现代科技世界可能是一个令人恐惧的地方。当然,互联网为发达国家带来了信息的民主化,而且还在继续新兴和发展中国家在全球范围内。大数据正开始达到一个催化剂点,在这个点上,它的用途和盈利能力正在同步增长——而且是呈指数级增长。然而,随着我们所有的现代技术和创新,一个非常现实的问题仍然沉重地压在大多数消费者的头脑中:安全。
在电子商务行业,情况更是如此——这个行业充斥着入侵和黑客攻击的故事。无论是沃尔玛、塔吉特还是家得宝,几乎没有零售商是安全的。事实上,2014年的报告显示一些43%的公司数据被泄露了。
有很多信息落入了坏人的手中,但在我们真正开始担心之前,要知道:有解决办法。
PCI(支付卡行业)数据安全标准
的PCI安全标准委员会(PCI SSC)定义了一系列与所有商户相关的特定数据安全标准(DSS),而不考虑收入和信用卡交易量。
实现和维护PCI合规是一个组织承诺的持续过程,以确保他们遵守PCI SSC定义的安全标准。
SSC定义和管理这些标准,而信用卡公司自己执行这些标准。同样,这些标准适用于处理持卡人数据的所有组织。持卡人数据专门指信用卡号码,以及持卡人姓名、到期日和安全代码(CSC)。
还有一个问题:确保符合PCI标准是零售商的责任。对于运营基于SaaS的电子商务商店的在线零售商来说,它们无法访问任何信用卡持卡人数据(这是大多数现代SaaS商务平台的情况),您对PCI遵从性的需求将完全减轻。这些繁重的工作已经由在你们的技术后台工作的专家来完成。
如果您托管并管理您自己的电子商务平台,您将需要确保您的组织的PCI遵从性,而第一步是确定所需的遵从性水平。
根据12个月期间的信用卡或借记卡交易量,所有在线商户可分为四个级别之一。就DSS要求而言,Level 1是最严格的,Level 4是最不严格的:
几乎所有的中小型企业(smb)都被划分为较低的第3级或第4级商人,然而,这并不排除与较大的组织保持相同的勤勉的必要性。事实上,在中小企业中,这是一个代价高昂的误解,他们认为他们根本不需要担心遵从性,因为他们没有做足够多的在线或店内销售。
如何实现自己的PCI遵从
PCI DSS遵循反映安全最佳实践的常识性步骤。坚持PCI DSS有三个步骤——这不是一个单一的事件,而是一个持续的、正在进行的过程:
- 首先,评估:确定您负责的持卡人数据,清点您的IT资产和用于支付卡处理的业务流程,并分析它们是否存在可能暴露持卡人数据的漏洞。
- 第二,纠正:修复漏洞,不存储持卡人数据,除非你绝对需要。无论何时何地,持卡人的数据都可以由外部的合格机构而不是您自己保存,这是最理想的,因为没有什么比完全不存储或传输信用卡数据更快地达到即时合规。
- 第三,报告:编制并提交所需的补救验证记录(如适用),并向与您有业务往来的收单银行和信用卡品牌提交合规报告。
请记住,超过一定规模的在线商家需要每季度进行一次外部漏洞扫描。最大的商家需要外部遵从性审计。
总之,网络安全和数据保护标准不断提高。SaaS技术将这种类型的保护构建到它们的平台中,对于不使用SaaS解决方案的在线企业,它们需要达到类似于任何其他在线商户的合规级别。
我相信内特·西尔弗说得很好。在最近一期《魔鬼经济学》播客中,希尔简要谈到了大规模采用新技术时的人为错误。
他说:“20世纪70年代,个人电脑开始在工作场所普遍使用,然后在80年代初进入家庭使用。过了一段时间,经济中才出现生产率提高的任何有形迹象——这意味着10年、15年甚至20年。所以我认为人们喜欢新技术,但是他们高估了阻碍他们的人为因素。我并不是想耍小聪明,我只是想说人们需要学习如何使用这些工具,他们能做什么,不能做什么。”
网络安全正开始达到市场饱和的高度。这意味着,就像电脑一样,人们将网络数据保护视为必需品,而不是必需品。当然,大公司的违规行为将这个问题带入了公众的视野,但从那以后,已经做了很多工作来教育公众和网上商家,让他们了解问题的全面范围和可能的解决方案。
PCI合规只是众多保护在线业务及其客户的法规之一。
最初发布于2015年5月7日早上7:00:00,2017年2月1日更新
主题:
电子商务营销相关文章
