如何使PCI合规成为业务计划的一部分

商业计划代表着建立成功企业的脚手架。它详细说明了业务的组织方式，建立了操作程序并列出了业务打算实现的目标。当今的业务计划还必须越来越多地考虑另一个关键考虑因素：数据安全。随着数据变得越来越有价值，欺诈者的攻击变得越来越复杂和昂贵，保护业务和客户数据对于现代企业来说比以往任何时候都更加重要。

如果您的企业接受信用卡，了解并遵守支付卡行业数据安全标准 (PCI DSS) 是您的业务计划安全方法的重要组成部分。与其他数据中心认证一样，PCI DSS 是一套标准旨在确保敏感数据（在这种情况下为信用卡信息）得到安全和适当的处理，从而保护企业并确保客户及其信用得到良好保护。实现 PCI 合规性并不总是那么简单，但以下提示对于满足这一重要标准至关重要。

盘点您的数据

数据通常是企业最有价值的资产之一。事实上，个人身份信息的单个记录（称为“Fullz”）通常价值30 美元或更多。然而，许多企业对他们拥有的数据以及如何使用和存储数据缺乏完整的了解。为了更好地了解您企业的数据安全需求，请从对您的数据进行全面审核开始。记录和分类您的企业收集的各种数据，并查看这些数据的存储和使用方式、访问权限以及现有安全措施的详细信息。

实施隐私政策

客户想知道他们的个人信息受到保护，您的员工需要了解在隐私和安全方面对他们的期望。详细的隐私政策通过指定可以收集哪些数据、如何使用数据以及您的企业如何确保数据安全来满足这两个需求。

如果您尚未制定隐私政策，请花时间创建和实施一项并与您的员工一起审查。如果您确实有现有的政策，请确保不时提供更新，以便您组织中的每个人都在同一页面上。

部署安全层

分层安全，也称为纵深防御，是数据安全领域普遍存在的原则。由于个别安全措施可能容易受到攻击——调查显示，近四分之三的消费者使用重复的密码，而且通常多年都不会更改——保护数据的最佳方法是将各种分层措施纳入您的整体安全计划. 多因素身份验证是消费者宝贵的第一道防线。

正确配置的防火墙还可以为您的企业网络提供增强的保护。在管理方面，限制对联网计算机的物理访问，并确保更改您企业使用的任何软件和设备的默认密码。

数据丢失计划

数据安全的不幸现实是，即使是最好的计划也无法完全消除数据丢失和被盗的风险。考虑到每条被盗记录的平均数据泄露成本约为141 美元，更不用说与失去客户信任和商誉以及其他因素相关的损失，制定适当的响应和应急计划绝对至关重要。

首先考虑您的企业在数据丢失或被盗时可能受到的所有法律和法规，并确保您的员工了解如何做出适当的响应。确定一个指挥链，以便您组织的每个成员都知道如何以及向谁报告安全问题，并强调将每个潜在问题或可疑活动视为合法违规行为的重要性。

注重员工培训

虽然积极的安全措施和强大的协议对于确保您的业务数据安全至关重要，但这并不能说明您在统计上最大的风险之一：您自己的员工。Ponemon Institute 2014 年的一项研究发现，31%的数据泄露是由简单的员工疏忽或其他“人为因素”造成的。为了解决这个问题，努力将您的员工变成安全资产而不是风险。

要求所有组织成员对任何业务应用程序使用强密码，并就在公司范围内使用个人设备制定明确的政策。提供持续培训以帮助员工识别网络钓鱼、社会工程和其他安全风险，并确保您有专人回答与安全相关的问题并协助解决任何问题。还建议建立一个“网络钓鱼邮箱”，员工可以将任何可疑电子邮件转发到该邮箱以进行更仔细的检查。

寻求专家协助

数据安全是一个庞大而复杂的问题，您不必独自面对。为确保您的业务计划尽一切可能提高数据安全性并满足 PCI 合规标准，请联系您的银行或支付处理商寻求帮助。银行和处理商在使您的业务数据尽可能安全方面具有既得利益，他们可能有安全专业人员在职，他们可以针对您的业务及其需求提供专家指导。

事实上，一些金融机构甚至提供由合格安全评估员 (QSA) 完成的 PCI 合规审计。与您的银行或支付处理商联系也有助于建立工作关系，这在发生实际违规事件时通常非常宝贵，可能会节省您的业务时间和麻烦，并促进快速有效的响应。

准备好进行现实检查了吗？

据估计，遭受数据泄露的小企业中大约有一半在六个月内倒闭。即使您的企业大到足以承受此类攻击，财务和声誉成本也可能是毁灭性的。因此，您的业务计划必须包含详细的方法来保护您的业务数据并保持 PCI 合规性。通过实施上述步骤，您可以减少面临这些风险的风险，让您自己和您的客户更加安心。