Întrebări frecvente PCI
Bine ați venit la ghidul de conformitate PCI.
Faceți clic pe linkurile de mai jos pentru a găsi răspunsuri la întrebările frecvente.
Q1: | ce este PCI? |
Q2: | cui se aplică PCI DSS? |
Q3: | unde pot găsi standardul de securitate a datelor PCI (PCI DSS)? |
Q4: | care sunt nivelurile de conformitate PCI și cum sunt acestea determinate? |
Q5: | ce trebuie să facă o afacere mică și medie (comerciant de nivel 4) pentru a satisface cerințele PCI DSS? |
Q6: | cum funcționează preluarea cardurilor de credit prin telefon cu PCI? |
Q7: | dacă accept doar carduri de credit prin telefon, PCI DSS se aplică în continuare pentru mine? |
Q8: | organizațiile care utilizează procesoare terțe trebuie să fie compatibile cu PCI DSS? |
Q9: | afacerea mea are mai multe locații, este necesară fiecare locație pentru a valida conformitatea PCI? |
Q10: | facem doar comerț electronic. Ce SAQ ar trebui să folosim? |
Q11: | compania mea nu stochează datele cardului de credit, astfel încât conformitatea PCI nu se aplică la noi, nu? |
Q12: | sunt tranzacțiile cu carduri de debit în domeniul PCI? |
Q13: | sunt compatibil PCI dacă am un certificat SSL? |
Q14: | compania mea vrea să stocheze datele cardului de credit. Ce metode putem folosi? |
Q15: | care sunt sancțiunile pentru neconformitate? |
Q16: | ce este definit ca’datele deținătorului cardului’? |
Q17: | care este definiția ‘comerciant’? |
Q18: | ce constituie un furnizor de servicii? |
Q19: | ce constituie o cerere de plată? |
Q20: | ce este un gateway de plată? |
Q21: | ce este PA-DSS? |
Q22: | numărul complet al cardului de credit poate fi tipărit pe copia de pe chitanță a consumatorului? |
Q23: | am nevoie de scanare vulnerabilitate pentru a valida conformitatea? |
Q24: | ce este o Scanare vulnerabilitate? |
Q25: | cât de des trebuie să am o scanare a vulnerabilității? |
Q26: | ce se întâmplă dacă afacerea mea refuză să coopereze? |
Q27: | dacă conduc o afacere de acasă, sunt o țintă serioasă pentru hackeri? |
Q28: | ce ar trebui să fac dacă sunt compromis? |
Q29: | statele au legi care impun notificări de încălcare a datelor părților afectate? |
Q1: Ce este PCI?
A: standardul de securitate a datelor din industria cardurilor de plată (PCI DSS) este un set de standarde de securitate concepute pentru a se asigura că toate companiile care acceptă, procesează, stochează sau transmit informații despre cardul de credit mențin un mediu sigur.Consiliul Standardelor de securitate pentru industria cardurilor de plată (PCI SSC) a fost lansat pe 7 septembrie 2006 pentru a gestiona evoluția continuă a standardelor de securitate pentru industria cardurilor de plată (PCI), cu accent pe îmbunătățirea securității contului de plăți pe tot parcursul procesului de tranzacție. PCI DSS este administrat și gestionat de PCI SSC (www.pcisecuritystandards.org), un organism independent care a fost creat de marile mărci de carduri de plată (Visa, MasterCard, American Express, Discover și JCB.). Este important să rețineți că mărcile de plată și achizitorii sunt responsabili pentru aplicarea conformității, nu Consiliul PCI. O copie a PCI DSS este disponibilă aici.
Înapoi sus
Q2: cui se aplică PCI DSS?
a: PCI DSS se aplică oricărei organizații, indiferent de mărimea sau numărul de tranzacții, care acceptă, transmite sau stochează orice date ale deținătorului cardului.
Înapoi sus
Q3: Unde pot găsi standardul de securitate a datelor PCI (PCI DSS)?
A: documentele actuale PCI DSS pot fi găsite pe site-ul PCI Security Standards Council.
înapoi la început
Q4: care sunt nivelurile de conformitate PCI și cum sunt acestea determinate?
A: toți comercianții se vor încadra într-unul dintre cele patru niveluri de comercianți pe baza volumului tranzacțiilor Visa pe o perioadă de 12 luni. Volumul tranzacțiilor se bazează pe numărul total de tranzacții Visa (inclusiv credit, debit și preplătit) de la un comerciant care desfășoară activități comerciale ca (‘DBA’). În cazurile în care o societate comercială are mai mult de un DBA, achizitorii de viză trebuie să ia în considerare volumul agregat al tranzacțiilor stocate, procesate sau transmise de entitatea corporativă pentru a determina nivelul de validare. Dacă datele nu sunt agregate, astfel încât entitatea corporativă nu stochează, prelucrează sau transmite datele deținătorului cardului în numele mai multor DBA, achizitorii vor continua să ia în considerare volumul individual al tranzacției DBA pentru a determina nivelul de validare.
nivelurile comercianților definite de Visa:
nivel comerciant | descriere |
1 | orice comerciant — indiferent de canalul de acceptare — procesează peste 6 milioane de tranzacții Visa pe an. Orice comerciant pe care Visa, la discreția sa, îl determină trebuie să îndeplinească cerințele comerciantului de nivel 1 pentru a minimiza riscul pentru sistemul Visa. |
2 | orice comerciant — indiferent de canalul de acceptare — procesează tranzacții Visa de la 1m la 6M pe an. |
3 | orice comerciant de prelucrare 20.000 la 1m Visa tranzacții de e-commerce pe an. |
4 | orice comerciant care procesează mai puțin de 20.000 de tranzacții Visa e-commerce pe an și toți ceilalți comercianți — indiferent de canalul de acceptare — procesează până la 1m tranzacții Visa pe an. |
* orice comerciant care a suferit o încălcare care a dus la un compromis de date de cont poate fi escaladat la un nivel de validare mai ridicat.
înapoi la început
Q5: ce trebuie să facă o afacere mică și medie (comerciant de nivel 4) pentru a satisface cerințele PCI DSS?
A: pentru a satisface cerințele PCI, un comerciant trebuie să parcurgă următorii pași:
- determinați ce chestionar de autoevaluare (SAQ) ar trebui să utilizeze afacerea dvs. pentru a valida conformitatea. Vedeți graficul de mai jos pentru a vă ajuta să selectați. (Faceți clic pe diagramă pentru a mări.)
- completați chestionarul de autoevaluare conform instrucțiunilor pe care le conține.
- completați și obțineți dovezi ale unei scanări de vulnerabilitate care trece cu un furnizor de scanare PCI SSC aprobat (ASV). Notă scanarea nu se aplică tuturor comercianților. Este necesar pentru SAQ a-EP, SAQ B-IP, SAQ C, SAQ D-comerciant și SAQ D-furnizor de servicii.
- completează atestarea relevantă de conformitate în întregime (localizată în instrumentul SAQ).
- trimiteți SAQ, dovada unei scanări de trecere (dacă este cazul) și atestarea conformității, împreună cu orice altă documentație solicitată, achizitorului dvs.
citiți postarea noastră pe blog, „elementele de bază PCI / Ghidul rapid – Ce trebuie să facă comercianții mici pentru a obține conformitatea PCI?”
înapoi la început
Q6: cum se iau carduri de credit prin telefon de lucru cu PCI?
A: următoarea postare, ” cum funcționează cardurile de Credit prin telefon cu PCI?”explică responsabilitățile dvs. de conformitate PCI atunci când luați informații despre cardul de credit prin telefon (de exemplu, într-un call center). Rețineți că, deși acest post a fost publicat în 2014, este încă relevant cu versiunea actuală a PCI DSS.
Înapoi sus
Q7: Dacă accept doar carduri de credit prin telefon, PCI DSS se aplică în continuare pentru mine?
A: da. Toate afacerile care stochează, procesează sau transmit datele deținătorului cardului de plată trebuie să fie conforme cu PCI.
înapoi la început
Q8: organizațiile care utilizează procesoare terțe trebuie să fie compatibile cu PCI DSS?
A: da. Simpla utilizare a unei companii terțe nu exclude o companie de la conformitatea PCI DSS. Aceasta poate reduce expunerea la risc și, prin urmare, poate reduce efortul de validare a conformității. Cu toate acestea, aceasta nu înseamnă că pot ignora PCI DSS.
Înapoi sus
Q9: Afacerea mea are mai multe locații, este necesară fiecare locație pentru a valida conformitatea PCI?
A: Dacă locațiile companiei dvs. procesează sub același cod fiscal, atunci de obicei vi se cere să validați doar o dată pe an pentru toate locațiile. Și, să prezinte scanări de rețea care trece trimestrial de către un furnizor de scanare PCI SSC aprobat (ASV) pentru fiecare locație, dacă este cazul.
înapoi la început
Q10: facem doar comerț electronic. Ce SAQ ar trebui să folosim?
A: depinde de modul în care este configurat coșul de cumpărături. A se vedea PCI SAQ 3.1: Opțiuni de e-Commerce a explicat.
Înapoi sus
Q11: Compania mea nu stochează datele cardului de credit, astfel încât conformitatea PCI nu se aplică pentru noi, nu?
A: Dacă acceptați carduri de credit sau de debit ca formă de plată, atunci conformitatea PCI se aplică pentru dvs. Stocarea datelor cardului este riscantă, deci dacă nu stocați datele cardului, atunci devine sigur și compatibil poate fi mai ușor.
înapoi la început
Q12: sunt tranzacțiile cu carduri de debit în domeniul PCI?
A: Cardurile în domeniu includ orice carduri de debit, credit și preplătite marcate cu unul dintre cele cinci logo-uri ale Asociației de carduri/mărci care participă la PCI SSC – American Express, Discover, JCB, MasterCard și Visa International.
înapoi la început
Q13: sunt compatibil PCI dacă am un certificat SSL?
A: nu. Certificatele SSL nu protejează un server web de atacuri sau intruziuni rău intenționate. Certificatele SSL de înaltă asigurare oferă primul nivel de securitate și reasigurare a clienților, cum ar fi cele de mai jos, dar există și alți pași pentru a obține conformitatea PCI. A se vedea întrebarea „Ce trebuie să facă o afacere mică și medie (comerciant de nivel 4) pentru a satisface cerințele PCI?”
- o conexiune securizată între browser-ul clientului și serverul de web
- validarea că operatorii site-ului sunt o organizație legitimă, legal responsabil
A se vedea blog legate de post, ” PCI DSS v3.1 și SSL: ce ar trebui să faci acum.”
Înapoi la început
Q14: compania mea vrea să stocheze datele cardului de credit. Ce metode putem folosi?
A: Majoritatea comercianților care trebuie să stocheze datele cardului de credit o fac pentru facturare recurentă. Cel mai bun mod de a stoca datele cardului de credit pentru facturarea recurentă este prin utilizarea unui terț seif de card de credit și furnizor de tokenizare. Prin utilizarea unui seif, datele cardului sunt eliminate din posesia dvs. și vi se oferă un „jeton” care poate fi utilizat în scopul facturării recurente. Folosind o terță parte, mutați riscul de stocare a datelor cardului către cineva specializat în acest sens și are toate controalele de securitate pentru a păstra datele cardului în siguranță.
dacă trebuie să stocați datele cardului dvs., bara dvs. de autoevaluare este foarte mare și poate fi necesar ca un QSA (Evaluator de securitate calificat) să vină la fața locului și să efectueze un audit pentru a vă asigura că aveți toate controalele necesare pentru a îndeplini specificațiile PCI DSS.
A se vedea legate de post pe blog, „putem stoca în siguranță datele cardului pentru facturare recurente?”
Înapoi sus
Q15: care sunt sancțiunile pentru neconformitate?
A: mărcile de plată pot, la discreția lor, să amendeze o bancă achizitoare între 5.000 și 100.000 USD pe lună pentru încălcări ale conformității PCI. Băncile vor trece cel mai probabil această amendă până când în cele din urmă va lovi comerciantul. În plus, banca va încheia, de asemenea, cel mai probabil relația dvs. sau va crește taxele de tranzacție. Sancțiunile nu sunt discutate în mod deschis și nici mediatizate pe scară largă, dar pot fi catastrofale pentru o afacere mică. Este important să vă familiarizați cu acordul contului dvs. de comerciant, care ar trebui să vă contureze expunerea.
citiți mai multe despre sancțiunile pentru neconformitate în postarea noastră pe blog, „Cum pot eforturile dvs. de conformitate PCI să vă economisească în cele din urmă banii afacerii?”
Înapoi sus
Q16: Ce este definit ca’datele deținătorului cardului’?
a: PCI Security Standards Council (SSC) definește ‘datele deținătorului cardului’ ca număr de cont primar complet (PAN) sau PAN complet împreună cu oricare dintre următoarele elemente:
- numele deținătorului cardului
- data expirării
- codul de serviciu
datele de autentificare sensibile, care trebuie, de asemenea, protejate, includ date complete cu bandă magnetică, CAV2, CVC2, CVV2, CID, PINs, pin blocks și multe altele.
înapoi la început
Q17: care este definiția ‘comerciant’?
A: În sensul PCI DSS, un comerciant este definit ca orice entitate care acceptă carduri de plată care poartă logo-urile oricăruia dintre cei cinci membri ai PCI SSC (American Express, Discover, JCB, MasterCard sau Visa) ca plată pentru bunuri și/sau servicii. Rețineți că un comerciant care acceptă carduri de plată ca plată pentru bunuri și/sau servicii poate fi, de asemenea, un furnizor de servicii, dacă serviciile vândute au ca rezultat stocarea, prelucrarea sau transmiterea datelor deținătorului cardului în numele altor comercianți sau furnizori de servicii. De exemplu, un ISP este un comerciant care acceptă carduri de plată pentru facturarea lunară, dar este și un furnizor de servicii dacă găzduiește comercianți ca clienți. Sursa: PCI SSC
Înapoi sus
Q18: ce constituie un furnizor de servicii?
a: PCI SSC definește un furnizor de servicii în acest fel:
„entitate comercială care nu este o marcă de plată, implicată direct în procesarea, stocarea sau transmiterea datelor deținătorului cardului. Aceasta include, de asemenea, companiile care furnizează servicii care controlează sau ar putea afecta securitatea datelor deținătorului cardului.”(Sursa: www.gărzile de securitate ale PC-ului.org)
rolul „comerciant ca furnizor de servicii” este specificat în continuare de PCI SSC ca „comerciant care acceptă carduri de plată ca plată pentru bunuri și / sau servicii…dacă serviciile vândute au ca rezultat stocarea, prelucrarea sau transmiterea datelor deținătorului cardului în numele altor comercianți sau furnizori de servicii.”Aflați mai multe despre cum să obțineți conformitatea ca furnizor de servicii. A se vedea blog-ul nostru post, „conformitatea PCI și furnizorul de servicii.”
Înapoi sus
Q19: ce constituie o cerere de plată?
A: ce constituie o cerere de plată în ceea ce privește conformitatea PCI? Aplicația de plată pe termen lung are un înțeles foarte larg în PCI. O aplicație de plată este orice lucru care stochează, procesează sau transmite electronic datele cardului. Aceasta înseamnă că orice dintr-un sistem de puncte de vânzare (de exemplu, terminale de glisare Verifone, terminale ALOHA etc.) într-un restaurant la un site de e-commerce coș de cumpărături (de exemplu, CreLoaded, osCommerce, etc) sunt toate clasificate ca aplicații de plată. Prin urmare, orice software care a fost conceput pentru a atinge datele cardului de credit este considerat o aplicație de plată.
Înapoi sus
Q20: ce este un gateway de plată?
A: Gateway-urile de plată conectează un comerciant la bancă sau procesor care acționează ca conexiune front-end la mărcile de carduri. Acestea sunt numite gateway-uri, deoarece iau multe intrări dintr-o varietate de aplicații diferite și direcționează aceste intrări către banca sau procesorul corespunzător. Gateway-urile comunică cu banca sau procesorul folosind conexiuni dial-up, conexiuni bazate pe web sau linii închiriate private.
Înapoi sus
Q21: ce este PA-DSS?
A: PA-DSS se referă la standardul de securitate a datelor aplicației de plată menținut de Consiliul Standardelor de securitate PCI (SSC) pentru a aborda problema critică a securității aplicației de plată. Cerințele din cadrul PA-DSS sunt concepute pentru a se asigura că furnizorii furnizează produse care susțin eforturile comercianților de a menține conformitatea PCI DSS și de a elimina stocarea datelor sensibile ale titularului cardului.
PCI SSC administrează programul pentru a valida conformitatea aplicațiilor de plată cu PA-DSS și publică și menține o listă de aplicații validate PA-DSS. Consultați standardele de securitate PCI pentru mai multe informații. De asemenea, a se vedea blog-ul nostru pe diferența critică dintre PCI DSS și PA-DSS aici.
înapoi la început
Q22: poate fi tipărit numărul complet al cardului de credit pe copia de pe chitanță a consumatorului?
A: PCI DSS cerință 3.3 Statele „masca PAN atunci când este afișat (primele șase și ultimele patru cifre sunt numărul maxim de cifre care urmează să fie afișate).”În timp ce cerința nu interzice imprimarea numărului complet al cardului sau a datei de expirare pe chitanțe (fie copia comerciantului, fie copia consumatorului), vă rugăm să rețineți că PCI DSS nu înlocuiește alte legi care legiferează ceea ce poate fi tipărit pe chitanțe (cum ar fi Legea privind tranzacțiile de Credit corecte și exacte din SUA (FACTA) sau orice alte legi aplicabile).
A se vedea nota cursiv sub cerința PCI DSS 3.3 ” notă: Această cerință nu înlocuiește cerințele mai stricte în vigoare pentru afișarea datelor deținătorului cardului—de exemplu, cerințele legale sau cerințele privind marca cardului de plată pentru chitanțele de la punctul de vânzare (POS). Orice chitanțe de hârtie stocate de comercianți trebuie să respecte PCI DSS, în special cerința 9 privind securitatea fizică”. Sursa: PCI SSC
Înapoi sus
Q23: am nevoie de scanare vulnerabilitate pentru a valida conformitatea?
A: Dacă vă calificați pentru anumite chestionare de autoevaluare (SAQ) sau stocați electronic datele deținătorului cardului după autorizare, atunci este necesară o Scanare trimestrială de către un furnizor de scanare aprobat PCI SSC (ASV) pentru a menține conformitatea. Dacă vă calificați pentru oricare dintre următoarele SAQ-uri în conformitate cu versiunea 3.X a PCI DSS, atunci vi se cere să aibă o Scanare ASV trecere:
- SAQ a-EP
- SAQ B-IP
- SAQ C
- SAQ D-Merchant
- SAQ D-Service Provider
înapoi la început
Q24: ce este o Scanare vulnerabilitate?
A: O scanare a vulnerabilităților implică un instrument automat care verifică vulnerabilitățile sistemelor unui comerciant sau furnizor de servicii. Instrumentul va efectua o scanare non-intruzivă pentru a revizui de la distanță rețelele și aplicațiile web pe baza adreselor IP (Internet protocol) externe furnizate de comerciant sau de furnizorul de servicii. Scanarea identifică vulnerabilitățile din sistemele de operare, serviciile și dispozitivele care ar putea fi utilizate de hackeri pentru a viza rețeaua privată a companiei. Așa cum este furnizat de un furnizor de scanare aprobat (ASV), cum ar fi ControlScan, scanarea nu necesită comerciantului sau furnizorului de servicii să instaleze niciun software pe sistemele lor și nu vor fi efectuate atacuri de tip denial-of-service. Aflați mai multe despre scanările de vulnerabilități aici.
înapoi la început
Q25: cât de des trebuie să fac o scanare a vulnerabilității?
A: la fiecare 90 de zile / o dată pe trimestru, cei care îndeplinesc criteriile de mai sus trebuie să prezinte o scanare de trecere. Comercianții și furnizorii de servicii trebuie să prezinte documentația de conformitate (rapoarte de scanare reușite) în conformitate cu calendarul stabilit de achizitorul lor. Scanările trebuie efectuate de un furnizor de scanare aprobat PCI SSC (ASV), cum ar fi ControlScan.
A se vedea legate de post pe blog, „intern vs.extern vulnerabilitate scanează: De ce ai nevoie de ambele.”
înapoi la început
Q26: ce se întâmplă dacă afacerea mea refuză să coopereze?
a: PCI nu este, în sine, o lege. Standardul a fost creat de marile mărci de carduri Visa, MasterCard, Discover, AMEX și JCB. La discreția achizitorilor/furnizorilor de servicii, comercianții care nu respectă PCI DSS pot fi supuși amenzilor, costurilor de înlocuire a cardului, auditurilor medico-legale costisitoare, deteriorării mărcii etc., în cazul în care apare un eveniment de încălcare.
pentru un pic de efort în avans și costuri pentru a se conforma cu PCI DSS, vă ajuta foarte mult reduce riscul de a face față acestor consecințe extrem de neplăcute și costisitoare. Aflați cum ControlScan ajută la simplificarea PCI DSS.
înapoi la început
Q27: dacă conduc o afacere de acasă, sunt o țintă serioasă pentru hackeri?
A: da. Utilizatorii casnici sunt, fără îndoială, cei mai vulnerabili pur și simplu pentru că de obicei nu sunt bine protejați. Adoptând un model’ path of less resistance’, intrușii vor intra adesea în utilizatorii casnici-exploatând adesea conexiunile lor în bandă largă și programele tipice de uz casnic, cum ar fi chat-ul, jocurile pe Internet și aplicațiile de partajare a fișierelor P2P. Serviciul de scanare ControlScan permite utilizatorilor casnici și administratorilor de rețea deopotrivă să identifice și să remedieze orice vulnerabilități de securitate pe computerele desktop sau laptop.
A se vedea legate de blog post, „5 Cele mai bune practici pentru asigurarea Biz dvs. mici.”
Back to Top
Q28: ce ar trebui să fac dacă sunt compromis?
A: în timp ce multe încălcări ale datelor cardului de plată sunt ușor de prevenit, ele pot și se întâmplă în continuare întreprinderilor de toate dimensiunile.dacă afacerea dvs. mică sau mijlocie a descoperit că a fost încălcată, există multe resurse bune pentru a vă ajuta cu pașii următori. Vă recomandăm următoarele:
- Departamentul de Justiție, cele mai bune practici pentru răspunsul victimelor și raportarea incidentelor cibernetice
- Consiliul PCI, răspunzând la o încălcare a datelor – Un ghid pentru gestionarea incidentelor
- Asociația tranzacțiilor electronice (ETA), răspunsul la încălcarea datelor: Un ghid în nouă pași pentru comercianții mai mici
înapoi la început
Q29: statele au legi care impun notificări privind încălcarea datelor părților afectate?
a: absolut. California este catalizatorul pentru raportarea încălcărilor datelor către părțile afectate. Statul a implementat Legea privind notificarea încălcărilor în 2003, iar acum aproape fiecare stat are o lege similară în vigoare.
Din 12 aprilie 2017, NCSL.org patruzeci și opt de state, Districtul Columbia, Guam, Puerto Rico și Insulele Virgine au adoptat o legislație care impune entităților private, guvernamentale sau educaționale să notifice persoanele cu privire la încălcarea securității informațiilor care implică informații de identificare personală.
Înapoi sus
Leave a Reply