am fost obtinerea o mulțime de întrebări în ultima vreme despre atât comerciant și furnizor de servicii PCI conformitate asa ca ne-am gândit ne-ar scrie doar asta pentru toată lumea. Dacă sunteți nou în ceea ce privește conformitatea PCI, iată o prezentare generală pentru a vă pune la curent. PCI DSS se aplică oricărui comerciant sau furnizor de servicii care gestionează, procesează, stochează sau transmite date despre cardul de credit.
comercianți
pentru comercianți, Consiliul pentru standarde de securitate PCI a furnizat instrumente de validare a conformității on-your-honor sub formă de chestionare de autoevaluare (SAQ). Există patru SAQ-uri: A, B, C și D. SAQ-urile au fost concepute pentru a găzdui atât diferite tipuri de afaceri, adică restaurant/comerț electronic, cât și diferite metode de procesare a afacerilor, adică comerciantul nu gestionează, procesează sau stochează datele cardului de credit. Comercianții mai mari care procesează milioane de tranzacții pe an trebuie să aibă un audit la fața locului efectuat de un evaluator de securitate calificat.
iată două exemple despre modul în care un comerciant ar alege un anumit SAQ:
dacă un comerciant de comerț electronic acceptă plata cu cardul de credit prin intermediul site-ului său web și apoi stochează informațiile cardului de credit pentru achiziții viitoare, li se va cere să completeze SAQ D sau formularul lung așa cum este cunoscut, deoarece manipulează, procesează și stochează datele cardului de credit. SAQ D include complet ~250 controale în standardul PCI DSS și necesită cea mai mare cantitate de timp, energie și bani.
în schimb, dacă un comerciant de comerț electronic acceptă doar plata cu cardul de credit prin intermediul site-ului său web și nu gestionează, procesează și stochează datele cardului de credit utilizând un API ca al nostru sau o pagină găzduită, comerciantul se poate califica pentru SAQ a, cel mai scurt dintre cele patru. Acesta include aproximativ 20 de controale și poate fi finalizat foarte repede. În plus față de acest SAQ, unele procesoare și sau QSA vor solicita, de asemenea, comerciantului să se înscrie pentru un serviciu de scanare a adreselor IP orientate spre exterior – chiar dacă nu există date despre cardul de credit care să fie furate. Am văzut că a argumentat în ambele sensuri.
este important să rețineți în acest al doilea exemplu că, dacă acest comerciant acceptă plăți prin card de credit prin telefon, pe lângă site-ul web, nu se vor mai califica pentru formularul scurt SAQ A, deoarece acum procesează, transmit și stochează potențial datele cardului de credit în mediul lor. În schimb, li se va cere să completeze SAQ C.
furnizori de servicii
la fel ca comercianții, orice afacere care procesează, gestionează sau stochează datele cardului de credit în numele unui comerciant trebuie să fie compatibilă cu PCI DSS. Visa menține o listă a furnizorilor de servicii validați PCI DSS la nivel mondial pe site-ul lor web. Comercianții trebuie să se asigure că furnizorul lor a fost validat ca fiind compatibil cu PCI DSS. Realizarea conformității de nivel 1 necesită un audit la fața locului de către un evaluator de securitate calificat.
elementele de bază ale conformității PCI
costul unei încălcări a cardului de credit