temos recebido muitas perguntas ultimamente sobre a conformidade com o PCI do comerciante e do provedor de serviços, então pensamos que apenas escreveríamos isso para todos. Se você é novo na conformidade com PCI, aqui está uma visão geral para atualizá-lo. O PCI DSS aplica-se a qualquer comerciante ou prestador de serviços que manipule, processe, armazene ou transmita dados de cartão de crédito.
Comerciantes
para comerciantes, O PCI Security Standards Council forneceu ferramentas de validação de Conformidade on-your-honor na forma de questionários de autoavaliação (SAQ’s). Há quatro SAQ s: A, B, C e D. O SAQ foram concebidas para acomodar diferentes tipos de negócios, i.e. restaurante/comércio eletrônico e negócios diferentes métodos de processamento, i.e. comerciante não/não manipular, processar ou armazenar dados de cartão de crédito. Os comerciantes maiores que estão processando milhões de transações por ano devem ter uma auditoria no local conduzida por um avaliador de segurança qualificado.
Aqui estão dois exemplos de como um comerciante escolheria um SAQ específico: Se um comerciante de comércio eletrônico aceita pagamento com cartão de crédito através de seu site e, em seguida, armazena as informações do cartão de crédito para compras futuras, eles seriam obrigados a preencher o SAQ D, ou o formulário longo como é conhecido, porque eles estão lidando, processando e armazenando dados de cartão de crédito. SAQ d inclui os controles ~ 250 completos no padrão PCI DSS e requer a maior quantidade de tempo, energia e dinheiro.
por outro lado, se um comerciante de comércio eletrônico só aceita pagamento com cartão de crédito através do seu site e não manipular, processar e armazenar dados de cartão de crédito usando uma API como o nosso ou uma página hospedada, o comerciante pode se qualificar para o SAQ UM, o mais curto dos quatro. Inclui cerca de 20 controles e pode ser concluído muito rapidamente. Além deste SAQ, alguns processadores e / ou QSA também exigirão que o comerciante se inscreva em um serviço de digitalização de endereços IP voltados para fora – mesmo que não haja dados de cartão de crédito Presentes para serem roubados. Nós vimos isso discutindo nos dois sentidos.
é importante observar neste segundo exemplo que, se este comerciante aceitar pagamentos com cartão de crédito por telefone, além do site, ele não se qualificará mais para o SAQ a curto porque agora está processando, transmitindo e potencialmente armazenando dados de cartão de crédito em seu ambiente. Em vez disso, eles serão obrigados a preencher o SAQ C.
provedores de Serviços
como comerciantes, qualquer empresa que processe, manipule ou armazene dados de cartão de crédito em nome de um comerciante deve estar em conformidade com o PCI DSS. A Visa mantém uma lista de provedores de serviços globais validados pelo PCI DSS em seu site. Os comerciantes são obrigados a garantir que seu provedor tenha sido validado como compatível com PCI DSS. Atingir a conformidade de Nível 1 requer uma auditoria no local por um avaliador de segurança qualificado.
PCI Compliance Basics
custo de uma violação de cartão de crédito