கட்டணச் செயலாக்கம் மற்றும் PCI இணக்கம்: ஒரு உலகளாவிய வழிகாட்டி

இன்றைய இணைக்கப்பட்ட உலகில், அனைத்து அளவிலான வணிகங்களுக்கும் பாதுகாப்பான கட்டணச் செயலாக்கம் மிக முக்கியமானது. உலகளவில் ஆன்லைன் பரிவர்த்தனைகள் தொடர்ந்து அதிகரித்து வருவதால், அட்டைதாரர் தரவைத் திருட்டு மற்றும் மோசடியிலிருந்து பாதுகாப்பது முன்னெப்போதையும் விட மிகவும் முக்கியமானதாகிறது. இந்த விரிவான வழிகாட்டி, முக்கியமான கட்டணத் தகவல்களைப் பாதுகாப்பதற்காக வடிவமைக்கப்பட்ட பாதுகாப்புத் தரங்களின் தொகுப்பான கட்டண அட்டைத் தொழில் (PCI) இணக்கம் குறித்த ஒரு கண்ணோட்டத்தை வழங்குகிறது.

PCI இணக்கம் என்றால் என்ன?

PCI இணக்கம் என்பது, விசா, மாஸ்டர்கார்டு, அமெரிக்கன் எக்ஸ்பிரஸ், டிஸ்கவர் மற்றும் ஜேசிபி போன்ற முக்கிய கடன் அட்டை நிறுவனங்களால் நிறுவப்பட்ட கட்டண அட்டைத் தொழில் தரவுப் பாதுகாப்புத் தரநிலைக்கு (PCI DSS) இணங்குவதைக் குறிக்கிறது. இது அட்டைதாரர் தரவுகளின் பாதுகாப்பான கையாளுதலை உறுதி செய்கிறது. கடன் அட்டை தகவல்களை ஏற்கும், செயலாக்கும், சேமிக்கும் அல்லது அனுப்பும் எந்தவொரு நிறுவனத்திற்கும், அதன் அளவு அல்லது இருப்பிடத்தைப் பொருட்படுத்தாமல் PCI DSS பொருந்தும்.

PCI DSS-இன் முதன்மை நோக்கம், குறிப்பிட்ட பாதுகாப்பு கட்டுப்பாடுகள் மற்றும் நடைமுறைகளை கட்டாயப்படுத்துவதன் மூலம் கடன் அட்டை மோசடி மற்றும் தரவு மீறல்களைக் குறைப்பதாகும். இணக்கம் என்பது அனைத்து அதிகார வரம்புகளிலும் சட்டப்பூர்வத் தேவையாக இல்லை, ஆனால் கடன் அட்டை கொடுப்பனவுகளைச் செயலாக்கும் வணிகர்களுக்கு இது ஒரு ஒப்பந்தக் கடமையாகும். இணங்கத் தவறினால், அபராதம், அதிகரித்த பரிவர்த்தனை கட்டணம் மற்றும் கடன் அட்டை கொடுப்பனவுகளை ஏற்கும் திறனை இழப்பது உள்ளிட்ட குறிப்பிடத்தக்க தண்டனைகளுக்கு வழிவகுக்கும்.

PCI இணக்கம் ஏன் முக்கியமானது?

PCI இணக்கம் வணிகங்களுக்கு பல நன்மைகளை வழங்குகிறது:

• மேம்படுத்தப்பட்ட பாதுகாப்பு: PCI DSS தேவைகளைச் செயல்படுத்துவது உங்கள் பாதுகாப்பு நிலையை வலுப்படுத்துகிறது மற்றும் தரவு மீறல்கள் மற்றும் சைபர் தாக்குதல்களின் அபாயத்தைக் குறைக்கிறது.
• வாடிக்கையாளர் நம்பிக்கை: PCI இணக்கத்தை வெளிப்படுத்துவது உங்கள் வாடிக்கையாளர்களிடம் நம்பிக்கையை உருவாக்குகிறது, அவர்களின் கட்டணத் தகவல்கள் பாதுகாப்பாக இருப்பதை உறுதி செய்கிறது.
• நற்பெயர் மேலாண்மை: ஒரு தரவு மீறல் உங்கள் நற்பெயரை கடுமையாக சேதப்படுத்தும் மற்றும் வாடிக்கையாளர் நம்பிக்கையை சிதைக்கும். PCI இணக்கம் உங்கள் பிராண்டைப் பாதுகாக்கவும் நேர்மறையான பிம்பத்தை பராமரிக்கவும் உதவுகிறது.
• குறைக்கப்பட்ட செலவுகள்: தரவு மீறல்களைத் தடுப்பது, அபராதம், சட்டக் கட்டணம் மற்றும் தீர்வு முயற்சிகள் தொடர்பான குறிப்பிடத்தக்க செலவுகளைச் சேமிக்க உதவும்.
• சட்ட மற்றும் ஒப்பந்தக் கடமைகள்: கட்டணச் செயலிகள் மற்றும் கையகப்படுத்தும் வங்கிகளுடன் PCI DSS-க்கு இணங்குவது பெரும்பாலும் ஒப்பந்தத் தேவையாகும்.

தென்கிழக்கு ஆசியாவை தளமாகக் கொண்ட ஒரு சிறிய ஆன்லைன் சில்லறை விற்பனையாளரை கற்பனை செய்து பாருங்கள், அது உள்நாட்டில் தயாரிக்கப்பட்ட கைவினைப் பொருட்களை உலகளவில் விற்பனை செய்வதில் கவனம் செலுத்துகிறது. PCI DSS-ஐ கடைப்பிடிப்பதன் மூலம், அவர்கள் தங்கள் சர்வதேச வாடிக்கையாளர்களுக்கு அவர்களின் கடன் அட்டை விவரங்கள் பாதுகாக்கப்படுகின்றன என்ற உத்தரவாதத்தை வழங்குகிறார்கள், இது நம்பிக்கையை வளர்க்கிறது மற்றும் மீண்டும் மீண்டும் வணிகத்தை ஊக்குவிக்கிறது. அது இல்லாமல், வாடிக்கையாளர்கள் வாங்குவதற்குத் தயங்கக்கூடும், இது வருவாய் இழப்பு மற்றும் சேதமடைந்த பிராண்ட் நற்பெயருக்கு வழிவகுக்கும். இதேபோல், ஒரு பெரிய ஐரோப்பிய ஹோட்டல் சங்கிலி, உலகம் முழுவதிலுமிருந்து வரும் அதன் விருந்தினர்களின் கடன் அட்டைத் தகவலின் பாதுகாப்பை உறுதிசெய்ய இணங்க வேண்டும்.

யார் PCI இணக்கத்துடன் இருக்க வேண்டும்?

முன்னர் குறிப்பிட்டபடி, கடன் அட்டைத் தரவைக் கையாளும் எந்தவொரு நிறுவனமும் PCI இணக்கத்துடன் இருக்க வேண்டும். இதில் அடங்குபவை:

• வணிகர்கள்: சில்லறை விற்பனையாளர்கள், உணவகங்கள், ஹோட்டல்கள், மின்-வணிக வணிகங்கள் மற்றும் கடன் அட்டை கொடுப்பனவுகளை ஏற்கும் வேறு எந்த வணிகமும்.
• கட்டணச் செயலிகள்: வணிகர்கள் சார்பாக கடன் அட்டை பரிவர்த்தனைகளைச் செயலாக்கும் நிறுவனங்கள்.
• சேவை வழங்குநர்கள்: தரவு சேமிப்பு, பாதுகாப்பு ஆலோசனை மற்றும் மென்பொருள் மேம்பாடு போன்ற கட்டணச் செயலாக்கம் தொடர்பான சேவைகளை வழங்கும் மூன்றாம் தரப்பு விற்பனையாளர்கள்.

உங்கள் கட்டணச் செயலாக்கத்தை ஒரு மூன்றாம் தரப்பு வழங்குநரிடம் நீங்கள் அவுட்சோர்ஸ் செய்தாலும், உங்கள் வாடிக்கையாளரின் தரவு பாதுகாக்கப்படுவதை உறுதிசெய்வதற்கு இறுதியில் நீங்களே பொறுப்பு. உங்கள் சேவை வழங்குநர்கள் PCI இணக்கத்துடன் இருப்பதையும், பொருத்தமான பாதுகாப்பு நடவடிக்கைகள் இருப்பதையும் சரிபார்ப்பது மிகவும் முக்கியம்.

12 PCI DSS தேவைகள்

PCI DSS 12 முக்கிய தேவைகளைக் கொண்டுள்ளது, அவை ஆறு கட்டுப்பாட்டு நோக்கங்களாகப் பிரிக்கப்பட்டுள்ளன:

1. பாதுகாப்பான நெட்வொர்க் மற்றும் அமைப்புகளை உருவாக்குதல் மற்றும் பராமரித்தல்

• தேவை 1: அட்டைதாரர் தரவைப் பாதுகாக்க ஃபயர்வால் உள்ளமைப்பை நிறுவி பராமரிக்கவும். ஃபயர்வால்கள் உங்கள் உள் நெட்வொர்க்கிற்கும் இணையத்திற்கும் இடையில் ஒரு தடையாக செயல்படுகின்றன, முக்கியமான தரவுகளுக்கு அங்கீகரிக்கப்படாத அணுகலைத் தடுக்கின்றன.
• தேவை 2: கணினி கடவுச்சொற்கள் மற்றும் பிற பாதுகாப்பு அளவுருக்களுக்கு விற்பனையாளர் வழங்கிய இயல்புநிலைகளைப் பயன்படுத்த வேண்டாம். இயல்புநிலை கடவுச்சொற்களை ஹேக்கர்கள் யூகிக்க எளிதானது. அவற்றை நிறுவிய உடனேயும், அதற்குப் பிறகும் தவறாமல் மாற்றவும்.

2. அட்டைதாரர் தரவைப் பாதுகாத்தல்

• தேவை 3: சேமிக்கப்பட்ட அட்டைதாரர் தரவைப் பாதுகாக்கவும். நீங்கள் சேமிக்கும் அட்டைதாரர் தரவின் அளவைக் குறைத்து, முக்கியமான தகவல்களைப் பாதுகாக்க குறியாக்கம், டோக்கனைசேஷன் அல்லது மாஸ்கிங்கைப் பயன்படுத்தவும்.
• தேவை 4: திறந்த, பொது நெட்வொர்க்குகள் முழுவதும் அட்டைதாரர் தரவு பரிமாற்றத்தை குறியாக்கம் செய்யவும். இணையத்தில் அனுப்பப்படும் தரவைப் பாதுகாக்க TLS/SSL போன்ற வலுவான குறியாக்க நெறிமுறைகளைப் பயன்படுத்தவும்.

3. பாதிப்பு மேலாண்மை திட்டத்தை பராமரித்தல்

• தேவை 5: அனைத்து கணினிகளையும் மால்வேருக்கு எதிராகப் பாதுகாக்கவும் மற்றும் வைரஸ் எதிர்ப்பு மென்பொருள் அல்லது நிரல்களைத் தவறாமல் புதுப்பிக்கவும். உங்கள் வைரஸ் எதிர்ப்பு மென்பொருளைப் புதுப்பித்த நிலையில் வைத்து, உங்கள் கணினிகளை மால்வேருக்காக தவறாமல் ஸ்கேன் செய்யவும்.
• தேவை 6: பாதுகாப்பான அமைப்புகள் மற்றும் பயன்பாடுகளை உருவாக்கி பராமரிக்கவும். அறியப்பட்ட பாதிப்புகளை நிவர்த்தி செய்ய உங்கள் மென்பொருள் மற்றும் வன்பொருளுக்கு பாதுகாப்பு இணைப்புகள் மற்றும் புதுப்பிப்புகளைத் தவறாமல் பயன்படுத்தவும். இதில் தனிப்பயன் உருவாக்கப்பட்ட பயன்பாடுகள் மற்றும் மூன்றாம் தரப்பு மென்பொருள்களும் அடங்கும்.

4. வலுவான அணுகல் கட்டுப்பாட்டு நடவடிக்கைகளை செயல்படுத்துதல்

• தேவை 7: வணிகத் தேவைக்கேற்ப அட்டைதாரர் தரவிற்கான அணுகலைக் கட்டுப்படுத்தவும். தங்கள் வேலைப் பணிகளைச் செய்வதற்கு அட்டைதாரர் தரவு தேவைப்படும் ஊழியர்களுக்கு மட்டுமே அணுகலை வழங்கவும்.
• தேவை 8: கணினி கூறுகளுக்கான அணுகலை அடையாளம் கண்டு அங்கீகரிக்கவும். உங்கள் கணினிகளை அணுகும் பயனர்களின் அடையாளத்தைச் சரிபார்க்க, பல காரணி அங்கீகாரம் போன்ற வலுவான அங்கீகார நடவடிக்கைகளைச் செயல்படுத்தவும்.
• தேவை 9: அட்டைதாரர் தரவிற்கான உடல் அணுகலைக் கட்டுப்படுத்தவும். உங்கள் உடல் வளாகத்தைப் பாதுகாத்து, அட்டைதாரர் தரவு சேமிக்கப்படும் அல்லது செயலாக்கப்படும் பகுதிகளுக்கான அணுகலைக் கட்டுப்படுத்தவும்.

5. நெட்வொர்க்குகளை தவறாமல் கண்காணித்து சோதிக்கவும்

• தேவை 10: நெட்வொர்க் வளங்கள் மற்றும் அட்டைதாரர் தரவிற்கான அனைத்து அணுகலையும் கண்காணிக்கவும். பயனர் செயல்பாட்டைக் கண்காணிக்கவும் சந்தேகத்திற்கிடமான நடத்தையைக் கண்டறியவும் பதிவு மற்றும் கண்காணிப்பு அமைப்புகளைச் செயல்படுத்தவும்.
• தேவை 11: பாதுகாப்பு அமைப்புகள் மற்றும் செயல்முறைகளைத் தவறாமல் சோதிக்கவும். பாதுகாப்பு பலவீனங்களைக் கண்டறிந்து நிவர்த்தி செய்ய வழக்கமான பாதிப்பு ஸ்கேன்கள் மற்றும் ஊடுருவல் சோதனைகளை நடத்தவும்.

6. தகவல் பாதுகாப்பு கொள்கையை பராமரித்தல்

• தேவை 12: அனைத்துப் பணியாளர்களுக்கும் தகவல் பாதுகாப்பைக் கையாளும் ஒரு கொள்கையை பராமரிக்கவும். உங்கள் நிறுவனத்தின் பாதுகாப்பு நடைமுறைகள் மற்றும் நடைமுறைகளை கோடிட்டுக் காட்டும் ஒரு விரிவான தகவல் பாதுகாப்புக் கொள்கையை உருவாக்கி செயல்படுத்தவும். இந்தக் கொள்கை தவறாமல் மதிப்பாய்வு செய்யப்பட்டு புதுப்பிக்கப்பட வேண்டும்.

ஒவ்வொரு தேவைக்கும் கட்டுப்பாட்டை எவ்வாறு செயல்படுத்துவது என்பது குறித்த குறிப்பிட்ட வழிகாட்டுதலை வழங்கும் விரிவான துணைத் தேவைகள் உள்ளன. இணக்கத்தை அடைவதற்குத் தேவைப்படும் முயற்சியின் அளவு உங்கள் நிறுவனத்தின் அளவு மற்றும் சிக்கலான தன்மை மற்றும் நீங்கள் செயலாக்கும் அட்டைப் பரிவர்த்தனைகளின் அளவைப் பொறுத்து மாறுபடும்.

PCI DSS இணக்க நிலைகள்

PCI பாதுகாப்பு தரநிலைகள் கவுன்சில் (PCI SSC) ஒரு வணிகரின் வருடாந்திர பரிவர்த்தனை அளவின் அடிப்படையில் நான்கு இணக்க நிலைகளை வரையறுக்கிறது:

• நிலை 1: ஆண்டுக்கு 6 மில்லியனுக்கும் அதிகமான அட்டைப் பரிவர்த்தனைகளைச் செயலாக்கும் வணிகர்கள்.
• நிலை 2: ஆண்டுக்கு 1 மில்லியன் முதல் 6 மில்லியன் அட்டைப் பரிவர்த்தனைகளைச் செயலாக்கும் வணிகர்கள்.
• நிலை 3: ஆண்டுக்கு 20,000 முதல் 1 மில்லியன் மின்-வணிகப் பரிவர்த்தனைகளைச் செயலாக்கும் வணிகர்கள்.
• நிலை 4: ஆண்டுக்கு 20,000 க்கும் குறைவான மின்-வணிகப் பரிவர்த்தனைகளைச் செயலாக்கும் அல்லது ஆண்டுக்கு 1 மில்லியன் மொத்த பரிவர்த்தனைகள் வரை செயலாக்கும் வணிகர்கள்.

இணக்கத் தேவைகள் நிலையைப் பொறுத்து மாறுபடும். நிலை 1 வணிகர்களுக்கு பொதுவாக ஒரு தகுதிவாய்ந்த பாதுகாப்பு மதிப்பீட்டாளர் (QSA) அல்லது உள் பாதுகாப்பு மதிப்பீட்டாளர் (ISA) மூலம் வருடாந்திர ஆன்-சைட் மதிப்பீடு தேவைப்படுகிறது, அதே நேரத்தில் குறைந்த-நிலை வணிகர்கள் சுய மதிப்பீட்டு கேள்வித்தாளைப் (SAQ) பயன்படுத்தி சுய மதிப்பீடு செய்ய முடியும்.

PCI இணக்கத்தை எவ்வாறு அடைவது

PCI இணக்கத்தை அடைவதற்கான படிப்படியான வழிகாட்டி இதோ:

1. உங்கள் இணக்க நிலையைத் தீர்மானிக்கவும்: உங்கள் பரிவர்த்தனை அளவின் அடிப்படையில் உங்கள் PCI DSS இணக்க நிலையை அடையாளம் காணவும்.
2. உங்கள் தற்போதைய சூழலை மதிப்பீடு செய்யவும்: இடைவெளிகள் மற்றும் பாதிப்புகளை அடையாளம் காண உங்கள் தற்போதைய பாதுகாப்பு நிலையின் முழுமையான மதிப்பீட்டை நடத்தவும்.
3. பாதிப்புகளை சரிசெய்யவும்: தேவையான பாதுகாப்புக் கட்டுப்பாடுகளைச் செயல்படுத்துவதன் மூலம் அடையாளம் காணப்பட்ட பாதிப்புகளை நிவர்த்தி செய்யவும்.
4. ஒரு சுய மதிப்பீட்டு கேள்வித்தாளை (SAQ) பூர்த்தி செய்யவும் அல்லது ஒரு QSA-ஐ ஈடுபடுத்தவும்: உங்கள் இணக்க நிலையைப் பொறுத்து, ஒரு SAQ-ஐ பூர்த்தி செய்யவும் அல்லது ஒரு ஆன்-சைட் மதிப்பீட்டை நடத்த ஒரு QSA-ஐ ஈடுபடுத்தவும்.
5. இணக்கச் சான்றிதழை (AOC) சமர்ப்பிக்கவும்: உங்கள் SAQ அல்லது QSA இணக்க அறிக்கையை (ROC) உங்கள் கையகப்படுத்தும் வங்கி அல்லது கட்டணச் செயலிக்கு சமர்ப்பிக்கவும்.
6. இணக்கத்தை பராமரிக்கவும்: உங்கள் சூழலைத் தொடர்ந்து கண்காணிக்கவும், வழக்கமான பாதுகாப்பு மதிப்பீடுகளை நடத்தவும் மற்றும் தொடர்ச்சியான இணக்கத்தைப் பராமரிக்கத் தேவைக்கேற்ப உங்கள் பாதுகாப்புக் கட்டுப்பாடுகளைப் புதுப்பிக்கவும்.

சரியான SAQ-ஐத் தேர்ந்தெடுப்பது

SAQ-ஐப் பயன்படுத்தத் தகுதியுள்ள வணிகர்களுக்கு, சரியான கேள்வித்தாளைத் தேர்ந்தெடுப்பது மிகவும் முக்கியம். பலவிதமான SAQ வகைகள் உள்ளன, ஒவ்வொன்றும் குறிப்பிட்ட கட்டணச் செயலாக்க முறைகளுக்கு ஏற்ப வடிவமைக்கப்பட்டுள்ளன. பொதுவான SAQ வகைகள் பின்வருமாறு:

• SAQ A: அனைத்து அட்டைதாரர் தரவு செயல்பாடுகளையும் PCI DSS இணக்கமான மூன்றாம் தரப்பு சேவை வழங்குநர்களுக்கு அவுட்சோர்ஸ் செய்யும் வணிகர்களுக்கு.
• SAQ A-EP: முழுமையாக அவுட்சோர்ஸ் செய்யப்பட்ட கட்டணப் பக்கத்தைக் கொண்ட மின்-வணிக வணிகர்களுக்கு.
• SAQ B: இம்ப்ரிண்ட் இயந்திரங்கள் அல்லது தனியாகச் செயல்படும், டயல்-அவுட் டெர்மினல்களை மட்டுமே பயன்படுத்தும் வணிகர்களுக்கு.
• SAQ B-IP: IP இணைப்புடன் தனியாகச் செயல்படும், PTS-அங்கீகரிக்கப்பட்ட கட்டண டெர்மினல்களைப் பயன்படுத்தும் வணிகர்களுக்கு.
• SAQ C: இணையத்துடன் இணைக்கப்பட்ட கட்டணப் பயன்பாட்டு அமைப்புகளைக் கொண்ட வணிகர்களுக்கு.
• SAQ C-VT: ஒரு மெய்நிகர் டெர்மினலைப் பயன்படுத்தும் வணிகர்களுக்கு (எ.கா., கட்டணங்களைச் செயலாக்க வலை அடிப்படையிலான டெர்மினலில் உள்நுழைதல்).
• SAQ P2PE: அங்கீகரிக்கப்பட்ட பாயிண்ட்-டு-பாயிண்ட் என்க்ரிப்ஷன் (P2PE) சாதனங்களைப் பயன்படுத்தும் வணிகர்களுக்கு.
• SAQ D: வேறு எந்த SAQ வகைக்கான நிபந்தனைகளையும் பூர்த்தி செய்யாத வணிகர்களுக்கு.

தவறான SAQ-ஐத் தேர்ந்தெடுப்பது உங்கள் பாதுகாப்பு நிலையின் தவறான மதிப்பீட்டிற்கும் சாத்தியமான இணக்கச் சிக்கல்களுக்கும் வழிவகுக்கும். உங்கள் வணிகத்திற்குப் பொருத்தமான SAQ-ஐத் தீர்மானிக்க உங்கள் கையகப்படுத்தும் வங்கி அல்லது கட்டணச் செயலியுடன் கலந்தாலோசிக்கவும்.

பொதுவான PCI இணக்க சவால்கள்

பல வணிகங்கள் PCI இணக்கத்தை அடையவும் பராமரிக்கவும் முயற்சிக்கும்போது சவால்களை எதிர்கொள்கின்றன. சில பொதுவான சவால்கள் பின்வருமாறு:

• விழிப்புணர்வு இல்லாமை: பல சிறு வணிகங்கள் PCI DSS தேவைகள் மற்றும் அவற்றின் கடமைகள் குறித்து வெறுமனே அறியாமல் உள்ளன.
• சிக்கலான தன்மை: PCI DSS சிக்கலானதாகவும் புரிந்துகொள்வதற்குக் கடினமானதாகவும் இருக்கலாம், குறிப்பாக தொழில்நுட்பம் அல்லாத பணியாளர்களுக்கு.
• செலவு: தேவையான பாதுகாப்புக் கட்டுப்பாடுகளைச் செயல்படுத்துவது விலை உயர்ந்ததாக இருக்கலாம், குறிப்பாக குறைந்த பட்ஜெட்டைக் கொண்ட சிறு வணிகங்களுக்கு.
• வளக் கட்டுப்பாடுகள்: பல வணிகங்கள் தங்கள் PCI இணக்க முயற்சிகளை திறம்பட நிர்வகிக்க உள் வளங்கள் மற்றும் நிபுணத்துவம் இல்லாதவையாக உள்ளன.
• இணக்கத்தைப் பராமரித்தல்: PCI இணக்கம் ஒரு முறை நிகழ்வு அல்ல. காலப்போக்கில் இணக்கத்தைப் பராமரிக்க தொடர்ச்சியான கண்காணிப்பு, சோதனை மற்றும் புதுப்பிப்புகள் தேவை.

PCI இணக்கத்தை எளிதாக்குவதற்கான உதவிக்குறிப்புகள்

PCI இணக்கத்தை எளிதாக்க உதவும் சில உதவிக்குறிப்புகள் இங்கே:

• அட்டைதாரர் தரவைக் குறைக்கவும்: டோக்கனைசேஷன் அல்லது பிற தரவு மறைத்தல் நுட்பங்களைப் பயன்படுத்தி நீங்கள் சேமிக்கும் அட்டைதாரர் தரவின் அளவைக் குறைக்கவும்.
• கட்டணச் செயலாக்கத்தை அவுட்சோர்ஸ் செய்யவும்: உங்கள் கட்டணச் செயலாக்கத்தை PCI DSS இணக்கமான மூன்றாம் தரப்பு வழங்குநரிடம் அவுட்சோர்ஸ் செய்வதைக் கவனியுங்கள்.
• PCI DSS இணக்கமான வன்பொருள் மற்றும் மென்பொருளைப் பயன்படுத்தவும்: கட்டணச் செயலாக்கத்திற்குப் பயன்படுத்தப்படும் அனைத்து வன்பொருள் மற்றும் மென்பொருளும் PCI DSS இணக்கமானது என்பதை உறுதிப்படுத்தவும்.
• வலுவான அணுகல் கட்டுப்பாடுகளைச் செயல்படுத்தவும்: தங்கள் வேலைப் பணிகளைச் செய்வதற்கு அட்டைதாரர் தரவு தேவைப்படும் ஊழியர்களுக்கு மட்டுமே அணுகலைக் கட்டுப்படுத்தவும்.
• பாதுகாப்பு செயல்முறைகளை தானியக்கமாக்குங்கள்: கைமுறை முயற்சியைக் குறைக்கவும் செயல்திறனை மேம்படுத்தவும் பாதிப்பு ஸ்கேனிங் மற்றும் பேட்ச் மேலாண்மை போன்ற பாதுகாப்பு செயல்முறைகளை தானியக்கமாக்குங்கள்.
• நிபுணர் உதவியை நாடுங்கள்: PCI DSS தேவைகளை வழிநடத்தவும் தேவையான பாதுகாப்புக் கட்டுப்பாடுகளைச் செயல்படுத்தவும் உங்களுக்கு உதவ ஒரு PCI இணக்க ஆலோசகரை ஈடுபடுத்துங்கள்.

PCI இணக்கத்தின் எதிர்காலம்

PCI DSS ஆனது வளர்ந்து வரும் அச்சுறுத்தல்கள் மற்றும் கட்டணச் சூழலில் ஏற்படும் மாற்றங்களைக் கையாள தொடர்ந்து உருவாகி வருகிறது. PCI SSC புதிய பாதுகாப்பு சிறந்த நடைமுறைகள் மற்றும் தொழில்நுட்பங்களை இணைக்க தரநிலையைத் தவறாமல் புதுப்பிக்கிறது. மொபைல் கொடுப்பனவுகள் மற்றும் கிரிப்டோகரன்சிகளின் எழுச்சி போன்ற கட்டண முறைகள் தொடர்ந்து உருவாகும்போது, இந்த புதிய தொழில்நுட்பங்களுடன் தொடர்புடைய பாதுகாப்பு சவால்களை எதிர்கொள்ள PCI DSS தழுவிக்கொள்ளும்.

PCI இணக்கத்திற்கான உலகளாவிய பரிசீலனைகள்

PCI DSS ஒரு உலகளாவிய தரநிலையாக இருந்தாலும், மனதில் கொள்ள வேண்டிய சில பிராந்திய மற்றும் தேசிய பரிசீலனைகள் உள்ளன:

• தரவு தனியுரிமைச் சட்டங்கள்: பல நாடுகளில் ஐரோப்பாவில் பொது தரவுப் பாதுகாப்பு ஒழுங்குமுறை (GDPR) போன்ற தரவு தனியுரிமைச் சட்டங்கள் உள்ளன, அவை PCI DSS தேவைகளுடன் ஒன்றுடன் ஒன்று இருக்கலாம். PCI DSS உடன் கூடுதலாக பொருந்தக்கூடிய அனைத்து தரவு தனியுரிமைச் சட்டங்களுக்கும் நீங்கள் இணங்குவதை உறுதிப்படுத்திக் கொள்ளுங்கள்.
• கட்டண நுழைவாயில் தேவைகள்: வெவ்வேறு கட்டண நுழைவாயில்கள் வெவ்வேறு PCI இணக்கத் தேவைகளைக் கொண்டிருக்கலாம். உங்கள் கட்டண நுழைவாயில் வழங்குநரின் குறிப்பிட்ட தேவைகளைச் சரிபார்க்கவும்.
• மொழி மற்றும் கலாச்சார வேறுபாடுகள்: PCI இணக்கம் குறித்து வாடிக்கையாளர்கள் மற்றும் ஊழியர்களுடன் தொடர்பு கொள்ளும்போது, மொழி மற்றும் கலாச்சார வேறுபாடுகளை மனதில் கொள்ளுங்கள். தேவைப்பட்டால் பல மொழிகளில் பயிற்சி மற்றும் ஆவணங்களை வழங்கவும்.
• நாணயம் மற்றும் கட்டண முறை விருப்பத்தேர்வுகள்: வெவ்வேறு நாடுகளில் வெவ்வேறு நாணயம் மற்றும் கட்டண முறை விருப்பத்தேர்வுகள் உள்ளன. உங்கள் உலகளாவிய வாடிக்கையாளர் தளத்திற்கு ஏற்றவாறு பல்வேறு கட்டண விருப்பங்களை வழங்குவதைக் கவனியுங்கள்.

உதாரணமாக, பிரேசிலில் விரிவடையும் ஒரு நிறுவனம், PCI DSS உடன் சேர்த்து, GDPR-க்கு பிரேசிலிய சமமான "LGPD" (Lei Geral de Proteção de Dados) பற்றி அறிந்திருக்க வேண்டும். அதேபோல், ஜப்பானில் விரிவடையும் ஒரு நிறுவனம், கடன் அட்டைகளுக்கு கூடுதலாக கொன்பினி (கன்வீனியன்ஸ் ஸ்டோர் கொடுப்பனவுகள்) போன்ற கட்டண முறைகளுக்கான உள்ளூர் விருப்பங்களைப் புரிந்துகொள்ள விரும்பும், அவர்கள் செயல்படுத்தும் எந்தவொரு தீர்வும் PCI இணக்கமாக இருப்பதை உறுதிசெய்கிறது.

செயல்பாட்டில் உள்ள PCI இணக்கத்தின் நிஜ உலக எடுத்துக்காட்டுகள்

• மின்-வணிக தளம்: ஒரு உலகளாவிய மின்-வணிக தளம் வாடிக்கையாளர் கடன் அட்டைத் தரவைப் பாதுகாக்க டோக்கனைசேஷனைச் செயல்படுத்துகிறது. உண்மையான கடன் அட்டை எண்கள் தனிப்பட்ட டோக்கன்களால் மாற்றப்படுகின்றன, அவை பாதுகாப்பான பெட்டகத்தில் சேமிக்கப்படுகின்றன. முக்கியமான கடன் அட்டைத் தரவை வெளிப்படுத்தாமல் பரிவர்த்தனைகளைச் செயலாக்க இந்த தளம் இந்த டோக்கன்களைப் பயன்படுத்துகிறது.
• உணவகச் சங்கிலி: ஒரு பெரிய உணவகச் சங்கிலி அதன் பாயிண்ட்-ஆஃப்-சேல் (POS) அமைப்புகளில் முனை முதல் முனை குறியாக்கத்தை (E2EE) செயல்படுத்துகிறது. E2EE ஆனது அட்டைதாரர் தரவை நுழைவுப் புள்ளியில் குறியாக்குகிறது மற்றும் அதை கட்டணச் செயலியின் பாதுகாப்பான சூழலில் மட்டுமே மறைகுறியாக்குகிறது. இது தரவு பரிமாற்றத்தின் போது இடைமறிக்கப்படுவதிலிருந்து பாதுகாக்கிறது.
• ஹோட்டல் சங்கிலி: ஒரு உலகளாவிய ஹோட்டல் சங்கிலி, அட்டைதாரர் தரவை அணுகக்கூடிய அனைத்து ஊழியர்களுக்கும் பல காரணி அங்கீகாரத்தை (MFA) செயல்படுத்துகிறது. MFA ஆனது பயனர்கள் தங்கள் அடையாளத்தைச் சரிபார்க்க கடவுச்சொல் மற்றும் அவர்களின் மொபைல் போனுக்கு அனுப்பப்பட்ட ஒரு முறை குறியீடு போன்ற இரண்டு அல்லது அதற்கு மேற்பட்ட அங்கீகார காரணிகளை வழங்க வேண்டும்.
• மென்பொருள் விற்பனையாளர்: கட்டணச் செயலாக்க மென்பொருளை உருவாக்கும் ஒரு மென்பொருள் விற்பனையாளர், பாதுகாப்பு பாதிப்புகளைக் கண்டறிந்து நிவர்த்தி செய்ய வழக்கமான ஊடுருவல் சோதனைக்கு உட்படுகிறார். ஊடுருவல் சோதனையானது மென்பொருளின் பாதுகாப்பை மதிப்பிடுவதற்கும் ஹேக்கர்களால் சுரண்டப்படக்கூடிய பலவீனங்களைக் கண்டறிவதற்கும் நிஜ உலகத் தாக்குதல்களை உருவகப்படுத்துவதை உள்ளடக்குகிறது.

முடிவுரை

கடன் அட்டைத் தரவைக் கையாளும் எந்தவொரு வணிகத்திற்கும் PCI இணக்கம் ஒரு இன்றியமையாத தேவையாகும். PCI DSS தேவைகளைச் செயல்படுத்துவதன் மூலம், உங்கள் வாடிக்கையாளர்களின் முக்கியமான தகவல்களைப் பாதுகாக்கலாம், நம்பிக்கையை வளர்க்கலாம் மற்றும் விலையுயர்ந்த தரவு மீறல்களைத் தவிர்க்கலாம். PCI இணக்கத்தை அடைவதும் பராமரிப்பதும் சவாலானதாக இருந்தாலும், அது உங்கள் வணிகத்தையும் உங்கள் வாடிக்கையாளர்களையும் பாதுகாக்கும் ஒரு தகுதியான முதலீடாகும். PCI இணக்கம் என்பது ஒரு தொடர்ச்சியான செயல்முறை, ஒரு முறை நிகழ்வு அல்ல என்பதை நினைவில் கொள்ளுங்கள். உங்கள் சூழலைத் தொடர்ந்து கண்காணிக்கவும், உங்கள் பாதுகாப்புக் கட்டுப்பாடுகளைப் புதுப்பிக்கவும், வலுவான பாதுகாப்பு நிலையை பராமரிக்க சமீபத்திய அச்சுறுத்தல்கள் மற்றும் சிறந்த நடைமுறைகள் குறித்துத் தகவலறிந்திருக்கவும். இணக்கத் தரங்களில் நன்கு தேர்ச்சி பெற்ற சைபர் பாதுகாப்பு நிபுணர்களுடன் கலந்தாலோசிப்பது செயல்முறையை மிகவும் எளிதாக்கும்.