商業計劃代表著建立成功企業的腳手架。它詳細說明了業務的組織方式，建立了操作程序并列出了業務打算實現的目標。當今的業務計劃還必須越來越多地考慮另一個關鍵考慮因素：數據安全。隨著數據變得越來越有價值，欺詐者的攻擊變得越來越復雜和昂貴，保護業務和客戶數據對于現代企業來說比以往任何時候都更加重要。

如果您的企業接受信用卡，了解并遵守支付卡行業數據安全標準 (PCI DSS) 是您的業務計劃安全方法的重要組成部分。與其他數據中心認證一樣，PCI DSS 是一套標準旨在確保敏感數據（在這種情況下為信用卡信息）得到安全和適當的處理，從而保護企業并確保客戶及其信用得到良好保護。實現 PCI 合規性并不總是那么簡單，但以下提示對于滿足這一重要標準至關重要。

盤點您的數據

數據通常是企業最有價值的資產之一。事實上，個人身份信息的單個記錄（稱為“Fullz”）通常價值30 美元或更多。然而，許多企業對他們擁有的數據以及如何使用和存儲數據缺乏完整的了解。為了更好地了解您企業的數據安全需求，請從對您的數據進行全面審核開始。記錄和分類您的企業收集的各種數據，并查看這些數據的存儲和使用方式、訪問權限以及現有安全措施的詳細信息。

實施隱私政策

客戶想知道他們的個人信息受到保護，您的員工需要了解在隱私和安全方面對他們的期望。詳細的隱私政策通過指定可以收集哪些數據、如何使用數據以及您的企業如何確保數據安全來滿足這兩個需求。

如果您尚未制定隱私政策，請花時間創建和實施一項并與您的員工一起審查。如果您確實有現有的政策，請確保不時提供更新，以便您組織中的每個人都在同一頁面上。

部署安全層

分層安全，也稱為縱深防御，是數據安全領域普遍存在的原則。由于個別安全措施可能容易受到攻擊——調查顯示，近四分之三的消費者使用重復的密碼，而且通常多年都不會更改——保護數據的最佳方法是將各種分層措施納入您的整體安全計劃. 多因素身份驗證是消費者寶貴的第一道防線。

正確配置的防火墻還可以為您的企業網絡提供增強的保護。在管理方面，限制對聯網計算機的物理訪問，并確保更改您企業使用的任何軟件和設備的默認密碼。

數據丟失計劃

數據安全的不幸現實是，即使是最好的計劃也無法完全消除數據丟失和被盜的風險。考慮到每條被盜記錄的平均數據泄露成本約為141 美元，更不用說與失去客戶信任和商譽以及其他因素相關的損失，制定適當的響應和應急計劃絕對至關重要。

首先考慮您的企業在數據丟失或被盜時可能受到的所有法律和法規，并確保您的員工了解如何做出適當的響應。確定一個指揮鏈，以便您組織的每個成員都知道如何以及向誰報告安全問題，并強調將每個潛在問題或可疑活動視為合法違規行為的重要性。

注重員工培訓

雖然積極的安全措施和強大的協議對于確保您的業務數據安全至關重要，但這并不能說明您在統計上最大的風險之一：您自己的員工。Ponemon Institute 2014 年的一項研究發現，31%的數據泄露是由簡單的員工疏忽或其他“人為因素”造成的。為了解決這個問題，努力將您的員工變成安全資產而不是風險。

要求所有組織成員對任何業務應用程序使用強密碼，并就在公司范圍內使用個人設備制定明確的政策。提供持續培訓以幫助員工識別網絡釣魚、社會工程和其他安全風險，并確保您有專人回答與安全相關的問題并協助解決任何問題。還建議建立一個“網絡釣魚郵箱”，員工可以將任何可疑電子郵件轉發到該郵箱以進行更仔細的檢查。

尋求專家協助

數據安全是一個龐大而復雜的問題，您不必獨自面對。為確保您的業務計劃盡一切可能提高數據安全性并滿足 PCI 合規標準，請聯系您的銀行或支付處理商尋求幫助。銀行和處理商在使您的業務數據盡可能安全方面具有既得利益，他們可能有安全專業人員在職，他們可以針對您的業務及其需求提供專家指導。

事實上，一些金融機構甚至提供由合格安全評估員 (QSA) 完成的 PCI 合規審計。與您的銀行或支付處理商聯系也有助于建立工作關系，這在發生實際違規事件時通常非常寶貴，可能會節省您的業務時間和麻煩，并促進快速有效的響應。

準備好進行現實檢查了嗎？

據估計，遭受數據泄露的小企業中大約有一半在六個月內倒閉。即使您的企業大到足以承受此類攻擊，財務和聲譽成本也可能是毀滅性的。因此，您的業務計劃必須包含詳細的方法來保護您的業務數據并保持 PCI 合規性。通過實施上述步驟，您可以減少面臨這些風險的風險，讓您自己和您的客戶更加安心。