olemme saaneet viime aikoina paljon kysymyksiä sekä kauppiaiden että palveluntarjoajien PCI-vaatimustenmukaisuudesta, joten ajattelimme vain kirjoittaa tämän kaikille. Jos olet uusi PCI Compliance, tässä on yleiskatsaus saada sinut ajan tasalle. PCI-DSS koskee kaikkia kauppiaita tai palveluntarjoajia, jotka käsittelevät, käsittelevät, tallentavat tai lähettävät luottokorttitietoja.
Merchants
merchants, PCI Security Standards Council on toimittanut on-your-honor compliance validation-työkaluja Itsearviointikyselyjen (SAQ: n) muodossa. SAQ: ita on neljä: A, B, C ja D. SAQ: t on suunniteltu mukautumaan sekä eri yritystyyppeihin, eli ravintola/verkkokauppaan, että erilaisiin liiketoiminnan käsittelymenetelmiin, eli kauppias ei käsittele, prosessoi tai säilytä luottokorttitietoja. Suuremmat kauppiaat, jotka käsittelevät miljoonia tapahtumia vuodessa, tarvitsevat pätevän Turvallisuusarvioijan paikan päällä tekemän tarkastuksen.
tässä on kaksi esimerkkiä siitä, miten kauppias valitsisi tietyn SAQIN:
jos verkkokaupan kauppias hyväksyy luottokorttimaksun verkkosivustonsa kautta ja tallentaa luottokorttitiedot tulevia ostoksia varten, hänen on täytettävä SAQ d eli pitkä lomake, koska hän käsittelee, käsittelee ja tallentaa luottokorttitietoja. SAQ D sisältää koko ~250 valvontaa PCI DSS standardi ja vaatii eniten aikaa, energiaa ja rahaa.
vastaavasti, jos verkkokaupan kauppias hyväksyy luottokorttimaksun vain verkkosivujensa kautta eikä käsittele, käsittele ja säilytä luottokorttitietoja käyttämällä API: ta kuten meidän tai isännöityä sivua, kauppias voi saada SAQ A: n, joka on lyhin neljästä. Se sisältää noin 20 valvontaa ja voidaan suorittaa hyvin nopeasti. Tämän SAQ: n lisäksi jotkut prosessorit ja tai QSA: t vaativat myös, että kauppias tilaa skannauspalvelun ulospäin suuntautuvista IP – osoitteista-vaikka luottokorttitietoja ei ole olemassa varastettavaksi. Olemme nähneet sen riitelevän molempiin suuntiin.
on tärkeää huomata tässä toisessa esimerkissä, että jos tämä kauppias hyväksyy luottokorttimaksut puhelimitse, verkkosivuston lisäksi hän ei enää täytä lyhyttä lomaketta SAQ A, koska hän käsittelee, lähettää ja mahdollisesti tallentaa luottokorttitietoja ympäristössään. Niiden on sen sijaan täytettävä SAQ C.
palveluntarjoajat
kuten kauppiaiden, minkä tahansa liiketoiminnan, joka käsittelee, käsittelee tai tallentaa luottokorttitietoja kauppiaan puolesta, on oltava PCI DSS-yhteensopiva. Visa ylläpitää verkkosivustollaan luetteloa maailmanlaajuisista PCI DSS-Validoiduista palveluntarjoajista. Kauppiaita vaaditaan varmistamaan, että heidän palveluntarjoajansa on vahvistettu PCI DSS-yhteensopivaksi. Tason 1 vaatimusten noudattaminen edellyttää pätevän Turvallisuusarvioijan paikan päällä suorittamaa tarkastusta.
PCI Compliance Basics
Cost of a credit card Break