v poslední době dostáváme spoustu otázek ohledně souladu s PCI obchodníkem i poskytovatelem služeb, takže jsme si mysleli, že to prostě napíšeme pro každého. Pokud jste v souladu s PCI nováčkem, zde je přehled, který vás seznámí s rychlostí. PCI DSS se vztahuje na každého obchodníka nebo poskytovatele služeb, který zpracovává, zpracovává, ukládá nebo přenáší údaje o kreditní kartě.
obchodníci
pro obchodníky poskytla rada pro bezpečnostní standardy PCI nástroje pro ověření shody na vaší cti ve formě dotazníků pro sebehodnocení (SAQ). Existují čtyři SAQ: A, B, C A D.SAQ byly navrženy tak, aby vyhovovaly jak různým typům podnikání, tj. Větší obchodníci, kteří zpracovávají miliony transakcí ročně, musí mít na místě audit provedený kvalifikovaným hodnotitelem bezpečnosti.
zde jsou dva příklady toho, jak by si obchodník vybral konkrétní SAQ:
pokud obchodník s elektronickým obchodem přijme platbu kreditní kartou prostřednictvím svých webových stránek a poté uloží informace o kreditní kartě pro budoucí nákupy,bude povinen vyplnit SAQ D nebo dlouhý formulář, jak je známo, protože zpracovávají, zpracovávají a ukládají údaje o kreditní kartě. SAQ D zahrnuje plné ~250 ovládacích prvků ve standardu PCI DSS a vyžaduje největší množství času, energie a peněz.
naopak, pokud obchodník s elektronickým obchodem přijímá pouze platby kreditní kartou prostřednictvím svých webových stránek a nezpracovává, nezpracovává a neukládá data kreditní karty pomocí API, jako je naše nebo hostované stránky, může se obchodník kvalifikovat pro SAQ a, nejkratší ze čtyř. Obsahuje zhruba 20 ovládacích prvků a lze je dokončit velmi rychle. Kromě tohoto SAQ, někteří procesory a nebo QSA bude také vyžadovat, aby obchodník zaregistrovat pro skenování služby směrem ven směřující IP adresy-i když není k dispozici žádné údaje o kreditní kartě, které mají být odcizeny. Viděli jsme, že se to hádalo oběma směry.
v tomto druhém příkladu je důležité poznamenat, že pokud tento obchodník přijímá platby kreditní kartou po telefonu, kromě webových stránek již nebude mít nárok na krátký formulář SAQ a, protože nyní zpracovávají, přenášejí a potenciálně ukládají data kreditní karty ve svém prostředí. Místo toho budou muset vyplnit SAQ C.
poskytovatelé služeb
stejně jako obchodníci, každá firma, která zpracovává, zpracovává nebo ukládá údaje o kreditní kartě jménem obchodníka, musí být kompatibilní s PCI DSS. Visa udržuje seznam globálních poskytovatelů služeb ověřených PCI DSS na svých webových stránkách. Obchodníci jsou povinni zajistit, aby jejich poskytovatel byl ověřen jako kompatibilní s PCI DSS. Dosažení souladu úrovně 1 vyžaduje audit na místě kvalifikovaným hodnotitelem bezpečnosti.
základy shody PCI
náklady na porušení kreditní karty