Wir haben in letzter Zeit viele Fragen zur PCI-Compliance von Händlern und Dienstleistern erhalten, daher dachten wir, wir würden dies einfach für alle aufschreiben. Wenn Sie neu in der PCI-Compliance sind, finden Sie hier eine Übersicht, um Sie auf den neuesten Stand zu bringen. Der PCI DSS gilt für jeden Händler oder Dienstleister, der Kreditkartendaten verarbeitet, speichert oder überträgt.
Händler
Für Händler hat der PCI Security Standards Council On-your-Honor-Compliance-Validierungstools in Form von Self Assessment Questionnaires (SAQ’s) bereitgestellt. Es gibt vier SAQ’s: A, B, C und D. Die SAQ’s wurden entwickelt, um sowohl verschiedene Geschäftstypen, d. H. Restaurant / E-Commerce, als auch verschiedene Geschäftsverarbeitungsmethoden, d. H. Händler behandelt, verarbeitet oder speichert Kreditkartendaten. Größere Händler, die Millionen von Transaktionen pro Jahr abwickeln, müssen ein Audit vor Ort durch einen qualifizierten Sicherheitsberater durchführen lassen.
Hier sind zwei Beispiele, wie ein Händler einen bestimmten SAQ auswählen würde:
Wenn ein E-Commerce-Händler Kreditkartenzahlungen über seine Website akzeptiert und dann die Kreditkarteninformationen für zukünftige Einkäufe speichert, muss er das SAQ D oder das sogenannte Langformular ausfüllen, da er Kreditkartendaten verarbeitet und speichert. SAQ D umfasst die vollen ~ 250 Kontrollen im PCI DSS-Standard und erfordert die größte Menge an Zeit, Energie und Geld.
Wenn ein E-Commerce-Händler umgekehrt nur Kreditkartenzahlungen über seine Website akzeptiert und keine Kreditkartendaten mithilfe einer API wie unserer oder einer gehosteten Seite verarbeitet, verarbeitet und speichert, kann sich der Händler für die SAQ A qualifizieren, die kürzeste der vier. Es enthält ungefähr 20 Steuerelemente und kann sehr schnell abgeschlossen werden. Zusätzlich zu dieser SAQ verlangen einige Prozessoren und / oder QSAS, dass sich der Händler für einen Scan-Service von nach außen gerichteten IP-Adressen anmeldet – obwohl keine Kreditkartendaten vorhanden sind, die gestohlen werden könnten. Wir haben es in beide Richtungen argumentiert gesehen.
Es ist wichtig, in diesem zweiten Beispiel zu beachten, dass, wenn dieser Händler Kreditkartenzahlungen über das Telefon akzeptiert, zusätzlich zu der Website, werden sie nicht mehr für die Kurzform SAQ A qualifizieren, weil sie jetzt verarbeiten, übertragen und möglicherweise Kreditkartendaten in ihrer Umgebung zu speichern. Sie müssen stattdessen den SAQ C ausfüllen.
Dienstleister
Wie Händler muss jedes Unternehmen, das Kreditkartendaten im Auftrag eines Händlers verarbeitet, verarbeitet oder speichert, PCI DSS-konform sein. Visa führt auf seiner Website eine Liste globaler PCI DSS-validierter Dienstleister. Händler müssen sicherstellen, dass ihr Anbieter als PCI DSS-konform validiert wurde. Das Erreichen der Level 1 Compliance erfordert ein Audit vor Ort durch einen qualifizierten Security Assessor.
PCI-Compliance-Grundlagen
Kosten einer Kreditkartenverletzung