Ostatnio otrzymujemy wiele pytań dotyczących zgodności PCI zarówno sprzedawcy, jak i dostawcy usług, więc pomyśleliśmy, że po prostu napiszemy to dla wszystkich. Jeśli jesteś nowy w zakresie zgodności z PCI, oto przegląd, który pomoże ci na bieżąco. PCI DSS ma zastosowanie do każdego sprzedawcy lub dostawcy usług, który obsługuje, przetwarza, przechowuje lub przesyła dane karty kredytowej.
handlowcy
dla handlowców Rada standardów bezpieczeństwa PCI udostępniła narzędzia walidacji zgodności w formie kwestionariuszy samooceny (SAQ). Istnieją cztery SAQ: A, B, C i D. SAQ zostały zaprojektowane tak, aby pomieścić zarówno różne typy firm, tj. restauracja/ecommerce, jak i różne metody przetwarzania biznesowego, tj. sprzedawca nie obsługuje, nie przetwarza ani nie przechowuje danych karty kredytowej. Więksi sprzedawcy, którzy przetwarzają miliony transakcji rocznie, są zobowiązani do przeprowadzenia audytu na miejscu przez wykwalifikowanego asesora ds. bezpieczeństwa.
oto dwa przykłady tego, jak handlowiec wybrałby konkretny SAQ:
jeśli sprzedawca eCommerce akceptuje płatności kartą kredytową za pośrednictwem swojej strony internetowej, a następnie przechowuje informacje o karcie kredytowej do przyszłych zakupów, będzie musiał wypełnić SAQ D lub długi formularz, ponieważ obsługuje, przetwarza i przechowuje dane karty kredytowej. SAQ D zawiera pełne ~ 250 elementów sterujących w standardzie PCI DSS i wymaga największej ilości czasu, energii i pieniędzy.
odwrotnie, jeśli sprzedawca eCommerce akceptuje tylko płatności kartą kredytową za pośrednictwem swojej strony internetowej i nie obsługuje, nie przetwarza i nie przechowuje danych karty kredytowej za pomocą interfejsu API takiego jak nasz lub strona hostowana, sprzedawca może kwalifikować się do SAQ a, najkrótszego z czterech. Zawiera około 20 elementów sterujących i można je wykonać bardzo szybko. Oprócz tego SAQ, niektóre procesory i lub QSA będą również wymagać, aby sprzedawca zarejestrował się w usłudze skanowania adresów IP skierowanych na zewnątrz-nawet jeśli nie ma żadnych danych karty kredytowej, które mogłyby zostać skradzione. Widzieliśmy kłótnie w obie strony.
ważne jest, aby pamiętać w tym drugim przykładzie, że jeśli ten sprzedawca akceptuje płatności kartą kredytową przez telefon, oprócz strony internetowej, nie będą już kwalifikować się do krótkiego formularza SAQ a, ponieważ teraz przetwarzają, przesyłają i potencjalnie przechowują dane karty kredytowej w swoim środowisku. Zamiast tego będą musieli wypełnić SAQ C.
dostawcy usług
podobnie jak sprzedawcy, każda firma, która przetwarza, obsługuje lub przechowuje dane kart kredytowych w imieniu sprzedawcy, musi być zgodna z PCI DSS. Visa prowadzi listę globalnych dostawców usług zatwierdzonych przez PCI DSS na swojej stronie internetowej. Sprzedawcy są zobowiązani do upewnienia się, że ich dostawca został zatwierdzony jako zgodny z PCI DSS. Osiągnięcie zgodności z poziomem 1 wymaga audytu na miejscu przeprowadzonego przez wykwalifikowanego rzeczoznawcę ds. bezpieczeństwa.
podstawy zgodności z PCI
koszt naruszenia karty kredytowej