私たちは最近、商人とサービスプロバイダのPCIコンプライアンスの両方について多くの質問を受けてきたので、私たちは皆のためにこれを書くだ PCIコンプライアンスを初めて使用する場合は、以下の概要を使用して高速化してください。 PCI DSSは、クレジットカードデータを処理、処理、保存、または送信する加盟店またはサービスプロバイダーに適用されます。
加盟店
加盟店に対して、PCI Security Standards Councilは自己評価アンケート(SAQ)の形でオン-ユア-オナーコンプライアンス検証ツールを提供しています。 SAQは、レストラン/eコマースなどの異なるビジネスタイプと、クレジットカードデータの処理、処理、保存などの異なるビジネス処理方法の両方に対応するよ 年間数百万の取引を処理している大規模な商人は、資格のあるセキュリティ評価者によって実施されるオンサイト監査を受ける必要があります。
マーチャントが特定のSAQをどのように選択するかの例を以下に示します:
eコマースマーチャントがウェブサイト経由でクレジットカード決済を受け入れ、将来の購入のためにクレジットカード情報を保存する場合、クレジットカードデータを処理、処理、保存しているため、SAQ Dまたはそれが知られている長いフォームに必要事項を記入する必要があります。 SAQ DはPCI DSSの標準に完全な~250制御を含み、最も大きい時間、エネルギーおよびお金を要求する。
逆に、ecommerce加盟店がウェブサイト経由でクレジットカード決済のみを受け入れ、当社のようなAPIやホストされたページを使用してクレジットカードデータを処理、処理、保存しない場合、加盟店は最短のSAQ Aの資格を得ることができる。 それは約20の制御を含み、非常にすぐに完了することができる。 このSAQに加えて、一部のプロセッサおよびQSAは、盗まれるクレジットカードデータが存在しないにもかかわらず、商人が外側に面したIPアドレスのスキャ 私たちはそれが両方の方法を主張して見てきました。
この第二の例では、この商人がウェブサイトに加えて電話でクレジットカードの支払いを受け入れる場合、彼らは現在、クレジットカードデータを処理、送信、潜在的に自分の環境に保存しているため、もはや短い形式のSAQ Aの資格がないことに注意することが重要である。
サービスプロバイダー
加盟店と同様に、加盟店に代わってクレジットカードデータを処理、処理、または保存するビジネスは、PCI DSS準拠である必要があります。 Visaは、グローバルPCI DSS認証サービスプロバイダーのリストをウェブサイトに保持しています。 加盟店は、プロバイダがPCI DSS準拠として検証されていることを確認する必要があります。 レベル1準拠を達成するには、資格のあるセキュリティ評価者によるオンサイト監査が必要です。
PCIコンプライアンスの基本
クレジットカード違反のコスト