az utóbbi időben sok kérdést kaptunk mind a kereskedő, mind a Szolgáltató PCI-megfelelőségével kapcsolatban, ezért úgy gondoltuk, hogy ezt csak mindenkinek felírjuk. Ha még nem ismeri a PCI-megfelelést, itt van egy áttekintés, amely felgyorsítja Önt. A PCI DSS minden olyan kereskedőre vagy szolgáltatóra vonatkozik, amely hitelkártya-adatokat kezel, dolgoz fel, tárol vagy továbbít.
kereskedők
a kereskedők számára a PCI Security Standards Council önértékelési kérdőívek (SAQ-k) formájában biztosítja az Ön tiszteletére vonatkozó megfelelőség-érvényesítési eszközöket. Négy SAQ van: A, B, C és D. a SAQ-kat úgy tervezték, hogy mind a különböző üzleti típusokat, azaz az éttermet/e-kereskedelmet, mind a különböző üzleti feldolgozási módszereket alkalmazzák, azaz a kereskedő nem kezeli, feldolgozza vagy tárolja a hitelkártya-adatokat. A nagyobb kereskedőknek, akik évente több millió tranzakciót dolgoznak fel, helyszíni ellenőrzést kell végezniük egy képzett biztonsági értékelő által.
íme két példa arra, hogy egy kereskedő hogyan választana egy adott SAQ-t:
ha egy e-kereskedelmi kereskedő elfogadja a hitelkártyás fizetést a webhelyén keresztül, majd tárolja a hitelkártya adatait a jövőbeni vásárlásokhoz, akkor ki kell töltenie a SAQ D-t, vagy a hosszú űrlapot, mivel a hitelkártya-adatokat kezelik, feldolgozzák és tárolják. A SAQ D tartalmazza a teljes ~250 vezérlést a PCI DSS szabványban, és a lehető legtöbb időt, energiát és pénzt igényli.
ezzel szemben, ha egy e-kereskedelmi kereskedő csak hitelkártyás fizetést fogad el a webhelyén keresztül, és nem kezeli, dolgozza fel és tárolja a hitelkártya-adatokat egy olyan API használatával, mint a miénk vagy egy hosztolt oldal, akkor a kereskedő jogosult a SAQ a-ra, a négy közül a legrövidebbre. Körülbelül 20 vezérlőt tartalmaz, és nagyon gyorsan elvégezhető. Ezen SAQ mellett egyes processzorok és vagy QSA-k azt is megkövetelik, hogy a kereskedő regisztráljon a kifelé néző IP – címek szkennelési szolgáltatására-annak ellenére, hogy nincs ellopható hitelkártya-adat. Láttuk, hogy mindkét irányban vitatkoztak.
ebben a második példában fontos megjegyezni, hogy ha ez a kereskedő a weboldalon kívül telefonon is elfogadja a hitelkártyás fizetéseket, akkor már nem lesz jogosult a SAQ a rövid formanyomtatványra, mert most feldolgozzák, továbbítják és potenciálisan tárolják a hitelkártya-adatokat a környezetükben.
szolgáltatók
a kereskedőkhöz hasonlóan minden olyan vállalkozásnak, amely hitelkártya-adatokat dolgoz fel, kezel vagy tárol egy kereskedő nevében, PCI DSS-kompatibilisnek kell lennie. A Visa a weboldalán vezeti a globális PCI DSS validált szolgáltatók listáját. A kereskedőknek meg kell győződniük arról, hogy szolgáltatójuk PCI DSS-kompatibilis-e. Az 1. szintű megfelelés eléréséhez szakképzett biztonsági értékelő helyszíni auditra van szükség.
a PCI-megfelelés alapjai
hitelkártya-megsértés költsége