vi har fått många frågor nyligen om både köpman och tjänsteleverantör PCI-efterlevnad så vi trodde att vi bara skulle skriva upp det här för alla. Om du är ny på PCI-efterlevnad, här är en översikt för att få dig igång. PCI DSS gäller alla handlare eller tjänsteleverantörer som hanterar, bearbetar, lagrar eller överför kreditkortsdata.
Handlare
för handlare har PCI Security Standards Council tillhandahållit valideringsverktyg för efterlevnad på din ära i form av Självbedömningsformulär (SAQ). Det finns fyra SAQ: er: A, B, C och D. SAQ: erna var utformade för att rymma båda olika affärstyper, dvs restaurang/e-handel och olika affärsmetoder, dvs Handlaren hanterar/hanterar inte, bearbetar eller lagrar kreditkortsdata. Större handlare som behandlar miljontals transaktioner per år måste ha en revision på plats utförd av en kvalificerad Säkerhetsbedömare.
här är två exempel på hur en köpman skulle välja en viss SAQ:
om en e-handelshandlare accepterar kreditkortsbetalning via deras hemsida och sedan lagrar kreditkortsinformationen för framtida inköp, skulle de behöva fylla i SAQ D, eller den långa formen som den är känd, eftersom de hanterar, bearbetar och lagrar kreditkortsdata. SAQ d innehåller hela ~250 kontroller i PCI DSS-standarden och kräver den största mängden tid, energi och pengar.
omvänt, om en e-handelshandlare endast accepterar kreditkortsbetalning via deras hemsida och inte hanterar, bearbetar och lagrar kreditkortsdata genom att använda ett API som vårt eller en värdsida, kan handlaren kvalificera sig för SAQ A, den kortaste av de fyra. Den innehåller ungefär 20 kontroller och kan slutföras mycket snabbt. Utöver denna SAQ kommer vissa processorer och eller QSA: er också att kräva att handlaren registrerar sig för en skanningstjänst av utåtvända IP – adresser-även om det inte finns några kreditkortsdata som ska stulas. Vi har sett det argumenterade åt båda hållen.
det är viktigt att notera i detta andra exempel att om denna Handlare accepterar kreditkortsbetalningar via telefon, förutom webbplatsen, kommer de inte längre att kvalificera sig för kortform SAQ A eftersom de nu bearbetar, överför och potentiellt lagrar kreditkortsdata i sin miljö. De kommer istället att behöva fylla i SAQ C.
tjänsteleverantörer
liksom handlare måste alla företag som bearbetar, hanterar eller lagrar kreditkortsdata på uppdrag av en Handlare vara PCI DSS-kompatibla. Visa har en lista över globala PCI DSS-validerade tjänsteleverantörer på deras webbplats. Handlare måste se till att deras leverantör har validerats som PCI DSS-kompatibel. För att uppnå nivå 1-överensstämmelse krävs en granskning på plats av en kvalificerad Säkerhetsbedömare.
PCI Compliance Basics
kostnad för ett kreditkortsbrott