谁是PCI,我为什么要关心?信用卡业务的主要参与者(Visa,万事达卡,美国运通,Discover和JCB)已联合起来减少信用卡数据丢失。他们创建了支付卡行业安全标准委员会,该委员会建立了持卡人数据安全性标准,并将其发布为PCI数据安全标准(PCI DSS)。 理事会没有法律授权,各个卡公司均以自己的方式应用数据安全标准,但是最终,如果您的公司希望进行信用卡(或借记卡)交易,则必须遵守标准。 什么是支付卡行业(PCI)DSS合规性?所有接受,存储,处理或传输信用卡信息的公司都必须报告其是否遵守数据安全标准(DSS)。如果您的公司接受卡或存储或传输持卡人信息,则它需要满足卡公司在DSS中规定的安全要求。 每年都有数以百万计的电子信用卡记录被盗,几乎所有的数据丢失都是黑客发现并利用了网站,Web应用程序,Web和数据库服务器或网络中相对众所周知和可以理解的弱点(漏洞)的结果。因此,从理论上讲,如果所有处理卡数据的企业都发现并消除了它们的漏洞,那么卡数据的丢失将减少。
为了符合PCI,我们需要做什么?首先,它取决于它每年接受,存储,处理或传输多少笔信用卡交易。根据音量分为4级。根据贵公司对信用卡数据的处理方式以及如何获取,存储和传输信用卡数据,每个级别中可能会有不同的法规遵从版本。 级别4-每年少于20,000笔交易:如果一家企业以电子方式存储信用卡持有人的信息,或者其处理系统具有互联网连接能力,则必须;
3级 -每年20,000至1百万笔交易:
2级 -1到600万笔交易:
1-600万级交易:
PCI合规性费用是多少?如果我们的供应商符合PCI标准,不是吗?抱歉,没有。贵公司需要通过完成适当的自我评估调查表,确保由认可的扫描供应商进行的定期扫描并提交符合性证明来证明PCI DSS符合性。好消息是,如果卡数据仅由供应商处理,则问卷很简短,并且很容易完成所有合规性步骤。 我们的公司可以做什么来满足PCI标准?实际上有点。根据其大小及其处理卡信息的方式,可能根本不需要做很多事情。如果一家公司确实在纸上印制了卡片,那么除了保持会计数据的安全和锁好门外,可能不需要做其他任何事情。所有其他公司至少需要做一次自我评估调查表和合规证明。 大多数PCI合规性将涉及由认可的扫描供应商进行常规的网络或网站扫描。级别1,非常大的公司也需要获得合格安全评估员的协助才能进行年度现场评估。每年处理少于600万张卡交易的公司应该能够完全满足PCI合规性标准,而他们自己的员工可以通过一些工作并获得认可的扫描供应商的协助。 我们可以做自己的自我评估问卷吗?是的,自我评估调查问卷的名称很明确,旨在由您自己的员工填写。将所有Web应用程序,卡数据处理和服务器功能外包的公司将要做的最少。编写自己的代码并管理自己的数据存储的公司将需要技术人员的一些投入。第一次处理将花费最长的时间,随后的申请会更快。 问卷有多种版本。有些只有几页长,可以在不到一个小时的时间内完成,包括所需的所有阅读。 什么是PCI DSS合规性证明?如果公司以电子方式处理信用卡数据,则必须每年证明其符合《数据安全标准》。这涉及交付两个或三个项目的包装:
|
