Att driva ett företag kan ge dig tillgång till några av de mest privata och känsliga uppgifterna för dina kunder, inklusive deras kreditkort. Även om det inte är olagligt för företagen att behålla kreditkortsinformation, advarer flera vaktgrupper och myndigheter mot övningen för att undvika att kundinformation blir äventyrad.
Anledningar Företagen behåller kreditkortdata
Eftersom fler konsumenter använder kreditkort för att göra inköp, speciellt online, begär de att de tillåter att de lagrar sina kreditkortsuppgifter på sina system. Det här är bekvämt för shopparen eftersom de inte behöver skriva in informationen varje gång de gör ett köp. För säljaren bidrar det till att säkerställa en sömlös transaktion eftersom de använder verifierad och bekräftad kreditkortsdata. Att behålla och lagra kreditkortsinformation är också vanligt för verktygsföretag och andra tjänsteleverantörer som automatiskt fakturerar ditt kreditkort med en förutbestämd frekvens.
Hur kreditinformation lagras
Om du är fast besluten att hålla kopior av kreditkort på fil, är det viktigt att du är mycket försiktig när du håller dina kunders kreditkortsuppgifter privat.Som företagsägare är det onus att skydda den här informationen som om den var din egen. Ett av de värsta sätten att lagra information är att göra kopior av kreditkortet och lämna dem i en fil på ett kontor. Detta gäller särskilt om det här kontoret är tillgängligt för flera personer som du inte kan övervaka så långt som de kommer och går i det specifika kontoret. För att undvika att kreditkortsinformation kommer i fela händer bör du inte göra kopior av kreditkort alls. Det finns flera företag som tillhandahåller programvara och tjänster som gör det möjligt för dig att behålla sådan information på dina servrar eller genom ett system som är mindre benäget att äventyras.
PCI Securities Standards Council
Även om det inte finns några federala eller statliga lagar som gör att ha kopior av kundkreditkort som lagras på ett kontor olagligt, kan det hända att du sätter dig i den felaktiga änden av pinnen med kreditkortsföretag. American Express, Discover, MasterCard och Visa är bland de kreditkortsleverantörer som skapade Payment Card Industry Securities Standards Council för att skydda konsumenter, handlare och de stora kortvarumärkena. Rådet skisserar de specifika riktlinjer som företag måste följa för att minimera risken för brott mot datasäkerhet.
Överträdande PCI-policyer
Om du lagrar kortinnehavsinformation, såsom kreditkortsnummer och utgångsdatum, på något av följande sätt, bryter du mot PCI: s datasäkerhetsstandarder. Dessa inkluderar att ta flera åtgärder utan kundens samtycke, inklusive att registrera informationen i en loggbok, lämna in dem eller ange kortnumren i ett kalkylblad. Om du kan hämta hela kontonummeret från det system du använder, är ditt arkivsystem inte kompatibelt med PCI DSS och ditt företag är föremål för säkerhetsbrott.
Ramifications of Breach
Om du är fast besluten att hålla kopior av kreditkort på ditt kontor, bör du vara medveten om att du som affärsägare öppnar dig upp till ett brett spektrum av problem. De får inte landa i fängelse, men de kan leda till att du förlorar din verksamhet. Om det konstateras att du var försumlig när du skyddar dina kunders kreditkortsuppgifter genom att kopiera den och inte lagra den säkert, kommer du att få böter och påföljder från kreditkortsföretag. De kan till och med säga upp sitt kontrakt med dig. Om en kunds kreditkortsinformation stulits eftersom du hade det i ett osäkert kontor, kan den kunden stämma dig. Därefter måste du möta stora juridiska kostnader, bedömningar och / eller bosättningar.
Tumregel
Om du oroar dig för de juridiska problem som kan uppstå om kundens kreditkortsuppgifter bryts, eftersom du har kopior av den information som finns lagrad på ditt kontor, bör du förmodligen överge den praxis. Federal Trade Commission noterar att du inte bör behålla kontonummer och utgångsdatum, om du inte har ett väsentligt företag behöver göra det eftersom att hålla denna information eller hålla den längre än nödvändigt ökar risken för att informationen kan användas för att begå bedrägeri eller identitetsstöld.