Standard bezpieczeństwa danych kart płatniczych (PCI DSS) to zestaw standardów bezpieczeństwa, opracowanych w celu zapewnienia firmom akceptującym i przetwarzającym informacje o kartach kredytowych i debetowych, w bezpiecznym i bezpiecznym środowisku.
Bez względu na to, w jakiej branży pracujesz lub jaką masz firmę, jeśli akceptujesz płatności kartą, przetwarzasz, przesyłasz i przechowujesz dane posiadacza karty, musisz bezpiecznie przechowywać swoje dane u dostawcy usług hostingowych zgodnego z PCI.
$config[code] not foundStandard bezpieczeństwa PCI został utworzony w 2006 roku przez pięć głównych marek kart kredytowych - American Express, Visa, MasterCard, Japanese Credit Bureau (JCB) i Discover. Podczas gdy każda marka kart kredytowych ma swoje własne programy zgodności, standardy PCI są podstawą dla wszystkich z nich.
Chociaż Rada nie ma uprawnień prawnych, jeśli Twoja firma zamierza akceptować transakcje kartami kredytowymi lub debetowymi, będzie musiała przestrzegać standardów PCI.
Czym jest PCI Compliance?
PCI zawiera zestaw 12 szczegółowych wymagań, które obejmują sześć celów. Podstawowymi celami są maksymalizacja bezpieczeństwa w odniesieniu do płatności i informowanie akceptantów o tym, jak stać się bezpieczniejszym. A to oznacza budowanie i utrzymywanie bezpiecznej sieci, ochronę danych posiadaczy kart oraz regularne testowanie i monitorowanie sieci.
Dostępne są cztery poziomy zgodności PCI w zależności od liczby transakcji, które firma wykonuje w ciągu 12 miesięcy. Wielkość transakcji pochodzi z łącznej liczby zrealizowanych transakcji Visa, w tym transakcji kart kredytowych, debetowych i kart przedpłaconych od handlowca Doing Business As "DBA".
Jeśli sprzedajesz w ramach więcej niż jednego DBA, rozważ łączną liczbę transakcji przetwarzanych, przechowywanych lub przesyłanych ogólnie w celu określenia twojego poziomu sprawdzania poprawności.
Jeśli Twoja firma przetwarza co najmniej 20 000 transakcji rocznie lub jeśli dane karty są przetwarzane wyłącznie przez dostawców, takich jak dostawcy kart zakupowych, Twoja firma będzie miała mniej wymagań PCI i zostanie sklasyfikowana jako poziom 4.
Jeśli Twoja firma przetwarza od 20 000 do 1 miliona transakcji rocznie, zostaniesz sklasyfikowany jako Poziom 3. Firmy przetwarzające od 1 do 6 milionów transakcji kartowych w okresie 12 miesięcy są klasyfikowane jako Poziom 2. Każdy poziom wiąże się z wyższą liczbą wymagań zgodności.
Poziom 1 wiąże się z największą liczbą wymagań dotyczących zgodności, zarezerwowanych dla firm przetwarzających 6 milionów lub więcej transakcji rocznie lub przechowujących własne dane kart, zapisując własny kod i uruchamiając własne serwery.
Co PCI będzie kosztować mój biznes?
W przypadku działalności na poziomie 4 z danymi karty kredytowej przechowywanymi elektronicznie w witrynie lub systemami przetwarzania z łącznością online, zatwierdzony sprzedawca skanowania musi regularnie przeprowadzać skanowanie witryny lub sieci. Pracownicy firmy muszą również wypełnić kwestionariusz samooceny i poświadczenie zgodności. Może to kosztować zaledwie 60 USD miesięcznie.
Jeśli twoja firma ma poziom 3, koszty związane ze zwykłym skanowaniem strony internetowej lub sieci przez zatwierdzonego producenta skanowania i ukończeniem corocznego kwestionariusza samooceny i poświadczenia zgodności mogą wzrosnąć do 1 200 USD rocznie.
W przypadku firm poziomu 2 koszt ten może wzrosnąć do 10 000 000 USD do 50 000 USD rocznie, w zależności od liczby adresów IP i wielkości sieci.
Dla firm na poziomie 1 zgodności PCI, koszty mogą wahać się od 50 000 wzwyż i obejmować nie tylko zwykłe skanowanie sieci przez zatwierdzonego skanującego sprzedawcę, ale także zaświadczenie o zgodności i roczny raport zgodności przeprowadzony przez wykwalifikowanego specjalistę ds. Bezpieczeństwa.
Co może zrobić moja firma, aby spełnić wymagania PCI?
Zgodnie z powyższymi sugestiami, aby zapewnić zgodność ze standardem PCI, będziesz musiał uzyskać regularne skanowanie witryny lub sieci wykonane przez zatwierdzonego producenta skanerów - bez względu na poziom klasyfikacji firmy. Firmy na poziomie 1 również będą musiały korzystać z pomocy wykwalifikowanego specjalisty ds. Bezpieczeństwa, aby przeprowadzać coroczne oceny na miejscu.
W przypadku małych firm, które obsługują mniej niż 6 milionów transakcji kartą kredytową i debetową rocznie, spełnienie standardów zgodności PCI w pełni wymaga jedynie pomocy zatwierdzonego sprzedawcy skanowania i niektórych prac ze strony własnego personelu.
Zdjęcie za pośrednictwem Shutterstock
Więcej w: Co to jest komentarz ▼
