vi har fået mange spørgsmål for nylig om både købmand og tjenesteudbyder PCI-overholdelse, så vi troede, at vi bare ville skrive dette op for alle. Hvis du er ny til PCI-overholdelse, her er en oversigt for at få dig op i fart. PCI DSS gælder for enhver forhandler eller tjenesteudbyder, der håndterer, behandler, gemmer eller overfører kreditkortdata.
Merchants
for købmænd har PCI Security Standards Council leveret valideringsværktøjer til overholdelse af din ære i form af spørgeskemaer til selvvurdering (sak ‘ er). Der er fire sak ‘er: A, B, C og D. SAK’ erne blev designet til at rumme både forskellige forretningstyper, dvs.restaurant/e-handel, og forskellige forretningsbehandlingsmetoder, dvs. købmand håndterer/behandler eller gemmer ikke kreditkortdata. Større forhandlere, der behandler millioner af transaktioner om året, skal have en onsite-revision udført af en kvalificeret Sikkerhedsvurderer.
her er to eksempler på, hvordan en købmand ville vælge en bestemt SAK:
hvis en e-handelshandler accepterer kreditkortbetaling via deres hjemmeside og derefter gemmer kreditkortoplysningerne til fremtidige køb, ville de være forpligtet til at udfylde SAK D eller den lange formular, som det er kendt, fordi de håndterer, behandler og lagrer kreditkortdata. D inkluderer de fulde ~250 kontroller i PCI DSS-standarden og kræver den største mængde tid, energi og penge.
omvendt, hvis en e-handelshandler kun accepterer kreditkortbetaling via deres hjemmeside og ikke håndterer, behandler og gemmer kreditkortdata ved hjælp af en API som vores eller en hostet side, kan forhandleren kvalificere sig til SAK a, den korteste af de fire. 20 kontroller og kan afsluttes meget hurtigt. Ud over denne sag vil nogle processorer og / eller KSA ‘ er også kræve, at forhandleren tilmelder sig en scanningstjeneste af udadvendte IP – adresser-selvom der ikke er nogen kreditkortdata til stede, der skal stjæles. Vi har set det argumenterede begge veje.
det er vigtigt at bemærke i dette andet eksempel, at hvis denne købmand accepterer kreditkortbetalinger over telefonen, ud over hjemmesiden, vil de ikke længere kvalificere sig til kort form sav A, fordi de nu behandler, transmitterer og potentielt lagrer kreditkortdata i deres miljø. De vil i stedet blive bedt om at udfylde SAK C.
tjenesteudbydere
ligesom købmænd skal enhver virksomhed, der behandler, håndterer eller gemmer kreditkortdata på vegne af en købmand, være PCI DSS-kompatibel. Visa opretholder en liste over globale PCI DSS validerede tjenesteudbydere på deres hjemmeside. Forhandlere skal sørge for, at deres udbyder er blevet valideret som PCI DSS-kompatibel. At opnå niveau 1-overholdelse kræver en onsite-revision af en kvalificeret Sikkerhedsvurderer.
PCI Compliance Basics
omkostninger ved et kreditkort brud