Articles

PCI FAQs

Velkommen TIL PCI Compliance Guide.

Klikk på linkene nedenfor for å finne svar på vanlige spørsmål.

Q1: Hva er PCI?
Q2: til hvem GJELDER PCI DSS?
Q3: HVOR finner JEG PCI Data Security Standard (PCI DSS)?
Q4: HVA ER PCI-samsvarsnivåene og hvordan bestemmes DE?
Q5: Hva gjør en liten til mellomstor bedrift (nivå 4 kjøpmann) har å gjøre for å tilfredsstille PCI DSS krav?
Q6: hvordan fungerer kredittkort via telefon med PCI?
Q7: HVIS JEG bare godtar kredittkort over telefon, GJELDER PCI DSS fortsatt for meg?
Q8: må organisasjoner som bruker tredjeparts prosessorer være PCI DSS-kompatible?
Q9: bedriften min har flere lokasjoner, er hvert lokasjon nødvendig for å validere PCI-samsvar?
Q10: Vi gjør bare e-handel. Hvilken SAQ skal vi bruke?
Q11: firmaet mitt lagrer ikke kredittkortdata, slik AT PCI-overholdelse ikke gjelder for oss, ikke sant?
Q12: er debetkorttransaksjoner i omfang FOR PCI?
Q13: ER JEG PCI-kompatibel hvis JEG har ET SSL-sertifikat?
Q14: firmaet mitt vil lagre kredittkortdata. Hvilke metoder kan vi bruke?
Q15: hva er straffen for manglende overholdelse?
Q16: hva er definert som ‘kortholderdata’?
Q17: hva er definisjonen av ‘kjøpmann’?
Q18: hva utgjør En Tjenesteleverandør?
Q19: hva utgjør en betalingsapplikasjon?
Q20: Hva er en betalingsgateway?
Q21: Hva ER PA-DSS?
Q22: kan hele kredittkortnummeret skrives ut på forbrukerens kopi av kvitteringen?
Q23: trenger jeg sårbarhetsskanning for å validere samsvar?
Q24: Hva er en sårbarhetsskanning?
Q25: Hvor ofte må jeg ha en sårbarhetsskanning?
Q26: Hva om min bedrift nekter å samarbeide?Q27: hvis jeg driver en bedrift hjemmefra, er jeg et seriøst mål for hackere?
Q28: Hva skal jeg gjøre hvis jeg er kompromittert?
Q29: har stater lover som krever varsel om brudd på data til de berørte partene?

Q1: Hva ER PCI?

A: Payment Card Industry Data Security Standard (PCI DSS) er et sett med sikkerhetsstandarder som er utformet for å sikre AT alle selskaper som godtar, behandler, lagrer eller overfører kredittkortinformasjon, opprettholder et sikkert miljø.Payment Card Industry Security Standards Council (PCI SSC) ble lansert 7. September 2006 for å administrere den pågående utviklingen AV Payment Card Industry (PCI) sikkerhetsstandarder med fokus på å forbedre betalingskontosikkerheten gjennom hele transaksjonsprosessen. PCI DSS administreres og administreres av PCI SSC (www.pcisecuritystandards.org), et uavhengig organ som ble opprettet av de store betalingskortmerkene (Visa, MasterCard,American Express, Discover og JCB.). Det er viktig å merke seg at betalingsmerkene og innløserne er ansvarlige for å håndheve samsvar, ikke PCI-rådet. En kopi AV PCI DSS er tilgjengelig her.

Tilbake Til Toppen

Q2: TIL hvem GJELDER PCI DSS?

A: PCI DSS gjelder for enhver organisasjon, uavhengig av størrelse eller antall transaksjoner, som aksepterer, overfører eller lagrer kortholderdata.

Tilbake til Toppen

Q3: HVOR finner JEG PCI Data Security Standard (PCI DSS)?

A: DE GJELDENDE PCI DSS-dokumentene finner du på PCI Security Standards Council-nettsiden.

Tilbake Til Toppen

Q4: HVA ER PCI-samsvarsnivåene og hvordan bestemmes de?

A: alle forhandlere vil falle inn under ett av de fire forhandlernivåene basert På Transaksjonsvolum For Visum i løpet av en 12-måneders periode. Transaksjonsvolumet er basert på det samlede Antallet Visa-transaksjoner (inkludert kreditt, debet og forhåndsbetalt) fra en forhandler Som Driver Business As (‘DBA’). I tilfeller der et forhandlerforetak har mer ENN en DBA, Må visa-oppkjøpere vurdere det samlede volumet av transaksjoner lagret, behandlet eller overført av bedriftsenheten for å bestemme valideringsnivået. Hvis data ikke aggregeres, slik at bedriftsenheten ikke lagrer, behandler eller overfører kortinnehaverdata på vegne av flere Dba-Er, vil innløsere fortsette å vurdere DBAS individuelle transaksjonsvolum for å bestemme valideringsnivået.

Forhandlernivåer som definert Av Visa:

Kjøpmannsnivå Beskrivelse
1td> enhver kjøpmann — uavhengig av aksept kanal — behandling over 6m visa transaksjoner per år. Enhver forhandler Som Visa, etter Eget skjønn, bestemmer, skal oppfylle nivå 1 forhandlerkravene for å minimere risikoen For Visumsystemet.
2 enhver forhandler — uavhengig av akseptkanal-behandler 1m TIL 6M Visumtransaksjoner per år. 3 enhver forhandler som behandler 20 000 Til 1 MILLIONER visa e – handelstransaksjoner per år. 4 enhver forhandler som behandler færre enn 20 000 visa e – handelstransaksjoner per år, og alle andre forhandlere — uavhengig av akseptkanal-behandler Opptil 1m Visa-transaksjoner per år.

* enhver forhandler som har hatt et brudd som resulterte i et kompromiss med kontodata, kan eskaleres til et høyere valideringsnivå.

Tilbake Til Toppen

Q5: Hva gjør en liten til mellomstor bedrift (nivå 4 kjøpmann) har å gjøre for å tilfredsstille PCI DSS krav?

A: for å oppfylle KRAVENE TIL PCI må en forhandler fullføre følgende trinn:

  • Bestem hvilket spørreskjema (SAQ) bedriften din skal bruke til å validere samsvar. Se diagrammet nedenfor for å hjelpe deg med å velge. (Klikk på diagram for å forstørre.)
    PCI 3.0 Saq Diagram
  • Fullfør selvvurderingsskjemaet i henhold til instruksjonene det inneholder.
  • Fullfør og få bevis på en bestått sårbarhetsskanning med EN PCI SSC-Godkjent Skanneleverandør (ASV). Obs! skanning gjelder ikke for alle selgere. Det er nødvendig FOR SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant Og SAQ D-Tjenesteleverandør.
  • Fullfør den relevante Attesten av samsvar i sin helhet (ligger I SAQ-verktøyet).
  • Send INN SAQ, bevis på en bestått skanning (hvis aktuelt), Og Attestasjon av samsvar, sammen med annen forespurt dokumentasjon, til din overtaker.

Les blogginnlegget vårt, » PCI Basics / Quick Guide-Hva Må Små Selgere gjøre for Å Oppnå PCI-Samsvar?»

Tilbake til Toppen

Q6: hvordan fungerer kredittkort via telefon med PCI?

A: følgende innlegg, » Hvordan Tar Kredittkort Via Telefon Arbeid MED PCI?»forklarer DITT PCI-samsvarsansvar når du tar kredittkortinformasjon over telefonen(for eksempel i et call center). Merk at mens dette innlegget ble publisert i 2014, er det fortsatt relevant med den nåværende versjonen AV PCI DSS.

Tilbake til Toppen

Q7: HVIS JEG bare godtar kredittkort over telefon, GJELDER PCI DSS fortsatt for meg?

A: Ja. Alle virksomheter som lagrer, behandler eller overfører betalingskortdata må være PCI-Kompatible.

Tilbake til Toppen

Q8: må organisasjoner som bruker tredjeparts prosessorer være PCI DSS-kompatible?

A: Ja. Bare å bruke et tredjepartsfirma utelukker ikke et selskap FRA PCI DSS-overholdelse. Det kan redusere risikoeksponeringen og dermed redusere innsatsen for å validere samsvar. Det betyr imidlertid ikke at DE kan ignorere PCI DSS.

Tilbake til Toppen

Q9: Bedriften min har flere lokasjoner, kreves hvert lokasjon for å validere PCI-samsvar?

A: hvis virksomhetens lokasjoner behandles med Samme Skatte-ID, må du vanligvis bare validere en gang i året for alle lokasjoner. Og send kvartalsvis bestått nettverksskanning av EN PCI SSC Godkjent Skanning Leverandør (ASV) for hvert sted, hvis det er aktuelt.

Tilbake til Toppen

Q10: Vi gjør bare e-handel. Hvilken SAQ skal vi bruke?

A: Det avhenger av hvordan handlekurven er satt opp. SE PCI SAQ 3.1: E-Handel Alternativer Forklart.

Tilbake til Toppen

Q11: Firmaet mitt lagrer ikke kredittkortdata, slik AT PCI-overholdelse ikke gjelder for oss, ikke sant?

A: hvis du godtar kreditt-eller debetkort som betalingsmåte, gjelder PCI-overholdelse for deg. Lagring av kortdata er risikabelt, så hvis du ikke lagrer kortdata, kan det være enklere å bli sikker og kompatibel.

Tilbake Til Toppen

Q12: er debetkorttransaksjoner i omfang FOR PCI?

A: In-scope-kort inkluderer alle debet -, kreditt-og forhåndsbetalte kort merket med en av de fem kortforeningen / merkelogoene som deltar I PCI SSC-American Express – Discover, Jcb, MasterCard og Visa International.

Tilbake til Toppen

Q13: ER JEG PCI-kompatibel hvis JEG har ET SSL-sertifikat?

A: Nei. SSL-sertifikater sikrer ikke en webserver mot ondsinnede angrep eller inntrenging. SSL-sertifikater med høy sikkerhet gir det første nivået av kundesikkerhet og forsikring som nedenfor, men det er andre trinn for å oppnå PCI-samsvar. Se Spørsmålet » Hva må en liten til mellomstor bedrift (nivå 4-forhandler) gjøre for å tilfredsstille PCI-kravene?»

  • en sikker forbindelse mellom kundens nettleser og webserveren
  • Validering av at nettstedets operatører er en legitim, juridisk ansvarlig organisasjon

Se relatert blogginnlegg, «PCI DSS v3.1 og SSL: Hva du bør gjøre NÅ.»
Tilbake til Toppen

Q14: mitt firma ønsker å lagre kredittkortdata. Hvilke metoder kan vi bruke?

A: De fleste selgere som trenger å lagre kredittkortdata gjør det for gjentakende fakturering. Den beste måten å lagre kredittkortdata for gjentakende fakturering er ved å benytte en tredjeparts kredittkort hvelv og tokenization leverandør. Ved å benytte et hvelv, blir kortdataene fjernet fra din besittelse, og du får tilbake et «token» som kan brukes til gjentakende fakturering. Ved å bruke en tredjepart flytter du risikoen for å lagre kortdata til noen som spesialiserer seg på å gjøre det, og har alle sikkerhetskontrollene på plass for å holde kortdataene trygge.

hvis du trenger å lagre kortdataene selv, er baren for egenvurdering svært høy, og du må kanskje ha EN Qsa (Qualified Security Assessor) på stedet og utføre en revisjon for å sikre at du har alle kontrollene på plass som er nødvendige for å oppfylle PCI DSS-spesifikasjonene.

Se relaterte blogginnlegg ,» Kan Vi Sikkert Lagre Kortdata For Gjentakende Fakturering?»

Tilbake til Toppen

Q15: hva er straffen for manglende overholdelse?

a: betalings merker kan, etter eget skjønn, fine en overtakende bank $5000 til $100,000 per måned FOR PCI samsvar brudd. Bankene vil mest sannsynlig passere denne fine sammen til den til slutt treffer selgeren. Videre vil banken også mest sannsynlig enten avslutte forholdet eller øke transaksjonsgebyrene. Straff er ikke åpent diskutert eller mye omtalt, men de kan være katastrofale for en liten bedrift. Det er viktig å være kjent med forhandlerkonto avtalen, som bør skissere eksponeringen.

Les mer om straffene for manglende overholdelse i vårt blogginnlegg, » Hvordan Kan DIN PCI Compliance Innsats Til Slutt Spare Din Bedrift Penger?»

Tilbake til Toppen

Q16: Hva er definert som ‘kortholderdata’?

A: PCI Security Standards Council (SSC) definerer ‘kortholderdata’ som Det Fulle Primære Kontonummeret (PAN) eller hele PAN sammen med noen av følgende elementer:

  • Kortholdernavn
  • Utløpsdato
  • Servicekode

Sensitive Autentiseringsdata, som også må beskyttes, inkluderer fulle magnetstripedata, CAV2, CVC2, CVV2, CID, PINs, PIN-blokker og mer.

Tilbake til Toppen

Q17: hva er definisjonen av ‘kjøpmann’?

A: I FORBINDELSE MED PCI DSS er en forhandler definert som enhver enhet som aksepterer betalingskort med logoene til noen av DE fem MEDLEMMENE AV PCI SSC (American Express, Discover, Jcb, MasterCard eller Visa) som betaling for varer og/eller tjenester. Merk at en forhandler som aksepterer betalingskort som betaling for varer og/eller tjenester, også kan være en tjenesteleverandør, hvis de solgte tjenestene resulterer i lagring, behandling eller overføring av kortinnehaverdata på vegne av andre forhandlere eller tjenesteleverandører. EN ISP er for EKSEMPEL en forhandler som godtar betalingskort for månedlig fakturering, men er også en tjenesteleverandør hvis den er vert for selgere som kunder. Kilde: PCI SSC

Tilbake Til Toppen

Q18: hva utgjør En Tjenesteleverandør?

A: PCI SSC definerer En Tjenesteleverandør på denne måten:
«Forretningsenhet som ikke er et betalingsmiddel, direkte involvert i behandling, lagring eller overføring av kortinnehaverdata. Dette inkluderer også selskaper som tilbyr tjenester som kontrollerer eller kan påvirke sikkerheten til kortinnehaverens data.»(Kilde: www.pcisecuritystandards.»forhandler som tjenesteleverandør» – rollen er videre spesifisert av PCI SSC som » en forhandler som aksepterer betalingskort som betaling for varer og/eller tjenester…hvis de solgte tjenestene resulterer i lagring, behandling eller overføring av kortinnehaverdata på vegne av andre forhandlere eller tjenesteleverandører.»Lær mer om hvordan du kan oppnå samsvar som Tjenesteleverandør. Se vårt blogginnlegg, » PCI Compliance og Tjenesteleverandøren.»

Tilbake Til Toppen

Q19: hva utgjør en betalingsapplikasjon?

A: hva utgjør en betalingsapplikasjon som gjelder PCI-overholdelse? Begrepet betalingsapplikasjon har en meget bred betydning I PCI. En betalingsapplikasjon er alt som lagrer, behandler eller overfører kortdata elektronisk. Dette betyr at alt fra Et Salgssted system (F.eks Verifone swipe terminaler, ALOHA terminaler, etc.) i en restaurant Til Et Nettsted e-handel handlekurv (F. eks Crloaded, osCommerce, etc) er alle klassifisert som betalingsprogrammer. Derfor er ethvert stykke programvare som er designet for å berøre kredittkortdata ansett som et betalingsprogram.

Tilbake til Toppen

Q20: Hva er en betalingsgateway?

A: Betaling gateways koble en kjøpmann til banken eller prosessor som fungerer som front-end tilkobling til kort merker. De kalles gateways fordi de tar mange innganger fra en rekke forskjellige applikasjoner og rute disse inngangene til riktig bank eller prosessor. Gateways kommunisere med banken eller prosessor ved hjelp av eksterne tilkoblinger, web – baserte tilkoblinger eller privateide leide linjer.

Tilbake til Toppen

Q21: Hva ER PA-DSS?

A: PA-DSS refererer Til Payment Application Data Security Standard vedlikeholdt AV PCI Security Standards Council (SSC) for å løse det kritiske problemet med payment application security. Kravene I PA-DSS er utformet for å sikre at leverandører tilbyr produkter som støtter forhandlernes innsats for å opprettholde PCI DSS-samsvar og eliminere lagring av sensitive kortholderdata.PCI SSC administrerer programmet for å validere betalingsapplikasjonenes overholdelse av PA-DSS, og publiserer og vedlikeholder en liste OVER PA-DSS-validerte applikasjoner. Se PCI – Sikkerhetsstandarder for mer informasjon. Se også vårt blogginnlegg om den kritiske forskjellen mellom PCI DSS og PA-DSS her.

Tilbake til Toppen

Q22: kan hele kredittkortnummeret skrives ut på forbrukerens kopi av kvitteringen?

A: PCI DSS krav 3.3 stater «Maske PAN når vises (de første seks og fire siste sifrene er det maksimale antall sifre som skal vises).»Selv om kravet ikke forbyr utskrift av hele kortnummeret eller utløpsdatoen på kvitteringer (enten selgerkopien eller forbrukerkopien), vær oppmerksom på AT PCI DSS ikke overstyrer andre lover som lover hva som kan skrives ut på kvitteringer (FOR EKSEMPEL US Fair And Accurate Credit Transactions Act (FACTA) Eller andre gjeldende lover).

Se kursiv notat UNDER PCI DSS krav 3.3 » Notat: Dette kravet erstatter ikke strengere krav på plass for visning av kortinnehaver data—for eksempel juridiske eller betalingskort merkevare krav til point-of-sale (POS) kvitteringer. Eventuelle papirkvitteringer lagret av selgere må overholde PCI DSS, spesielt krav 9 angående fysisk sikkerhet». KILDE: PCI SSC

Tilbake Til Toppen

Q23: trenger jeg sårbarhetsskanning for å validere samsvar?

A: Hvis du kvalifiserer for visse selvvurderingsskjemaer (SAQs) eller du lagrer kortholderdata elektronisk etter autorisasjon, er det nødvendig med en kvartalsvis skanning av EN PCI SSC-Godkjent Skanneleverandør (ASV) for å opprettholde samsvar. Hvis du kvalifiserer for noen av Følgende SAQs under versjon 3.x AV PCI DSS, må DU ha en bestått ASV-skanning:

  • SAQ A-EP
  • SAQ B-IP
  • SAQ C
  • SAQ D-Merchant
  • SAQ D-Tjenesteleverandør

Tilbake Til Toppen

Q24: Hva er en sårbarhetsskanning?

A: En sårbarhetsskanning innebærer et automatisert verktøy som sjekker systemene til en forhandler eller tjenesteleverandør for sårbarheter. Verktøyet vil utføre en ikke-påtrengende skanning for å eksternt gjennomgå nettverk og webapplikasjoner basert på Ip-adressene som leveres av forhandleren eller tjenesteleverandøren. Skanningen identifiserer sårbarheter i operativsystemer, tjenester og enheter som kan brukes av hackere til å målrette selskapets private nettverk. Som levert Av En Godkjent Skanning Leverandører (ASV) som ControlScan, krever skanningen ikke selgeren eller tjenesteleverandøren å installere programvare på sine systemer, og ingen denial-of-service angrep vil bli utført. Les mer om sårbarhetsskanninger her.

Tilbake til Toppen

Q25: Hvor ofte må jeg ha en sårbarhetsskanning?

A: Hver 90. dag / en gang per kvartal må de som oppfyller kriteriene ovenfor sende inn en bestått skanning. Forhandlere og tjenesteleverandører skal sende inn samsvarsdokumentasjon (vellykkede skannerapporter) i henhold til tidsplanen fastsatt av deres overtakende. Skanninger må utføres AV EN PCI SSC Godkjent Skanning Leverandør (ASV) Som ControlScan.

Se relatert blogginnlegg, «Intern vs. Ekstern Sårbarhetsskanning: Hvorfor Trenger Du Begge deler.»

Tilbake til Toppen

Q26: Hva om min bedrift nekter å samarbeide?

A: PCI er ikke i seg selv en lov. Standarden ble opprettet Av de store kortmerkene Visa, MasterCard, Discover, AMEX og JCB. Etter deres overtakers/tjenesteleverandørers skjønn kan selgere som ikke overholder PCI DSS, bli gjenstand for bøter, kortutskiftningskostnader, kostbare rettsmedisinske revisjoner, merkeskader osv. hvis det oppstår et brudd.

for litt forhånd innsats og kostnader for å overholde PCI DSS, du sterkt bidra til å redusere risikoen fra overfor disse svært ubehagelige og kostbare konsekvenser. Lær hvordan ControlScan bidrar til å forenkle PCI DSS.

Tilbake til Toppen

Q27: Hvis jeg driver en bedrift hjemmefra, er jeg et seriøst mål for hackere?

A: Ja. Hjemmebrukere er uten tvil de mest sårbare, bare fordi de vanligvis ikke er godt beskyttet. Ved å vedta en’ path of least resistance ‘ – modell, vil inntrengere ofte null inn på hjemmebrukere – ofte utnytte deres alltid på bredbåndsforbindelser og typiske hjemmebruksprogrammer som chat, Internettspill og p2p-fildelingsprogrammer. ControlScan skanning tjeneste lar hjemmebrukere og nettverksadministratorer både å identifisere og fikse eventuelle sikkerhetsproblemer på sine stasjonære eller bærbare datamaskiner.

Se relaterte blogginnlegg, » 5 Beste Praksis For Å Sikre Liten Biz.»

Tilbake til Toppen

Q28: Hva skal jeg gjøre hvis jeg blir kompromittert?

A: mens mange betalingskort data brudd er lett forebygges, de kan og fortsatt skje med bedrifter av alle størrelser.

hvis din små eller mellomstore bedrift har oppdaget at den har blitt brutt, er det mange gode ressurser for å hjelpe deg med neste trinn. Vi anbefaler følgende:

  • Department Of Justice, Best Practices For Victim Response And Reporting Of Cyber Incidents
  • PCI Council, Response to a Data Breach – A How-To Guide for Incident Management
  • Electronic Transactions Association (ETA), Data Breach Response: A Nine-Step Guide For Smaller Merchants

Tilbake Til Toppen

Q29: har stater lover som krever varsel om datainnbrudd til de berørte partene?

A: Absolutt. California er katalysatoren for rapportering av databrudd til berørte parter. Staten implementerte sin bruddvarslingslov i 2003, og nå har nesten alle stater en lignende lov på plass.

Fra og med 12. April 2017, NCSL.org Førtiåtte stater, District Of Columbia, Guam, Puerto Rico og Jomfruøyene har vedtatt lovgivning som krever at private, statlige eller pedagogiske enheter skal varsle enkeltpersoner om sikkerhetsbrudd på informasjon som involverer personlig identifiserbar informasjon.

Tilbake til Toppen