Maksukorttiteollisuuden tietoturvastandardi (PCI DSS) on joukko tietoturvastandardeja, joiden tarkoituksena on varmistaa, että yritykset, jotka hyväksyvät ja käsittelevät luotto- ja maksukorttitietoja, tekevät niin turvallisessa ympäristössä.
Riippumatta siitä, miltä toimialalta teillä on tai missä kokoluokassa sinulla on, jos hyväksyt korttimaksut ja käsittelet, välittävät ja tallennat kortinhaltijoiden tietoja, sinun on suojattava tietosi turvallisesti PCI-yhteensopivan isäntäpalveluntarjoajan kanssa.
PCI-tietoturvastandardit perustettiin 2006: ssä viiden suuren luottokorttimerkin - American Expressin, Visa, MasterCardin, Japanin luottoluokituslaitoksen (JCB) ja Discoverin. Jokaisella luottokorttimerkillä on omat yhteensopivuusohjelmansa, PCI-standardit ovat kaikkien niiden perustana.
Vaikka neuvostolla ei ole laillista valtaa, jos yrityksesi aikoo hyväksyä luotto- tai pankkikorttitapahtumia, sen on noudatettava PCI-standardeja.
Mikä on PCI-yhteensopivuus?
PCI koostuu joukosta 12-erityisvaatimuksia, jotka kattavat kuusi tavoitetta. Perustavoitteena on maksimoida maksujen turvaaminen ja tiedottaa kauppiaille siitä, miten turvallisuutta voidaan parantaa. Tämä tarkoittaa turvallisen verkon rakentamista ja ylläpitoa, korttien haltijoiden tietojen suojaamista ja verkkojen säännöllistä testausta ja valvontaa.
Löydät neljä eri tasoa PCI-yhteensopivuudesta sen mukaan, kuinka paljon kauppasi liiketoimintasi on 12-kuukauden aikana. Tapahtumamäärä johtuu suoritetuista Visa-tapahtumien kokonaismäärästä, mukaan lukien luotto-, veloitus- ja ennakkomaksutapahtumat kauppiaalta Doing Business as "DBA".
Jos myydät useamman kuin yhden DBA: n sisällä, tutustu validointitasosi määrittämiseen käsiteltävien, tallennettujen tai välitettyjen tapahtumien kokonaismäärästä.
Jos yrityksesi suorittaa 20,000-tapahtumia tai vähemmän vuosittain tai jos kortin tiedot käsitellään yksinomaan tavarantoimittajien, kuten ostoskorttien tarjoajien, liiketoiminnallasi on vähemmän PCI-vaatimuksia ja ne luokitellaan tasolle 4.
Jos yrityksesi käsittelee vuosittain 20,000- ja 1-miljoonan tapahtumaa, luokitellaan tasolle 3. Yritykset käsittelevät 1- ja 6-miljoonan korttitapahtumia 12-kuukauden aikana luokitellaan tasolle 2. Jokainen taso tuo mukanaan suuremman määrän vaatimustenmukaisuusvaatimuksia.
Taso 1 tuo mukanaan suurimman osan vaatimuksista, jotka on varattu yrityksille, jotka käsittelevät 6 miljoonaa tai enemmän liiketointa vuodessa tai jotka tallentavat omia korttitietojaan, kirjoittavat oman koodinsa ja suorittavat omat palvelimet.
Mitä PCI-vaatimustenmukaisuus maksaa yritykselleni?
Tason 4-liiketoiminnalle, jonka luottokorttitiedot tallennetaan sähköisesti hänen verkkosivuillaan tai prosessointijärjestelmiin verkkoyhteydellä, hyväksytyn skannaavan toimittajan on säännöllisesti täytettävä verkkosivusto tai verkon tarkistus. Yrityksen henkilökunnan on myös täytettävä itsearviointikysely ja vaatimustenmukaisuusvakuutus. Tämä voi maksaa jopa $ 60 kuukaudessa.
Jos yrityksesi on taso 3, hyväksytyn skannaavan toimittajan tavanomaiseen verkkosivustoon tai verkkoskannaukseen liittyvät kustannukset ja vuosittaisen itsearviointikyselyn ja vaatimustenmukaisuustodistuksen loppuun saattaminen voivat nousta $ 1,200: ksi vuosittain.
Taso 2 -yrityksille kustannukset voivat nousta $ 10,000 ja $ 50,000 välillä vuodessa riippuen IP-osoitteiden määrästä ja verkon koosta.
PCI-vaatimusten tasolla 1 -yrityksissä kustannukset voivat vaihdella $ 50,000: stä ylöspäin, ja ne edellyttävät paitsi säännöllisen verkkokannauksen hyväksyttyä skannaavan toimittajan lisäksi myös vaatimustenmukaisuusvakuutuksen ja vuosittaisen vaatimustenmukaisuusraportin.
Mitä voin tehdä yritykselleni PCI-vaatimusten täyttämiseksi?
Kuten edellä on ehdotettu, PCI-vaatimustenmukaisuuden varmistamiseksi sinun on hankittava säännöllisesti verkkosivustot tai verkkotarkastukset, jotka Hyväksytty skannausmyyjä tekee - riippumatta siitä, missä määrin yrityksesi on luokiteltu. Tason 1 -yrityksiä on myös avustettava Pätevöitymisen turva-arvioija, joka suorittaa vuosittaiset paikan päällä tehtävät arvioinnit.
Pienille yrityksille, jotka käsittelevät vuosittain vähemmän kuin 6 miljoonaa luotto- ja pankkikorttitapahtumaa, PCI-vaatimustenmukaisuusstandardien täyttäminen edellyttää tällöin vain Approved Scanning Vendor -yrityksen ja oman henkilöstön tekemää työtä.
Kuva Shutterstockin kautta
