文∕Mikal E. Belicove
智能手机的信用卡接口真的合乎PCI(支付卡行业)规范吗?
首先我想说一下违反PCI规定的基本常识: 如果你无法保护客户的信用卡信息,可能会被支付处理机构处以巨额罚款,并可能再也无法为客户提供信用卡支付(也可能会有愤怒的客户质询你,为什么他们的信用卡账单上会有盗窃性收费?)。
如果你觉得你的企业规模太小,不值得为此伤神,我劝你再想想。根据PCI安全标准委员会的调查,自2005年以来,美国信用卡盗窃案例的80%起因于小型企业(详情参见PCISecurityStandards.org)。
随着移动支付的迅速增长,了解和遵守PCI规定对保护你的公司至关重要。科罗拉多州系统安全供应商和PCI合规专家、StillSecure的董事长和首席执行官Rajat Bhargava说,只要你遵循PCI的规则和常识,就能轻松保证将智能手机或iPad变成信用卡读卡器的硬件插件(加密狗)和软件的安全。以下是他的建议:
1 将在线信用卡处理流程与你的主要网络分开,最好用有单独互联网连接的专用计算机、智能手机或平板电脑。这将减少从电子邮件、网页或应用程序下载的恶意软件中毒的机会。千万不要在你侄子的iPhone上测试Square的支付卡处理应用程序。
2 限制掌握信用卡信息的员工的访问权限,确保只有你或你的财务主管才有数据访问和监控的权限。
3 定期(最好是每日)监控账户。这样你会很快发现任何安全漏洞或盗窃。如果找到漏洞,必须制定相应的预防计划并遵循它,这将帮助你验证合规措施的有效性,降低被指控欺诈的责任。
4 任何时候都要保护好信用卡处理设备,包括保护设备本身和定期更新网络安全应用。把你的手机或iPad当作一????个便携式收银台——你最不愿看到的事就是失去它。 译/万婧