollie, kontrollera din handlardashboard eller faktura för att bekräfta att du har fått rätt enhet innan du använder den. Du kan hålla koll på dina enheter i din egen inventering, till exempel ett kalkylblad, eller använda Mollies handlardashboard.
Periodisk enhetsinspektion
Som krävs av PCI DSS bör du regelbundet inspektera dina POS-enheter för att säkerställa att de är skyddade mot manipulation och obehörig substitution.
Vi har förberett en provchecklista för enhetsinspektion för att göra den periodiska enhetsinspektionen enklare för dig. Känn dig fri att ladda ner detta dokument via länken nedan: