Vi har fått mange spørsmål i det siste om både kjøpmann og tjenesteleverandør PCI-Overholdelse, så vi trodde vi bare ville skrive dette opp for alle. HVIS DU er ny TIL PCI-Samsvar, her er en oversikt for å få deg opp til hastighet. PCI dss gjelder for alle forhandlere eller tjenesteleverandører som håndterer, behandler, lagrer eller overfører kredittkortdata.
Forhandlere
PCI Security Standards Council har levert samsvarsvalideringsverktøy i form Av Selvvurderingsspørreskjemaer (SAQ-Er) for forhandlere. DET er fire SAQ-er: A, B, C og D. SAQ-ene ble designet for å imøtekomme både forskjellige forretningstyper, dvs. restaurant/e-handel og forskjellige forretningsmetoder, dvs. selgeren håndterer/ behandler ikke, behandler eller lagrer kredittkortdata. Større selgere som behandler millioner av transaksjoner per år er pålagt å ha en revisjon på stedet utført av En Kvalifisert Sikkerhets Assessor.
her er to eksempler på hvordan en kjøpmann ville velge en bestemt SAQ:
hvis en e-handel kjøpmann godtar kredittkortbetaling via deres hjemmeside og deretter lagrer kredittkortinformasjonen for fremtidige kjøp, de ville være nødvendig å fylle UT SAQ D, eller lang form som det er kjent, fordi de er håndtering, behandling og lagring av kredittkortdata. SAQ d inkluderer full ~250 kontroller I PCI Dss-Standarden og krever størst mulig tid, energi og penger.
Omvendt, hvis en e-handelsforhandler bare godtar kredittkortbetaling via deres nettside og ikke håndterer, behandler og lagrer kredittkortdata ved hjelp av EN API som vår eller en hosted-side, kan selgeren kvalifisere FOR SAQ A, den korteste av de fire. Den inneholder omtrent 20 kontroller og kan fullføres veldig raskt. I tillegg til DENNE SAQ, vil noen prosessorer og ELLER QSA også kreve at selgeren registrerer seg for en skannetjeneste av utadvendte IP-adresser – selv om det ikke er noen kredittkortdata til stede for å bli stjålet. Vi har sett det argumentert begge veier.
det er viktig å merke seg i dette andre eksemplet at hvis denne selgeren aksepterer kredittkortbetalinger over telefon, i tillegg til nettstedet, vil de ikke lenger kvalifisere for kort FORM SAQ a fordi de nå behandler, overfører og potensielt lagrer kredittkortdata i sitt miljø. DE vil i stedet bli pålagt å fylle UT SAQ C.
Tjenesteleverandører
som selgere, enhver bedrift som behandler, håndterer eller lagrer kredittkortdata på vegne av en kjøpmann er pålagt Å VÆRE PCI DSS Kompatibel. Visa opprettholder en liste Over GLOBALE PCI DSS-Godkjente Tjenesteleverandører på deres nettside. Selgere er pålagt å sørge for at leverandøren har blitt validert SOM PCI DSS-Kompatibel. Å oppnå nivå 1-samsvar krever en revisjon på stedet av En Kvalifisert Sikkerhetsevaluator.
GRUNNLEGGENDE OM PCI-Samsvar
Kostnad for brudd på kredittkort