Quando você está olhando para a linha de fundo de alcançar a total conformidade de PCI, sua primeira reação é, provavelmente, se sentir sobrecarregado. Em vez de pensar em atingir a conformidade do PCI como um passo enorme, quebrando o processo em várias etapas pequenas em vez disso vai entregar uma abordagem graduada para tornar a conformidade muito mais gerenciável, financeiramente e em termos de transição dentro de sua empresa.
Uma abordagem proativa
O primeiro passo para assegurar a conformidade é compreender suas responsabilidades quando se trata de PCI DSS. Independentemente se você é um pequeno negócio de firmas ou uma entidade corporativa de vários milhões de dólares, você ainda tem que cumprir todos os requisitos de doze listados para cumpri-las.
Uma abordagem pró-ativa para conformidade de PCI é a sua segunda etapa. Você só pode aprender sobre as vulnerabilidades de segurança de suas operações, estabelecendo uma base de operações padrão através de uma auditoria de segurança. Em seguida, uma vez que você já olhou para o básico, você terá uma melhor compreensão do que problemas precisam ser resolvidos imediatamente, e que pode ser de menor prioridade.
Embora esta estratégia vai demorar um pouco mais, uma aproximação gradual para a ampliação do escopo de suas medidas de segurança existentes também é susceptível de ser muito mais eficaz. Implementação de uma série de medidas que é muito ampla para fora do portão é mais difícil em sua equipe de TI e seu orçamento. Lembre-se, porém, que você ainda vai precisar fazer quaisquer alterações necessárias para satisfazer os requisitos da PCI DSS, mesmo que essas mudanças acontecem mais lentamente.
Compreender seu ambiente
Em seguida, Saiba mais sobre o ambiente de dados existente do titular do cartão. Isso inclui não só o armazenamento de dados de titulares de cartão, mas também em qualquer lugar que passa de dados por meio de transferência antes do processamento, como PCs e quaisquer dispositivos compartilhados na rede.
Passos de bebê para assegurar que os ambientes de dados de titulares de cartão PCI compatível, incluindo o uso apropriado de firewalls, criptografia e outras proteções. Este também é um bom momento para logs de eventos de implementar e configurar qualquer agendamento necessário para teste, monitoramento de eventos ou executar atualizações regulares.
Você também precisará olhar para algum fornecedor que você usar para a terceirização. Por exemplo, para mudar para hospedagem de web compatíveis com PCI pode ajudar a manter suas transações on-line seguro, sem qualquer esforço adicional de interno de sua parte.
Esperando e assistindo
Uma vez que você fez algumas pequenas mudanças, sentar para ver como estas afetam suas operações diárias de trabalho (se em tudo) e analisar os eventos que estão sendo gerados e monitorado. Isto lhe dará uma idéia melhor do que áreas, se houver, precisa escoramento adicional, em comparação com o que está funcionando perfeitamente. Você também vai ganhar uma compreensão mais profunda do processo de conformidade para abordar áreas futuras do seu negócio.
Fazendo pequenas alterações, em seguida, adotando um "esperar e ver" abordagem, você será capaz de aprender o que realmente funciona para o seu negócio e o que não funciona. Se você aleatoriamente fazer alterações importantes, generalizadas, você corre o risco de sobrecarregar completamente seu sistema e sua equipe. Você também pode acabar investindo financeiramente muito mais do que você esperava, especialmente se não funcionar e exige a renovação onerosa.
Serviços de conformidade de PCI, por definição, são um processo muito deliberado e abrangente. Dar pequenos passos significa que você não vai perder nada crucial ao longo do caminho e lhe dá mais liberdade para descobrir quais métodos verdadeiramente irão funcionar melhor para seu negócio.