Lorsque vous regardez la ligne de fond de mise en conformité totale de PCI, votre première réaction est probablement à se sentir dépassés. Au lieu de penser de la mise en conformité PCI comme une étape énorme, décomposer le processus en plusieurs petites étapes au lieu de cela vous livrera une approche progressive pour rendre respect beaucoup plus gérable, tant financièrement que sur le plan de transition au sein de votre entreprise.
Une approche Proactive
La première étape pour assurer la conformité consiste à comprendre vos responsabilités quand il s'agit de la PCI DSS. Peu importe que vous soyez une petite entreprise mère ou une personne morale de plusieurs millions de dollars, il faut encore répondre à toutes exigences de douze énumérés pour atteindre la conformité.
Adoptant une approche proactive envers la conformité PCI est votre deuxième étape. Vous découvrirez seulement les vulnérabilités de la sécurité de vos opérations en établissant une ligne de base des opérations standard grâce à un audit de sécurité. Puis, une fois que vous avez regardé les bases, vous aurez beaucoup mieux cerner ce qui questions doivent être traitées immédiatement, et qui peut tomber à une priorité plus faible.
Bien que cette stratégie prendra un peu plus de temps, une approche progressive vers l'élargissement de la portée de vos mesures de sécurité existantes est également susceptible d'être beaucoup plus efficace. Mise en œuvre d'une série de mesures trop large de la porte est plus difficile à votre personnel informatique et votre budget. N'oubliez pas, cependant, que vous aurez toujours besoin d'apporter des modifications nécessaires pour répondre aux exigences des directives PCI DSS, même si ces changements se produisent plus lentement.
Compréhension de votre environnement
Ensuite, renseignez-vous sur votre environnement de données de titulaire de carte existant. Cela inclut non seulement le stockage des données de titulaire de la carte, mais aussi n'importe où cette données traverse en transfert avant le traitement, comme les ordinateurs et les périphériques partagés sur votre réseau.
Prendre des mesures de bébé pour s'assurer que vos environnements de données de titulaire de carte sont PCI conforme, y compris l'utilisation appropriée des pare-feu, le cryptage et autres protections. C'est aussi un bon moment pour mettre en œuvre des journaux des événements et mettre en place une planification nécessaires de contrôle, de surveillance d'événements ou d'exécuter des mises à jour régulières.
Vous aurez également besoin de regarder n'importe quel fournisseurs que vous utiliser pour l'infogérance. Par exemple, passage à PCI compatible web hosting peut aider à protéger vos transactions en ligne, sans efforts internes supplémentaires de votre part.
Attendre et regarder
Une fois que vous avez fait quelques petits changements, s'asseoir pour voir comment elles affectent vos opérations journalières de travail (le cas échéant) et analyser les événements qui sont générés et surveillé. Cela vous donnera une meilleure idée de quelles régions, si y a lieu, besoin d'étayage supplémentaire, par rapport à ce qui fonctionne bien. Vous gagnerez également une compréhension plus approfondie du processus de conformité aux domaines futurs de votre entreprise.
En faisant des petits changements, puis qu'on adopte un « wait and see » approche, vous serez en mesure d'apprendre ce qui fonctionne vraiment pour votre entreprise et ce qui ne fonctionne pas. Si vous faites au hasard des changements majeurs, très répandues, vous courez le risque d'écrasante complètement votre système et votre personnel. Vous pouvez aussi finissent par investir beaucoup plus financièrement que vous avez négocié pour, surtout si votre première essayer ne fonctionne pas et nécessite un remaniement coûteux.
Services de conformité PCI, par définition, sont un processus très délibéré et global. Petits pas signifie que vous ne manquerez de rien d'essentiel le long du chemin et vous donne plus de liberté pour savoir quelles méthodes fonctionnera vraiment le mieux pour votre entreprise.