Το Πρότυπο Ασφαλείας Δεδομένων Καρτών Πληρωμών (PCI DSS) είναι ένα σύνολο προτύπων ασφαλείας σχεδιασμένων να διασφαλίζουν ότι οι επιχειρήσεις που αποδέχονται και επεξεργάζονται τις πληροφορίες πιστωτικών και χρεωστικών καρτών, το κάνουν σε ένα ασφαλές και ασφαλές περιβάλλον.
Όποια και αν είναι η βιομηχανία στην οποία δραστηριοποιείτε ή σε ποια επιχείρηση μεγέθους έχετε, εάν αποδεχτείτε πληρωμές με κάρτα και επεξεργαστείτε, μεταδώσετε και αποθηκεύσετε δεδομένα κατόχου κάρτας, πρέπει να φιλοξενήσετε τα δεδομένα σας με ασφάλεια με έναν πάροχο φιλοξενίας που είναι συμβατός με PCI.
$config[code] not foundΤο Συμβούλιο Προτύπων Ασφαλείας PCI δημιουργήθηκε το 2006 από τις πέντε μεγαλύτερες μάρκες πιστωτικών καρτών - American Express, Visa, MasterCard, Ιαπωνικά Credit Bureau (JCB) και Discover. Ενώ κάθε μάρκα πιστωτικής κάρτας έχει τα δικά της προγράμματα συμμόρφωσης, τα πρότυπα PCI είναι η βάση για όλα αυτά.
Ενώ το Συμβούλιο δεν έχει νομική εξουσία, εάν η επιχείρησή σας σκοπεύει να δεχτεί συναλλαγές με πιστωτικές ή χρεωστικές κάρτες, θα πρέπει να συμμορφωθεί με τα πρότυπα της PCI.
Τι είναι το PCI Compliance;
Το PCI περιλαμβάνει ένα σύνολο 12 ειδικών απαιτήσεων που καλύπτουν έξι στόχους. Οι θεμελιώδεις στόχοι είναι να μεγιστοποιηθεί η ασφάλεια σε σχέση με τις πληρωμές και να ενημερωθούν οι έμποροι για το πώς να γίνουν πιο ασφαλείς. Και αυτό σημαίνει δημιουργία και διατήρηση ενός ασφαλούς δικτύου, προστασία των δεδομένων των κατόχων καρτών και τακτική δοκιμή και παρακολούθηση των δικτύων.
Θα βρείτε τέσσερα διαφορετικά επίπεδα συμβατότητας με PCI, ανάλογα με τον όγκο των συναλλαγών που πραγματοποιεί η επιχείρησή σας σε περίοδο 12 μηνών. Ο όγκος συναλλαγών απορρέει από τον συνολικό αριθμό των συναλλαγών Visa που πραγματοποιήθηκαν, συμπεριλαμβανομένων των συναλλαγών με πιστωτικές, χρεωστικές και προπληρωμένες κάρτες από έναν έμπορο Doing Business As 'DBA'.
Εάν πουλάτε περισσότερα από ένα DBA, εξετάστε το συνολικό όγκο των συναλλαγών που υποβάλλονται σε επεξεργασία, αποθηκεύονται ή διαβιβάζονται γενικά για να προσδιορίσετε το επίπεδο επικύρωσης.
Εάν η επιχείρησή σας επεξεργάζεται 20.000 συναλλαγές ή λιγότερο κάθε χρόνο ή εάν τα δεδομένα της κάρτας επεξεργάζονται αποκλειστικά από πωλητές, όπως οι παροχείς καρτών αγορών, η επιχείρησή σας θα έχει λιγότερες απαιτήσεις PCI και θα κατατάσσεται ως Επίπεδο 4.
Εάν η επιχείρησή σας διεξάγει διεργασίες μεταξύ 20.000 και 1 εκατομμυρίων συναλλαγών ετησίως, θα ταξινομηθείτε ως Επίπεδο 3. Οι επιχειρήσεις που επεξεργάζονται μεταξύ 1 και 6 εκατομμυρίων συναλλαγών σε μια δωδεκάμηνη περίοδο, ταξινομούνται ως Επίπεδο 2. Κάθε επίπεδο φέρνει μαζί του έναν υψηλότερο αριθμό των απαιτήσεων συμμόρφωσης.
Το επίπεδο 1 φέρνει μαζί του τον μεγαλύτερο αριθμό απαιτήσεων συμμόρφωσης που επιφυλάσσονται στις επιχειρήσεις που επεξεργάζονται 6 εκατομμύρια συναλλαγές ετησίως ή αποθηκεύουν τα δικά τους δεδομένα καρτών, γράφοντας τον δικό τους κώδικα και τρέχοντας τους δικούς τους διακομιστές.
Τι θα συμμορφωθεί η PCI με το κόστος της επιχείρησής μου;
Για επιχειρηματική δραστηριότητα επιπέδου 4 με δεδομένα πιστωτικής κάρτας αποθηκευμένα ηλεκτρονικά στον ιστότοπό της ή συστήματα επεξεργασίας με σύνδεση στο διαδίκτυο, ένας εγκεκριμένος προμηθευτής σάρωσης πρέπει να ολοκληρώσει τακτικά μια σάρωση ιστοτόπου ή δικτύου. Το προσωπικό της επιχείρησης πρέπει επίσης να συμπληρώσει ένα ερωτηματολόγιο αυτοαξιολόγησης και βεβαίωση συμμόρφωσης. Αυτό θα μπορούσε να κοστίσει μόλις 60 δολάρια το μήνα.
Αν η επιχείρησή σας είναι επίπεδο 3, τα έξοδα που σχετίζονται με έναν κανονικό δικτυακό τόπο ή σάρωση δικτύου από έναν εγκεκριμένο προμηθευτή σάρωσης και η ολοκλήρωση του ετήσιου ερωτηματολογίου αυτοαξιολόγησης και της βεβαίωσης συμμόρφωσης ενδέχεται να ανέλθουν σε 1.200 δολάρια ετησίως.
Για τις επιχειρήσεις επιπέδου 2, το κόστος αυτό μπορεί να ανέλθει μεταξύ $ 10.000 και $ 50.000 ετησίως, ανάλογα με τον αριθμό των διευθύνσεων IP και το μέγεθος του δικτύου σας.
Για τις εταιρείες στο επίπεδο 1 της συμμόρφωσης με PCI, το κόστος μπορεί να κυμανθεί από $ 50.000 προς τα πάνω και περιλαμβάνει όχι μόνο την τακτική σάρωση δικτύου από έναν εγκεκριμένο προμηθευτή σάρωσης, αλλά και μια βεβαίωση συμμόρφωσης και μια ετήσια έκθεση συμμόρφωσης από έναν ειδικευμένο αξιολογητή ασφαλείας.
Τι μπορεί να κάνει η επιχείρησή μου για να ικανοποιήσει τις απαιτήσεις PCI;
Όπως προτείνεται παραπάνω, για να διασφαλιστεί η συμμόρφωση με την PCI, θα πρέπει να λαμβάνετε κανονικές σαρώσεις δικτυακών τόπων ή δικτύων που πραγματοποιούνται από έναν εγκεκριμένο προμηθευτή σάρωσης - ανεξάρτητα από το επίπεδο της ταξινόμησης της επιχείρησής σας. Οι εταιρείες επιπέδου 1 θα πρέπει επίσης να επικουρούνται από έναν ειδικευμένο αξιολογητή ασφαλείας για την πραγματοποίηση ετήσιων επιτόπιων αξιολογήσεων.
Για τις μικρές επιχειρήσεις που χειρίζονται λιγότερες από 6 εκατομμύρια συναλλαγές με πιστωτικές και χρεωστικές κάρτες ετησίως, η εκπλήρωση των προτύπων συμμόρφωσης με τα πρότυπα PCI απαιτεί μόνο τη βοήθεια ενός εγκεκριμένου προμηθευτή σάρωσης και κάποιου έργου από το προσωπικό σας.
Φωτογραφία μέσω Shutterstock
Περισσότερα στο: Τι είναι το σχόλιο ▼
