Articles

PCI Ofte Stillede Spørgsmål

velkommen til PCI Compliance Guide.

Klik på nedenstående links for at finde svar på ofte stillede spørgsmål.

spørgsmål 1: Hvad er PCI?
spørgsmål 2: til hvem gælder PCI DSS?
spørgsmål 3: Hvor kan jeg finde PCI Datasikkerhedsstandarden (PCI DSS)?
spørgsmål 4: Hvad er PCI-overholdelsesniveauerne, og hvordan bestemmes de?
S5: hvad skal en lille til mellemstor virksomhed (niveau 4-købmand) gøre for at opfylde PCI DSS-kravene?
spørgsmål 6: Hvordan fungerer det at tage kreditkort via telefon med PCI?
spørgsmål 7: hvis jeg kun accepterer kreditkort over telefonen, gælder PCI DSS stadig for mig?
spørgsmål 8: skal organisationer, der bruger tredjepartsprocessorer, være PCI DSS-kompatible?
spørgsmål 9: min virksomhed har flere placeringer, kræves hvert sted for at validere PCI-overholdelse?
10. kvartal: vi gør kun e-handel. Hvilken sav skal vi bruge?
spørgsmål 11: mit firma gemmer ikke kreditkortdata, så PCI-overholdelse gælder ikke for os, ikke?
12. kvartal: er debetkorttransaktioner omfattet af PCI?
spørgsmål 13: er jeg PCI-kompatibel, Hvis jeg har et SSL-certifikat?
14.kvartal: mit firma ønsker at gemme kreditkortdata. Hvilke metoder kan vi bruge?
spørgsmål 15: Hvad er sanktionerne for manglende overholdelse?
16: hvad er defineret som’kortholderdata’?
spørgsmål 17: Hvad er definitionen af ‘købmand’?
spørgsmål 18: hvad udgør en tjenesteudbyder?
spørgsmål 19: hvad udgør en betalingsansøgning?
20. kvartal: Hvad er en betalingsportal?
spørgsmål 21: Hvad er PA-DSS?
22. kvartal: kan det fulde kreditkortnummer udskrives på forbrugerens kopi af kvitteringen?
spørgsmål 23: har jeg brug for sårbarhedsscanning for at validere overholdelse?
spørgsmål 24: Hvad er en sårbarhedsscanning?
spørgsmål 25: hvor ofte skal jeg have en sårbarhedsscanning?
26. kvartal: hvad hvis min virksomhed nægter at samarbejde?
spørgsmål 27: hvis jeg driver en virksomhed fra mit hjem, er jeg et seriøst mål for hackere?
spørgsmål 28: Hvad skal jeg gøre, hvis jeg er kompromitteret?
29. kvartal: har stater love, der kræver meddelelser om databrud til de berørte parter?

spørgsmål 1: Hvad er PCI?

A: Payment Card Industry Data Security Standard (PCI DSS) er et sæt sikkerhedsstandarder designet til at sikre, at alle virksomheder, der accepterer, behandler, gemmer eller transmitterer kreditkortoplysninger, opretholder et sikkert miljø.Payment Card Industry Security Standards Council (PCI SSC) blev lanceret den 7.September 2006 for at styre den igangværende udvikling af Payment Card Industry (PCI) sikkerhedsstandarder med fokus på at forbedre betalingskontosikkerheden gennem hele transaktionsprocessen. PCI DSS administreres og administreres af PCI SSC.pcisecuritystandards.org), et uafhængigt organ, der blev oprettet af de største betalingskortmærker (Visa, MasterCard, Amerikansk Ekspres, Discover og JCB.). Det er vigtigt at bemærke, at betalingsmærkerne og erhververne er ansvarlige for at håndhæve overholdelse, ikke PCI-Rådet. En kopi af PCI DSS er tilgængelig her.

Tilbage til toppen

spørgsmål 2: til hvem gælder PCI DSS?

A: PCI DSS gælder for enhver organisation, uanset størrelse eller antal transaktioner, der accepterer, transmitterer eller gemmer kortholderdata.

Tilbage til toppen

S3: Hvor kan jeg finde PCI Data Security Standard (PCI DSS)?

A: de nuværende PCI DSS-dokumenter kan findes på PCI Security Standards Council hjemmeside.

Tilbage til toppen

spørgsmål 4: Hvad er PCI-overholdelsesniveauerne, og hvordan bestemmes de?

A: Alle forhandlere falder ind under et af de fire handelsniveauer baseret på Visa-transaktionsvolumen over en 12-måneders periode. Transaktionsvolumen er baseret på det samlede antal Visa-transaktioner (inklusive kredit, debet og forudbetalt) fra en forhandler, der driver forretning As (‘DBA’). I tilfælde, hvor et handelsselskab har mere end en DBA, skal Visumindløsere overveje den samlede mængde transaktioner, der er gemt, behandlet eller transmitteret af virksomhedsenheden for at bestemme valideringsniveauet. Hvis data ikke aggregeres, således at virksomhedsenheden ikke lagrer, behandler eller overfører kortholderdata på vegne af flere DBA ‘er, vil erhververe fortsat overveje DBA’ s individuelle transaktionsvolumen for at bestemme valideringsniveauet.handelsniveauer som defineret af Visa:

handelsniveau Description
1 enhver købmand — uanset acceptkanal — behandler over 6m visumtransaktioner om året. Enhver købmand, som Visa, efter eget skøn, bestemmer, skal opfylde niveau 1-købmandskravene for at minimere risikoen for Visumsystemet.
2 enhver købmand — uanset acceptkanal — behandling af 1m til 6m Visumtransaktioner om året.
3 enhver købmand behandling 20,000 til 1m Visa e-handel transaktioner om året.
4 enhver købmand, der behandler færre end 20.000 Visa-e — handelstransaktioner om året, og alle andre købmænd — uanset acceptkanal-behandler op til 1m Visa-transaktioner om året.

* enhver købmand, der har lidt et brud, der resulterede i et kontodatakompromis, kan eskaleres til et højere valideringsniveau.

Tilbage til toppen

spørgsmål 5: Hvad skal en lille til mellemstor virksomhed (niveau 4-købmand) gøre for at opfylde PCI DSS-kravene?

A: for at opfylde kravene i PCI skal en forhandler udføre følgende trin:

  • Bestem, hvilket Selvvurderingsspørgeskema (SAK) din virksomhed skal bruge til at validere overholdelse. Se diagrammet nedenfor for at hjælpe dig med at vælge. (Klik på diagrammet for at forstørre.)
    PCI 3.0 SAK Chart
  • udfyld Selvvurderingsspørgeskemaet i henhold til de instruktioner, det indeholder.
  • Udfyld og få bevis for en passerende sårbarhedsscanning med en PCI SSC-godkendt Scanningsleverandør (ASV). Bemærk scanning gælder ikke for alle forhandlere. Det er nødvendigt for SAK a-EP, SAK B-IP, SAK C, SAK D-Merchant og SAK D-Service Provider.
  • udfyld den relevante overensstemmelsesattest i sin helhed (placeret i SAK-værktøjet).
  • Indsend sav, bevis for en bestået scanning (hvis relevant) og attestering af overholdelse sammen med enhver anden anmodet dokumentation til din erhverver.

læs vores blogindlæg, “PCI Basics / hurtig Guide – Hvad skal små købmænd gøre for at opnå PCI-overholdelse?”

Tilbage til toppen

spørgsmål 6: Hvordan fungerer det at tage kreditkort via telefon med PCI?

A: følgende indlæg, ” Hvordan tager kreditkort via telefon arbejde med PCI?”forklarer dit PCI-overholdelsesansvar, når du tager kreditkortoplysninger over telefonen (f.eks. Bemærk, at mens dette indlæg blev offentliggjort i 2014, er det stadig relevant med den aktuelle version af PCI DSS.

Tilbage til toppen

hver 7. kvartal: Hvis jeg kun accepterer kreditkort over telefonen, gælder PCI DSS stadig for mig?

A: Ja. Alle virksomheder, der lagrer, behandler eller overfører betalingskortindehaverdata, skal være PCI-kompatible.

Tilbage til toppen

spørgsmål 8: skal organisationer, der bruger tredjepartsprocessorer, være PCI DSS-kompatible?

A: Ja. Blot at bruge et tredjepartsfirma udelukker ikke et firma fra PCI DSS-overholdelse. Det kan reducere deres risikoeksponering og dermed reducere indsatsen for at validere overholdelse. Det betyder dog ikke, at de kan ignorere PCI DSS.

Tilbage til toppen

hver 9: Min virksomhed har flere lokationer, er hvert sted påkrævet for at validere PCI-overholdelse?

A: hvis dine virksomhedsplaceringer behandles under det samme skatte-ID, skal du typisk kun validere en gang årligt for alle lokationer. Og indsende kvartalsvise passerer netværksscanninger af en PCI SSC godkendt Scanning leverandør (ASV) for hver placering, hvis relevant.

Tilbage til toppen

10.kvartal: vi udfører kun e-handel. Hvilken sav skal vi bruge?

A: Det afhænger af, hvordan din indkøbskurv er oprettet. Se PCI SAK 3.1: e-handel muligheder forklaret.

Tilbage til toppen

11. kvartal: Mit firma gemmer ikke kreditkortdata, så PCI-overholdelse gælder ikke for os, ikke?

A: hvis du accepterer kredit-eller betalingskort som en betalingsform, gælder PCI-overholdelse for dig. Opbevaring af kortdata er risikabelt, så hvis du ikke gemmer kortdata, kan det være lettere at blive sikker og kompatibel.

Tilbage til toppen

spørgsmål 12: er debetkorttransaktioner omfattet af PCI?

A: In-scope-kort inkluderer alle debet -, kredit – og forudbetalte kort, der er mærket med en af de fem kortforenings – /brandlogoer, der deltager i PCI SSC-Amerikansk Ekspres, Discover, JCB, MasterCard og Visa International.

Tilbage til toppen

spørgsmål 13: er jeg PCI-kompatibel, hvis jeg har et SSL-certifikat?

A: Nej. SSL-certifikater sikrer ikke en internetserver mod ondsindede angreb eller indtrængen. SSL-certifikater med høj sikkerhed giver det første niveau af kundesikkerhed og tryghed som nedenstående, men der er andre trin for at opnå PCI-overholdelse. Se spørgsmål ” Hvad skal en lille til mellemstor virksomhed (niveau 4-købmand) gøre for at opfylde PCI-kravene?”

  • en sikker forbindelse mellem kundens og internetserveren
  • validering af, at hjemmesideoperatørerne er en legitim, juridisk ansvarlig organisation

SE relateret blogindlæg, ” PCI DSS v3.1 og SSL: hvad du skal gøre nu.”
Tilbage til toppen

14.kvartal: mit firma ønsker at gemme kreditkortdata. Hvilke metoder kan vi bruge?

A: de fleste forhandlere, der har brug for at gemme kreditkortdata, gør det til tilbagevendende fakturering. Den bedste måde at gemme kreditkortdata til tilbagevendende fakturering er ved at bruge en tredjeparts kreditkorthvelv og tokeniseringsudbyder. Ved at bruge en hvælving fjernes kortdataene fra din besiddelse, og du får et “token” tilbage, der kan bruges til tilbagevendende fakturering. Ved at bruge en tredjepart flytter du risikoen for at gemme kortdata til en person, der er specialiseret i at gøre det og har alle sikkerhedskontrollerne på plads for at holde kortdataene sikre.

Hvis du selv har brug for at gemme kortdataene, er din bar til selvvurdering meget høj, og du skal muligvis have en kvalificeret Sikkerhedsvurderer på stedet og udføre en revision for at sikre, at du har alle de kontroller på plads, der er nødvendige for at opfylde PCI DSS-specifikationerne.

SE relateret blogindlæg, ” kan vi sikkert gemme kortdata til tilbagevendende fakturering?”

Tilbage til toppen

15. kvartal: hvad er sanktionerne for manglende overholdelse?

A: betalingsmærkerne kan efter eget skøn bøde en overtagende bank $5.000 til $100.000 pr. Bankerne vil sandsynligvis videregive denne bøde, indtil den til sidst rammer købmanden. Desuden vil banken sandsynligvis enten opsige dit forhold eller øge transaktionsgebyrerne. Sanktioner diskuteres ikke åbent eller offentliggøres bredt, men de kan være katastrofale for en lille virksomhed. Det er vigtigt at være fortrolig med din købmand konto aftale, som bør skitsere din eksponering.

Læs mere om sanktionerne for manglende overholdelse i vores blogindlæg, “hvordan kan din PCI Compliance indsats i sidste ende spare din virksomhed penge?”

Tilbage til toppen

16. kvartal: Hvad er defineret som’kortholderdata’?

A: PCI Security Standards Council (SSC) definerer ‘kortholderdata’ som det fulde primære kontonummer (PAN) eller den fulde PAN sammen med et af følgende elementer:

  • kortholderens navn
  • udløbsdato
  • servicekode

følsomme godkendelsesdata, som også skal beskyttes, inkluderer fulde magnetstribe data, CAV2, CVC2, CVV2, CID, PINs, PIN-blokke og mere.

Tilbage til toppen

spørgsmål 17: Hvad er definitionen af ‘købmand’?

A: Med henblik på PCI DSS defineres en forhandler som enhver enhed, der accepterer betalingskort med logoer fra et af de fem medlemmer af PCI SSC (Discover, JCB, MasterCard eller Visa) som betaling for varer og/eller tjenester. Bemærk, at en forhandler, der accepterer betalingskort som betaling for varer og/eller tjenester, også kan være en tjenesteudbyder, hvis de solgte tjenester resulterer i lagring, behandling eller overførsel af kortholderdata på vegne af andre forhandlere eller tjenesteudbydere. For eksempel er en internetudbyder en forhandler, der accepterer betalingskort til månedlig fakturering, men også en tjenesteudbyder, hvis den er vært for forhandlere som kunder. Kilde: PCI SSC

Tilbage til toppen

spørgsmål 18: Hvad udgør en tjenesteudbyder?

A: PCI SSC definerer en tjenesteudbyder på denne måde:
“forretningsenhed, der ikke er et betalingsmærke, direkte involveret i behandling, opbevaring eller transmission af kortholderdata. Dette inkluderer også virksomheder, der leverer tjenester, der kontrollerer eller kan påvirke sikkerheden af kortholderdata.”(Kilde:Hr.pcisecuritystandarder.org)

rollen “forhandler som tjenesteudbyder” specificeres yderligere af PCI SSC som “en forhandler, der accepterer betalingskort som betaling for varer og / eller tjenester…hvis de solgte tjenester resulterer i lagring, behandling eller transmission af kortholderdata på vegne af andre forhandlere eller tjenesteudbydere.”Lær mere om, hvordan man opnår overholdelse som tjenesteudbyder. Se vores blogindlæg, “PCI Compliance og tjenesteudbyderen.”

Tilbage til toppen

19. kvartal: hvad udgør en betalingsansøgning?

A: Hvad udgør en betalingsansøgning, da den vedrører PCI-overholdelse? Udtrykket betalingsansøgning har en meget bred betydning i PCI. En betalingsapplikation er alt, hvad der gemmer, behandler eller transmitterer kortdata elektronisk. Det betyder, at alt fra et salgssted system (f.eks Verifone knalde terminaler, Aloha terminaler, etc.) i en restaurant til en hjemmeside e-handel indkøbskurv (f.eks CreLoaded, osCommerce, etc) er alle klassificeret som betalingsansøgninger. Derfor betragtes ethvert program, der er designet til at berøre kreditkortdata, som en betalingsansøgning.

Tilbage til toppen

20. kvartal: Hvad er en betalingsportal?

A: Betalingsportaler forbinder en købmand til banken eller processoren, der fungerer som front-end-forbindelse til kortmærkerne. De kaldes porte, fordi de tager mange input fra en række forskellige applikationer og dirigerer disse input til den relevante bank eller processor. Portaler kommunikerer med banken eller processoren ved hjælp af opkaldsforbindelser, internetbaserede forbindelser eller privatejede faste kredsløb.

Tilbage til toppen

spørgsmål 21: Hvad er PA-DSS?

A: PA-DSS henviser til Betalingsapplikationsdatasikkerhedsstandard, der opretholdes af PCI Security Standards Council (SSC) for at løse det kritiske spørgsmål om betalingsapplikationssikkerhed. Kravene inden for PA-DSS er designet til at sikre, at leverandører leverer produkter, der understøtter købmænds bestræbelser på at opretholde PCI DSS-overholdelse og eliminere lagring af følsomme kortholderdata.

PCI SSC administrerer programmet til at validere betalingsapplikationers overholdelse af PA-DSS og offentliggør og vedligeholder en liste over PA-DSS-validerede applikationer. Se PCI sikkerhedsstandarder for mere information. Se også vores blogindlæg om den kritiske forskel mellem PCI DSS og PA-DSS her.

Tilbage til toppen

22. kvartal: kan det fulde kreditkortnummer udskrives på forbrugerens kopi af kvitteringen?

a: PCI DSS-krav 3.3 angiver ” Maskepande, når de vises (de første seks og de sidste fire cifre er det maksimale antal cifre, der skal vises).”Selvom kravet ikke forbyder udskrivning af det fulde kortnummer eller udløbsdato på kvitteringer (enten købmandsekopien eller forbrugerkopien), skal du være opmærksom på, at PCI DSS ikke tilsidesætter andre love, der lovgiver, hvad der kan udskrives på kvitteringer (såsom U. S. Fair and Accurate Credit Transactions Act (FACTA) eller andre gældende love).

se kursiv note under PCI DSS krav 3.3 ” Note: Dette krav erstatter ikke strengere krav til visning af kortholderdata—for eksempel juridiske krav eller betalingskortmærkekrav til point of sale (POS) kvitteringer. Eventuelle papirkvitteringer, der er gemt af købmænd, skal overholde PCI DSS, især krav 9 vedrørende fysisk sikkerhed”. Kilde: PCI SSC

Tilbage til toppen

spørgsmål 23: har jeg brug for sårbarhedsscanning for at validere overholdelse?

A: Hvis du kvalificerer dig til bestemte spørgeskemaer til selvvurdering, eller hvis du elektronisk gemmer kortindehaverdatapostgodkendelse, kræves en kvartalsscanning af en PCI SSC-godkendt Scanningsleverandør (ASV) for at opretholde overholdelse. Hvis du kvalificerer dig til en af følgende sav ‘ er under version 3.en passerende ASV-scanning:

  • SAK A-EP
  • SAK B-IP
  • SAK C
  • Sak D-Merchant
  • SAK D-Service Provider

Tilbage til toppen

spørgsmål 24: Hvad er en sårbarhedsscanning?

A: En sårbarhedsscanning involverer et automatiseret værktøj, der kontrollerer en købmand eller tjenesteudbyders systemer for sårbarheder. Værktøjet vil foretage en ikke-påtrængende scanning for at fjernovervåge netværk og internetapplikationer baseret på de eksterne internetprotokoladresser (IP), der leveres af forhandleren eller tjenesteudbyderen. Scanningen identificerer sårbarheder i operativsystemer, tjenester og enheder, der kan bruges af hackere til at målrette virksomhedens private netværk. Som leveret af en godkendt Scanningsleverandør (ASV ‘ er) som ControlScan, kræver scanningen ikke, at forhandleren eller tjenesteudbyderen installerer noget program på deres systemer, og der udføres ingen denial-of-service-angreb. Læs mere om sårbarhedsscanninger her.

Tilbage til toppen

spørgsmål 25: hvor ofte skal jeg have en sårbarhedsscanning?

A: hver 90.dag/en gang pr. kvartal skal de, der passer til ovenstående kriterier, indsende en bestået scanning. Forhandlere og tjenesteudbydere skal indsende overensstemmelsesdokumentation (vellykkede scanningsrapporter) i henhold til den tidsplan, der er fastlagt af deres erhverver. Scanninger skal udføres af en PCI SSC godkendt Scanning leverandør (ASV) såsom ControlScan.

SE relateret blogindlæg, “intern vs. ekstern Sårbarhedsscanning: hvorfor du har brug for begge dele.”

Tilbage til toppen

26. kvartal: hvad hvis min virksomhed nægter at samarbejde?

A: PCI er ikke i sig selv en lov. Standarden blev oprettet af de store kortmærker Visa, MasterCard, Discover, Ameks og JCB. Efter deres overtageres/tjenesteudbyderes skøn kan forhandlere, der ikke overholder PCI DSS, blive pålagt bøder, kortudskiftningsomkostninger, dyre retsmedicinske revisioner, brandskader osv., hvis der opstår en brudshændelse.

for en lille forudgående indsats og omkostninger for at overholde PCI DSS, hjælper du i høj grad med at reducere din risiko for at møde disse ekstremt ubehagelige og dyre konsekvenser. Lær, hvordan ControlScan hjælper med at forenkle PCI DSS.

Tilbage til toppen

27. kvartal: hvis jeg driver en virksomhed fra mit hjem, er jeg et seriøst mål for hackere?

A: Ja. Hjemmebrugere er uden tvivl de mest sårbare, simpelthen fordi de normalt ikke er godt beskyttet. Ved at vedtage en’ sti med mindst modstand ‘ – model vil ubudne gæster ofte nulstille hjemmebrugere – ofte udnytte deres altid-på bredbåndsforbindelser og typiske programmer til hjemmebrug som chat, internetspil og P2P-fildelingsapplikationer. Controlscans scanningstjeneste giver både hjemmebrugere og netværksadministratorer mulighed for at identificere og rette eventuelle sikkerhedssårbarheder på deres stationære eller bærbare computere.

SE relateret blogindlæg, “5 bedste fremgangsmåder til sikring af din lille forretning.”

Tilbage til toppen

spørgsmål 28: Hvad skal jeg gøre, hvis jeg er kompromitteret?

A: mens mange brud på betalingskortdata let kan forebygges, kan de og sker stadig for virksomheder i alle størrelser.

Hvis din lille eller mellemstore virksomhed har opdaget, at den er blevet overtrådt, er der mange gode ressourcer til at hjælpe dig med de næste trin. Vi anbefaler følgende:

  • Justitsministeriet, bedste praksis for Offerrespons og rapportering af cyberhændelser
  • PCI – Rådet, der reagerer på et databrud-en vejledning til hændelsesstyring
  • Electronic Transactions Association (eta), Data Breach Response: en ni-trins Guide til mindre købmænd

Tilbage til toppen

29. kvartal: har stater love, der kræver meddelelser om databrud til de berørte parter?

A: absolut. Californien er katalysatoren for rapportering af databrud til berørte parter. Staten implementerede sin lov om anmeldelse af brud i 2003, og nu har næsten alle stater en lignende lov på plads.

fra 12. April 2017, NCSL.org rapporter: otteogfyrre stater, District of Columbia, Guam, Puerto Rico og Jomfruøerne har vedtaget lovgivning, der kræver private, statslige eller uddannelsesmæssige enheder til at underrette enkeltpersoner om sikkerhedsbrud på oplysninger, der involverer personligt identificerbare oplysninger.

Tilbage til toppen