林赛Intrieri|2019年6月20日
与支付卡行业或PCI,遵守通常是我们假设的大卖场和一般的商家都有。如果他们有一个信用卡刷卡机,他们必须做所有正确的东西,对吧?
但是当它c我们当地的城市,城镇核武器和学区那我们的舒适度不太清晰。我的小镇有娱乐吗重新装饰部门拥有所有正确的“东西”是有限公司与PCI mpliant ?更好的是,它们真的必须是吗?如果是什么第三方申请琼是使用?这能让小镇摆脱困境吗?
城镇,城市和学区需要成为PCI C.Opplant?
简短的回答是肯定的。如果实体处理信用卡,它们需要PCI兼容。区别在于如何他们可以变得顺从。对市政府的期望无水在大型盒子商店附近或零售商喜欢沃尔玛或亚马逊。第一个那PCI.Compliance是分为成四个层次,根据每年处理的签证和/或万事达卡交易数量。水平4(最低水平在2万以下电子商务交易每年)通常是大多数市政当局将落下的地方。基于在PCI上ComplianceL.evel,必须满足不同的要求。
那么T呢?自己现在要做什么?
乐t开始与较低的levels.。水平2,34是必需的完成A.每年使用PCI sel进行自我评估f-assessment问卷工具(SAQ)那除了季度通过批准的扫描供应商网络扫描(这PCI安全标准委员会列出在线批准的扫描供应商)。
这第一部分SAQ是一系列是或没有关于每个适用的PCI数据安全标准要求的问题。有不同的SAQ可用于不同的商品环境S.基于组织或实体接受支付卡的方式。SAQ的第2部分是“合规认证”那或证明你有资格表演是否有适当的自我表现ssessment - 基本上“检查你遵循规则的盒子。
落入1级的实体必须每年对合格的安全评估员(QSA)遵守合规性进行评估以上要求L.水平2,3和4。年度评估将更仔细地考察实体的销售点(POS)系统,审查漏洞区域并确定实体可以进行的安全改进的优先级列表。作为回应,实体必须制定适当的安全措施来监控支付系统的未来发展。T.自己应该从为他们确定适当的SAQ开始,使用指南www.pcisecurityaldards.org.。
如果使用第三方处理器?
有特定于这些实体类型的saq。例如,问卷调查的专为组织而设计那接受支付卡“卡未存在商家”(电子商务或邮件/电话订单)已将所有持卡人数据函数完全外包给PCI DSS兼容的第三方服务提供商,没有电子存储,处理或传输任何持卡人关于商家的系统或场所的数据。对于t拥有第三个-方通过pci公司(如PayPal)来他们对他们进行交易,这可能是他们的问卷。
所以尽管调查问卷可能更短,简化自从PCI供应商是做大部分的安全工作吗legwork.那t自己仍然需要通过SAQ过程。
如果t自己的没有?
如果实体没有遵守PCI合规要求,Visa保留更改实体的权利你的L.evel标准到更高(或更严格的)水平。所以在哪里自己可能有只要到过期望保持第4级的遵从性,他们现在可能不得不这样做住经过更多的。更不用说与客户信用卡数据泄露相关的风险——包括声誉和财务方面的风险。数据违规导致业务失去,和诉讼。银行可以另外收取费用,如果实体不符合PCI,则可以施加若干罚款。
一种任何接受信用卡支付的实体(公共的、私人的、盈利的、非盈利的)都必须符合PCI要求。了解您的商家级别是理解遵从性需求所需要的第一步。为您确定右SAQ是第二个。可以利用第三方支付处理器帮助,但是惯于让您完全脱离挂钩以获得合规性。如果你一直在拖延熟悉你的商家职责,现在的时间。
