Ultimamente abbiamo ricevuto molte domande sulla conformità PCI sia del commerciante che del fornitore di servizi, quindi abbiamo pensato di scriverlo per tutti. Se sei nuovo alla conformità PCI, ecco una panoramica per aggiornarti. Il PCI DSS si applica a qualsiasi commerciante o fornitore di servizi che gestisce, elabora, memorizza o trasmette i dati della carta di credito.
Commercianti
Per i commercianti, il PCI Security Standards Council ha fornito strumenti di convalida della conformità on-your-honor sotto forma di questionari di autovalutazione (SAQ). Ci sono quattro SAQ: A, B, C e D. I SAQ sono stati progettati per ospitare sia diversi tipi di business, cioè ristorante/ecommerce, e diversi metodi di elaborazione aziendale, cioè commerciante fa/non gestisce, elaborare o memorizzare i dati della carta di credito. I commercianti più grandi che elaborano milioni di transazioni all’anno devono avere un audit in loco condotto da un valutatore di sicurezza qualificato.
Ecco due esempi di come un commerciante sceglierebbe un particolare SAQ:
Se un commerciante di e-commerce accetta il pagamento con carta di credito tramite il proprio sito Web e quindi memorizza i dati della carta di credito per acquisti futuri, gli verrà richiesto di compilare il SAQ D, o il modulo lungo come è noto, perché stanno gestendo, elaborando e memorizzando i dati della carta di credito. SAQ D include il pieno ~ 250 controlli nello standard PCI DSS e richiede la maggior quantità di tempo, energia e denaro.
Viceversa, se un commerciante di e-commerce accetta solo pagamenti con carta di credito tramite il proprio sito Web e non gestisce, elabora e memorizza i dati della carta di credito utilizzando un’API come la nostra o una pagina ospitata, il commerciante può qualificarsi per il SAQ A, il più breve dei quattro. Esso comprende circa 20 controlli e può essere completato molto rapidamente. Oltre a questo SAQ, alcuni processori e / o QSA richiederanno anche che il commerciante si iscriva a un servizio di scansione di indirizzi IP rivolti verso l’esterno, anche se non ci sono dati della carta di credito presenti per essere rubati. Abbiamo visto che ha discusso in entrambi i modi.
È importante notare in questo secondo esempio che se questo commerciante accetta pagamenti con carta di credito per telefono, oltre al sito web, non si qualificheranno più per il modulo breve SAQ A perché ora stanno elaborando, trasmettendo e potenzialmente memorizzando i dati della carta di credito nel loro ambiente. Saranno invece tenuti a compilare il SAQ C.
Fornitori di servizi
Come i commercianti, qualsiasi azienda che elabora, gestisce o memorizza i dati della carta di credito per conto di un commerciante è tenuta ad essere conforme PCI DSS. Visa mantiene un elenco di fornitori di servizi convalidati PCI DSS globali sul loro sito web. I commercianti sono tenuti ad assicurarsi che il loro provider sia stato convalidato come conforme PCI DSS. Il raggiungimento della conformità di livello 1 richiede un audit in loco da parte di un valutatore di sicurezza qualificato.
Nozioni di base sulla conformità PCI
Costo di una violazione della carta di credito