Betalningskortindustrin Datasäkerhetsstandard (PCI DSS) är en uppsättning säkerhetsstandarder som är utformade för att säkerställa att företag som accepterar och behandlar kredit- och betalkortinformation gör det i en säker och säker miljö.
Oavsett vilken bransch du arbetar med eller vilken storlek du har, om du accepterar kortbetalningar och bearbetar, sänder och lagrar kortinnehavsuppgifter, måste du värd din data säkert med en värdleverantör som är kompatibel med PCI.
$config[code] not foundPCI Security Standards Council bildades 2006 av de fem stora kreditkorts varumärkena - American Express, Visa, MasterCard, Japanska kreditkontoret (JCB) och Discover. Medan varje kreditkortsmärke har sina egna överensstämmelseprogram är PCI-standarderna grunden för dem alla.
Även om rådet inte har någon rättslig auktoritet, om ditt företag avser att acceptera kredit- eller betalkortstransaktioner, måste den följa standarden för PCI.
Vad är PCI Compliance?
PCI består av en uppsättning av 12 specifika krav som täcker sex mål. Grundläggande mål är att maximera säkerheten i förhållande till betalningar och informera handlare om hur man blir säkrare. Och det innebär att bygga och upprätthålla ett säkert nätverk, skydda data för kortinnehavare och regelbundet testa och övervaka nätverken.
Du hittar fyra olika nivåer av PCI-efterlevnad beroende på volymen av transaktioner som din verksamhet handlar över en tolvmånadersperiod. Transaktionsvolymen härrör från det totala antalet visade transaktioner som gjorts, inklusive kredit-, betalkort och förbetalda korttransaktioner från en handlare som gör affärer som "DBA".
Om du säljer under mer än en DBA, bör du överväga den totala volymen transaktioner som behandlas, lagras eller överförs totalt för att bestämma din valideringsnivå.
Om ditt företag behandlar 20 000 transaktioner eller mindre varje år, eller om kortdata behandlas enbart av leverantörer som leverantörer av kortkortsleverantörer, kommer ditt företag att ha färre PCI-krav och kommer att klassificeras som nivå 4.
Om dina affärsprocesser mellan 20 000 och 1 miljon transaktioner per år kommer du att klassificeras som nivå 3. Företag som behandlar mellan 1 och 6 miljoner korttransaktioner under en tolvmånadersperiod klassificeras som nivå 2. Varje nivå tar med sig ett högre antal överensstämmelseskrav.
Nivå 1 tar med sig det största antalet krav på överensstämmelse som är reserverat för företag som behandlar 6 miljoner eller fler transaktioner per år eller lagrar egna kortdata, skriver egen kod och kör egna servrar.
Vad kommer PCI-efterlevnad att kosta mitt företag?
För en nivå 4-verksamhet med kreditkortsdata som lagras elektroniskt på sin webbplats eller bearbetningssystem med onlineanslutning, måste en godkänd skanningleverantör regelbundet slutföra en webbplats eller nätverkssökning. Företagets personal måste också fylla i ett självbedömningsformulär och intyg om överensstämmelse. Det kan kosta så lite som $ 60 per månad.
Om ditt företag är nivå 3 kan kostnaderna för en vanlig webbplats eller nätverkssökning av en godkänd avsökningsleverantör och slutförandet av det årliga självbedömningsformuläret och intyg om överensstämmelse stiga till 1 200 USD per år.
För nivå 2-företag kan denna kostnad klättra till mellan $ 10 000 och $ 50 000 per år, beroende på antalet IP-adresser och storleken på ditt nätverk.
För företag på nivå 1 för PCI-överensstämmelse kan kostnaderna sträcka sig från 50 000 dollar uppåt och involvera inte bara den vanliga nätverkssökningen av en godkänd avsökningsleverantör utan också en intyg om överensstämmelse och en årlig rapport om överensstämmelse av en kvalificerad säkerhetsbedömare.
Vad kan mitt företag göra för att möta PCI-krav?
Som föreslagits ovan, för att säkerställa PCI-överensstämmelse måste du få vanliga webbsidor eller nätverkssökningar gjorda av en godkänd avsökningsleverantör - oavsett vilken nivå ditt företag är klassificerat. Nivå 1-företag måste också biträdas av en kvalificerad säkerhetsbedömare för att genomföra årliga utvärderingar på plats.
För småföretag som hanterar mindre än 6 miljoner kredit- och betalkortstransaktioner per år kräver uppfyllande av PCI-överensstämmelseskrav helt endast hjälp av en godkänd avsökningsleverantör och ett visst arbete av egen personal.
Foto via Shutterstock
Mer i: Vad är kommentar ▼
