PCI Vanliga frågor
Välkommen till PCI Compliance Guide.
klicka på länkarna nedan för att hitta svar på vanliga frågor.
Q1: | vad är PCI? |
Q2: | till vem gäller PCI DSS? |
Q3: | Var hittar jag PCI Data Security Standard (PCI DSS)? |
Q4: | vad är PCI-överensstämmelsen ’nivåer’ och hur bestäms de? |
Q5: | vad måste ett litet till medelstort företag (Level 4 merchant) göra för att uppfylla PCI DSS-kraven? |
Q6: | Hur tar kreditkort via telefon arbete med PCI? |
Q7: | om jag bara accepterar kreditkort via telefon, gäller PCI DSS fortfarande för mig? |
Q8: | måste organisationer som använder processorer från tredje part vara PCI DSS-kompatibla? |
Q9: | mitt företag har flera platser, krävs Varje plats för att validera PCI-överensstämmelse? |
Q10: | vi gör bara e-handel. Vilken SAQ ska vi använda? |
Q11: | mitt företag lagrar inte kreditkortsdata så PCI-överensstämmelse gäller inte oss, eller hur? |
Q12: | finns betalkortstransaktioner i utrymme för PCI? |
Q13: | är jag PCI-kompatibel om jag har ett SSL-certifikat? |
Q14: | mitt företag vill lagra kreditkortsdata. Vilka metoder kan vi använda? |
Q15: | vilka är påföljderna för bristande efterlevnad? |
Q16: | vad definieras som ’kortinnehavardata’? |
Q17: | vad är definitionen av ’merchant’? |
Q18: | vad utgör en tjänsteleverantör? |
Q19: | vad utgör en betalningsansökan? |
Q20: | Vad är en betalningsgateway? |
Q21: | Vad är PA-DSS? |
Q22: | kan hela kreditkortsnumret skrivas ut på konsumentens kopia av kvittot? |
Q23: | behöver jag sårbarhetsskanning för att validera överensstämmelse? |
Q24: | Vad är en sårbarhetsskanning? |
Q25: | hur ofta måste jag ha en sårbarhetsskanning? |
Q26: | vad händer om mitt företag vägrar att samarbeta? |
Q27: | om jag driver ett företag från mitt hem, är jag ett allvarligt mål för hackare? |
Q28: | Vad ska jag göra om jag äventyras? |
Q29: | har stater lagar som kräver anmälningar om dataintrång till de berörda parterna? |
Q1: Vad är PCI?
a: Payment Card Industry Data Security Standard (PCI DSS) är en uppsättning säkerhetsstandarder som är utformade för att säkerställa att alla företag som accepterar, bearbetar, lagrar eller överför kreditkortsinformation upprätthåller en säker miljö.Payment Card Industry Security Standards Council (PCI SSC) lanserades den 7 September 2006 för att hantera den pågående utvecklingen av Payment Card Industry (PCI) säkerhetsstandarder med fokus på att förbättra betalkontosäkerheten under hela transaktionsprocessen. PCI DSS administreras och hanteras av PCI SSC (www.pcisecuritystandards.org), ett oberoende organ som skapades av de stora betalkortsmärkena (Visa, MasterCard, American Express, Discover och JCB.). Det är viktigt att notera att betalningsvarumärkena och förvärvarna är ansvariga för att upprätthålla efterlevnad, inte PCI-rådet. En kopia av PCI DSS finns här.
tillbaka till toppen
Q2: till vem gäller PCI DSS?
A: PCI DSS gäller alla organisationer, oavsett storlek eller antal transaktioner, som accepterar, överför eller lagrar kortinnehavardata.
tillbaka till toppen
Q3: Var hittar jag PCI Data Security Standard (PCI DSS)?
A: de nuvarande PCI DSS-dokumenten finns på PCI Security Standards Council-webbplatsen.
tillbaka till toppen
Q4: vad är PCI-överensstämmelsen ’nivåer’ och hur bestäms de?
A: alla handlare kommer att falla i en av de fyra handelsnivåerna baserat på Visa-transaktionsvolymen under en 12-månadersperiod. Transaktionsvolymen baseras på det sammanlagda antalet Visumtransaktioner (inklusive kredit, debet och förbetalt) från en Handlare som gör affärer som (’DBA’). I de fall ett handelsföretag har mer än en DBA, måste viseringsförvärvare överväga den sammanlagda volymen av transaktioner som lagras, bearbetas eller överförs av företagsenheten för att bestämma valideringsnivån. Om data inte aggregeras, så att företagsenheten inte lagrar, bearbetar eller överför kortinnehavardata på uppdrag av flera DBA, kommer förvärvarna att fortsätta att överväga DBA: s individuella transaktionsvolym för att bestämma valideringsnivån.
handelsnivåer som definieras av Visa:
handelsnivå | beskrivning |
1 | alla handlare — oavsett acceptanskanal — bearbetar över 6m visumtransaktioner per år. Alla handlare som Visa, efter eget gottfinnande, bestämmer bör uppfylla nivå 1-handelskraven för att minimera risken för visumsystemet. |
2 | alla handlare — oavsett acceptanskanal — bearbetar 1m till 6M Visumtransaktioner per år. |
3 | varje köpman bearbetning 20,000 till 1m visum e-handelstransaktioner per år. |
4 | alla handlare som behandlar färre än 20 000 Visumtransaktioner per år och alla andra handlare-oavsett acceptanskanal — behandlar upp till 1m Visumtransaktioner per år. |
* alla handlare som har drabbats av ett brott som resulterade i en kompromiss om kontodata kan eskaleras till en högre valideringsnivå.
tillbaka till toppen
Q5: Vad behöver ett litet till medelstort företag (level 4 merchant) göra för att uppfylla PCI DSS-kraven?
A: för att uppfylla kraven i PCI måste en Handlare slutföra följande steg:
- Bestäm vilket Självbedömningsformulär (SAQ) ditt företag ska använda för att validera överensstämmelse. Se diagrammet nedan för att hjälpa dig att välja. (Klicka på diagram för att förstora.)
- fyll i Självbedömningsformuläret enligt instruktionerna som den innehåller.
- komplett och få bevis på en passande sårbarhetsskanning med en PCI SSC-godkänd Skanningsleverantör (ASV). Obs skanning gäller inte för alla handlare. Det krävs för SAQ a-EP, SAQ B-IP, SAQ C, SAQ D-Merchant och SAQ D-tjänsteleverantör.
- fyll i relevant intyg om överensstämmelse i sin helhet (finns i SAQ-verktyget).
- skicka in SAQ, bevis på en godkänd skanning (om tillämpligt) och intyg om överensstämmelse, tillsammans med annan begärd dokumentation, till din förvärvare.
Läs vårt blogginlägg, ” PCI Basics / Quick Guide-Vad behöver små handlare göra för att uppnå PCI-överensstämmelse?”
tillbaka till toppen
Q6: hur fungerar kreditkort via telefon med PCI?
A: följande inlägg, ” Hur tar kreditkort via telefon arbete med PCI?”förklarar ditt PCI-efterlevnadsansvar när du tar kreditkortsinformation via telefon (t.ex. i ett callcenter). Observera att medan detta inlägg publicerades 2014 är det fortfarande relevant med den nuvarande versionen av PCI DSS.
tillbaka till toppen
Q7: Om jag bara accepterar kreditkort via telefon, gäller PCI DSS fortfarande för mig?
A: ja. Alla företag som lagrar, bearbetar eller överför betalkortsdata måste vara PCI-kompatibla.
tillbaka till toppen
Q8: måste organisationer som använder processorer från tredje part vara PCI DSS-kompatibla?
A: ja. Att bara använda ett tredjepartsföretag utesluter inte ett företag från PCI DSS-överensstämmelse. Det kan minska deras riskexponering och därmed minska ansträngningarna för att validera efterlevnaden. Det betyder dock inte att de kan ignorera PCI DSS.
tillbaka till toppen
Q9: Mitt företag har flera platser, krävs Varje plats för att validera PCI-överensstämmelse?
A: om dina företagsplatser behandlas under samma skatte-ID är du vanligtvis bara skyldig att validera en gång per år för alla platser. Och, skicka kvartalsvis passerar nätverksskanningar av en PCI SSC godkänd Scanning Vendor (ASV) för varje plats, om tillämpligt.
tillbaka till toppen
Q10: vi gör bara e-handel. Vilken SAQ ska vi använda?
A: Det beror på hur din kundvagn är inställd. Se PCI SAQ 3.1: e-handel alternativ förklaras.
tillbaka till toppen
Q11: Mitt företag lagrar inte kreditkortsdata så PCI-överensstämmelse gäller inte oss, eller hur?
A: om du accepterar kredit-eller betalkort som betalningsform gäller PCI-överensstämmelse för dig. Lagring av kortdata är riskabelt, så om du inte lagrar kortdata kan det vara lättare att bli säker och kompatibel.
tillbaka till toppen
Q12: finns betalkortstransaktioner i utrymme för PCI?
A: In-scope-kort inkluderar alla betalkort, kredit och förbetalda kort märkta med en av de fem Card association/brand-logotyperna som deltar i PCI SSC – American Express, Discover, JCB, MasterCard och Visa International.
tillbaka till toppen
Q13: är jag PCI-kompatibel om jag har ett SSL-certifikat?
A: Nej. SSL-certifikat skyddar inte en webbserver från skadliga attacker eller intrång. SSL-certifikat med hög säkerhet ger den första nivån av kundens säkerhet och trygghet som nedan, men det finns andra steg för att uppnå PCI-överensstämmelse. Se frågan ” Vad måste ett litet till medelstort företag (nivå 4-handlare) göra för att uppfylla PCI-kraven?”
- en säker anslutning mellan kundens webbläsare och webbservern
- validering av att webbplatsoperatörerna är en legitim, juridiskt ansvarig organisation
se relaterat blogginlägg, ” PCI DSS v3.1 och SSL: vad du ska göra nu.”
tillbaka till toppen
Q14: mitt företag vill lagra kreditkortsdata. Vilka metoder kan vi använda?
A: de flesta Handlare som behöver lagra kreditkortsdata gör det för återkommande fakturering. Det bästa sättet att lagra kreditkortsdata för återkommande fakturering är genom att använda en tredje part kreditkort vault och tokenization leverantör. Genom att använda ett valv tas kortdata bort från din besittning och du får tillbaka en ”token” som kan användas för återkommande fakturering. Genom att använda en tredje part flyttar du risken för att lagra kortdata till någon som är specialiserad på att göra det och har alla säkerhetskontroller på plats för att hålla kortdata säkra.
Om du behöver lagra kortdata själv är din bar för självbedömning mycket hög och du kan behöva ha en QSA (kvalificerad Säkerhetsbedömare) komma på plats och utföra en revision för att säkerställa att du har alla kontroller på plats som krävs för att uppfylla PCI DSS-specifikationerna.
se relaterat blogginlägg, ” kan vi säkert lagra kortdata för återkommande fakturering?”
tillbaka till toppen
Q15: vilka är påföljderna för bristande efterlevnad?
A: betalningsvarumärkena kan, efter eget gottfinnande, böta en förvärvande bank $5,000 till $100,000 per månad för PCI-överträdelser. Bankerna kommer sannolikt att passera denna böter tills den så småningom träffar Handlaren. Dessutom kommer banken sannolikt antingen att avsluta ditt förhållande eller öka transaktionsavgifterna. Påföljder diskuteras inte öppet eller publiceras allmänt, men de kan vara katastrofala för ett litet företag. Det är viktigt att vara bekant med ditt handelskontoavtal, vilket bör beskriva din exponering.
Läs mer om påföljderna för bristande efterlevnad i vårt blogginlägg, ” Hur kan dina PCI-Efterlevnadsinsatser i slutändan spara dina Affärspengar?”
tillbaka till toppen
Q16: Vad definieras som ’kortinnehavardata’?
A: PCI Security Standards Council (SSC) definierar ’kortinnehavardata’ som det fullständiga primära kontonumret (PAN) eller hela PAN tillsammans med något av följande element:
- kortinnehavarens namn
- utgångsdatum
- servicekod
känsliga autentiseringsdata, som också måste skyddas, innehåller fullständiga magnetremsdata, CAV2, CVC2, CVV2, CID, PINs, PIN blocks och mer.
tillbaka till toppen
Q17: vad är definitionen av’merchant’?
A: Vid tillämpningen av PCI DSS definieras en Handlare som en enhet som accepterar betalkort med logotyperna för någon av de fem medlemmarna i PCI SSC (American Express, Discover, JCB, MasterCard eller Visa) som betalning för varor och/eller tjänster. Observera att en Handlare som accepterar betalkort som betalning för varor och/eller tjänster också kan vara en tjänsteleverantör, om de sålda tjänsterna resulterar i lagring, bearbetning eller överföring av kortinnehavardata på uppdrag av andra handlare eller tjänsteleverantörer. Till exempel är en ISP en Handlare som accepterar betalkort för månatlig fakturering, men är också en tjänsteleverantör om den är värd för handlare som kunder. Källa: PCI SSC
tillbaka till toppen
Q18: vad utgör en tjänsteleverantör?
A: PCI SSC definierar en tjänsteleverantör på detta sätt:
”affärsenhet som inte är ett betalningsmärke, direkt involverat i bearbetning, lagring eller överföring av kortinnehavardata. Detta inkluderar också företag som tillhandahåller tjänster som kontrollerar eller kan påverka säkerheten för kortinnehavardata.”(Källa: www.pcisecuritystandards.org)
rollen ”merchant as a service provider” specificeras vidare av PCI SSC som ”en merchant som accepterar betalkort som betalning för varor och / eller tjänster…om de sålda tjänsterna resulterar i lagring, bearbetning eller överföring av kortinnehavardata på uppdrag av andra handlare eller tjänsteleverantörer.”Läs mer om hur du uppnår efterlevnad som tjänsteleverantör. Se vårt blogginlägg, ” PCI Compliance och tjänsteleverantören.”
tillbaka till toppen
Q19: vad utgör en betalningsansökan?
A: vad utgör en betalningsapplikation när det gäller PCI-efterlevnad? Termen betalningsansökan har en mycket bred betydelse i PCI. En betalningsapplikation är allt som lagrar, bearbetar eller överför kortdata elektroniskt. Detta innebär att allt från ett försäljningssystem (t.ex. Verifone swipe-terminaler, ALOHA-terminaler etc.) i en restaurang till en Webbplats E-handel kundvagn (t.ex. CreLoaded, osCommerce, etc) klassificeras alla som betalningsansökningar. Därför betraktas alla program som har utformats för att röra kreditkortsdata som en betalningsapplikation.
tillbaka till toppen
Q20: Vad är en betalningsgateway?
A: Betalnings gateways ansluta en Handlare till banken eller processor som fungerar som front-end anslutning till kort varumärken. De kallas gateways eftersom de tar många ingångar från en mängd olika applikationer och dirigerar dessa ingångar till lämplig bank eller processor. Gateways kommunicerar med banken eller processorn med hjälp av uppringda anslutningar, webbaserade anslutningar eller privatägda hyrda linjer.
tillbaka till toppen
Q21: Vad är PA-DSS?
A: PA-DSS hänvisar till Betalningsapplikationsdatasäkerhetsstandard som upprätthålls av PCI Security Standards Council (SSC) för att ta itu med den kritiska frågan om betalningsapplikationssäkerhet. Kraven inom PA-DSS är utformade för att säkerställa att leverantörer tillhandahåller produkter som stöder handlarnas ansträngningar för att upprätthålla PCI DSS-överensstämmelse och eliminera lagring av känsliga kortinnehavardata.
PCI SSC administrerar programmet för att validera betalningsapplikationernas överensstämmelse mot PA-DSS, och publicerar och upprätthåller en lista över PA-DSS-validerade applikationer. Se PCI säkerhetsstandarder för mer information. Se även vårt blogginlägg om den kritiska skillnaden mellan PCI DSS och PA-DSS här.
tillbaka till början
Q22: kan hela kreditkortsnumret skrivas ut på konsumentens kopia av kvittot?
A: PCI DSS-krav 3.3 anger ” Maskpan när den visas (de första sex och sista fyra siffrorna är det maximala antalet siffror som ska visas).”Även om kravet inte förbjuder utskrift av hela kortnumret eller utgångsdatumet på kvitton (antingen handlarkopian eller konsumentkopian), Observera att PCI DSS inte åsidosätter några andra lagar som lagstiftar vad som kan skrivas ut på kvitton (till exempel us Fair and Accurate Credit Transactions Act (FACTA) eller andra tillämpliga lagar).
se den kursiverade anteckningen under PCI DSS-krav 3.3 ” anmärkning: Detta krav ersätter inte strängare krav för visning av kortinnehavardata—till exempel juridiska eller betalkortsmärkeskrav för kassakvitton (POS). Alla papperskvitton som lagras av handlare måste följa PCI DSS, särskilt krav 9 angående fysisk säkerhet”. Källa: PCI SSC
tillbaka till toppen
Q23: behöver jag sårbarhetsskanning för att validera överensstämmelse?
A: Om du kvalificerar dig för vissa Självbedömningsformulär (SAQs) eller om du elektroniskt lagrar kortinnehavardata efter godkännande, krävs en kvartalsvis skanning av en PCI SSC-godkänd Skanningsleverantör (ASV) för att upprätthålla överensstämmelse. Om du kvalificerar dig för någon av följande SAQs under version 3.X av PCI DSS, då måste du ha en passande ASV-skanning:
- SAQ A-EP
- SAQ B-IP
- SAQ C
- SAQ D-Merchant
- SAQ D-tjänsteleverantör
tillbaka till toppen
Q24: Vad är en sårbarhetsskanning?
A: En sårbarhetsskanning innebär ett automatiserat verktyg som kontrollerar en handlare eller tjänsteleverantörs system för sårbarheter. Verktyget kommer att genomföra en icke-påträngande skanning för att fjärransluta granska nätverk och webbapplikationer baserat på de externa Internet protocol-adresserna (IP) som tillhandahålls av handlaren eller tjänsteleverantören. Skanningen identifierar sårbarheter i operativsystem, tjänster och enheter som kan användas av hackare för att rikta företagets privata nätverk. Som tillhandahålls av en godkänd Skanningsleverantör (ASV) som ControlScan, kräver skanningen inte att handlaren eller tjänsteleverantören installerar någon programvara på sina system, och inga överbelastningsattacker kommer att utföras. Läs mer om sårbarhetsskanningar här.
tillbaka till toppen
Q25: hur ofta måste jag ha en sårbarhetsskanning?
A: var 90: e dag/en gång per kvartal måste de som uppfyller ovanstående kriterier skicka in en godkänd skanning. Handlare och tjänsteleverantörer bör lämna in efterlevnadsdokumentation (framgångsrika skanningsrapporter) enligt den tidsplan som fastställts av förvärvaren. Skanningar måste utföras av en PCI SSC-godkänd Skanningsleverantör (ASV) som ControlScan.
se relaterat blogginlägg, ” interna vs. externa sårbarhetsskanningar: varför du behöver båda.”
tillbaka till början
Q26: vad händer om mitt företag vägrar att samarbeta?
A: PCI är inte i sig en lag. Standarden skapades av de stora kortmärkena Visa, MasterCard, Discover, AMEX och JCB. Efter deras förvärvares/tjänsteleverantörers bedömning kan handlare som inte följer PCI DSS bli föremål för böter, kortersättningskostnader, kostsamma rättsmedicinska revisioner, varumärkesskador etc., om en överträdelse inträffar.
för lite ansträngning och kostnad för att följa PCI DSS, hjälper du till att minska risken för att möta dessa extremt obehagliga och kostsamma konsekvenser. Lär dig hur ControlScan hjälper till att förenkla PCI DSS.
tillbaka till början
Q27: om jag driver ett företag från mitt hem, är jag ett allvarligt mål för hackare?
A: ja. Hemanvändare är förmodligen de mest utsatta helt enkelt för att de vanligtvis inte är väl skyddade. Anta en ’path of least resistance’ modell, inkräktare kommer ofta noll-in på hemanvändare – ofta utnyttja sina alltid-på bredbandsanslutningar och typiska hemanvändning program som chatt, Internetspel och P2P fildelningsprogram. Controlscans skanningstjänst gör det möjligt för hemanvändare och nätverksadministratörer att identifiera och åtgärda eventuella säkerhetsproblem på sina stationära eller bärbara datorer.
se relaterat blogginlägg, ” 5 bästa praxis för att säkra din lilla Biz.”
tillbaka till toppen
Q28: Vad ska jag göra om jag äventyras?
A: medan många betalkortsdataöverträdelser lätt kan förebyggas, kan de och händer fortfarande med företag av alla storlekar.
Om ditt små eller medelstora företag har upptäckt att det har brutits, finns det många bra resurser för att hjälpa dig med nästa steg. Vi rekommenderar följande:
- justitiedepartementet, bästa praxis för Offerrespons och rapportering av cyberincidenter
- PCI-rådet, svara på ett dataintrång – en guide för incidenthantering
- Electronic Transactions Association (ETA), dataintrång svar: En nio steg Guide för mindre handlare
tillbaka till toppen
Q29: har stater lagar som kräver anmälningar om dataintrång till de berörda parterna?
a: absolut. Kalifornien är katalysatorn för rapportering av dataintrång till berörda parter. Staten genomförde sin lag om överträdelseanmälan 2003, och nu har nästan alla stater en liknande lag på plats.
Från och med den 12 April 2017, NCSL.org rapporter: fyrtioåtta stater, District Of Columbia, Guam, Puerto Rico och Jungfruöarna har antagit lagstiftning som kräver att privata, statliga eller utbildningsenheter meddelar individer om säkerhetsbrott mot information som involverar personligt identifierbar information.
tillbaka till toppen
Leave a Reply