we hebben de laatste tijd veel vragen gekregen over zowel merchant als service provider PCI Compliance, dus we dachten dat we dit voor iedereen zouden opschrijven. Als je nieuw bent in PCI Compliance, hier is een overzicht om je op de hoogte te houden. De PCI DSS is van toepassing op elke handelaar of dienstverlener die creditcardgegevens verwerkt, verwerkt, opslaat of verzendt.
handelaren
voor handelaren heeft de PCI Security Standards Council on-your-honor compliance validation tools verstrekt in de vorm van Self Assessment Questions (SAQ ‘ s). Er zijn vier SAQ’ s: A, B, C en D. De SAQ ‘ s zijn ontworpen voor zowel verschillende soorten bedrijven, dat wil zeggen restaurant/E-commerce, en verschillende business processing methoden, dat wil zeggen merchant doet/niet verwerken of op te slaan credit card gegevens. Grotere handelaren die miljoenen transacties per jaar verwerken, moeten een audit ter plaatse laten uitvoeren door een gekwalificeerde security Assessor.
hier zijn twee voorbeelden van hoe een handelaar een bepaalde SAQ zou kiezen:
als een e-commerce handelaar creditcardbetalingen via zijn website accepteert en de creditcardgegevens vervolgens opslaat voor toekomstige aankopen, moet hij de SAQ D of het lange formulier invullen, omdat hij creditcardgegevens verwerkt, verwerkt en bewaart. SAQ d omvat de volledige ~ 250 besturingselementen in de PCI DSS standaard en vereist de grootste hoeveelheid tijd, energie en geld.
omgekeerd, als een e-commerce handelaar alleen creditcardbetalingen accepteert via hun website en geen creditcardgegevens verwerkt, verwerkt en bewaart met behulp van een API zoals de Onze of een gehoste pagina, kan de handelaar in aanmerking komen voor de SAQ A, de kortste van de vier. Het bevat ongeveer 20 controles en kan zeer snel worden voltooid. Naast deze SAQ, zullen sommige processors en of QSA ‘ s ook vereisen dat de handelaar zich aanmeldt voor een scandienst van naar buiten gerichte IP – adressen-ook al is er geen creditcard gegevens aanwezig om te worden gestolen. We hebben beide kanten gezien.
het is belangrijk om in dit tweede voorbeeld op te merken dat als deze Handelaar creditcardbetalingen via de telefoon accepteert, naast de website, zij niet langer in aanmerking komen voor een verkort formulier SAQ A omdat zij nu creditcardgegevens in hun omgeving verwerken, verzenden en mogelijk opslaan. In plaats daarvan moeten zij de SAQ C.
serviceproviders
invullen net als handelaren moet elk bedrijf dat creditcardgegevens verwerkt, verwerkt of opslaat namens een handelaar PCI DSS-Compliant zijn. Visa houdt een lijst bij van wereldwijde PCI DSS gevalideerde dienstverleners op hun website. Handelaren zijn verplicht om ervoor te zorgen dat hun provider is gevalideerd als PCI DSS Compliant. Om de Niveau 1-compliance te bereiken, moet een audit ter plaatse worden uitgevoerd door een gekwalificeerde security Assessor.
PCI Compliance Basics
kosten van een creditcardbreuk