Betalingskortindustrien Datasikkerhetsstandard (PCI DSS) er et sett med sikkerhetsstandarder, designet for å sikre bedrifter som godtar og behandler kreditt- og debetkortinformasjon, gjør det i et trygt og sikkert miljø.
Uansett hvilken bransje du opererer i, eller hvilken størrelse bedrift du har, hvis du godtar kortbetalinger og prosess, overfører og lagrer kortinnehaverdata, må du verne dataene dine sikkert med en vertsleverandør som er PCI-kompatibel.
$config[code] not foundPCI Security Standards Council ble dannet i 2006 av de fem store kredittkortmerkene - American Express, Visa, MasterCard, Japanese Credit Bureau (JCB) og Discover. Mens hvert kredittkortmerke har sine egne overholdelsesprogrammer, er PCI-standardene grunnlaget for dem alle.
Mens rådet ikke har noen lovlig autorisasjon, vil virksomheten din ha til hensikt å godta kreditt- eller debetkorttransaksjoner, og det må følge kravene til PCI.
Hva er PCI Compliance?
PCI består av et sett med 12 spesifikke krav som dekker seks mål. Hovedmål er å maksimere sikkerheten i forhold til betalinger og å informere selgere om hvordan man blir tryggere. Og dette betyr å bygge og vedlikeholde et sikkert nettverk, beskytte dataene til kortinnehavere og regelmessig teste og overvåke nettverkene.
Du finner fire forskjellige nivåer av PCI-samsvar, avhengig av volumet av transaksjoner virksomheten din utfører over en 12-måneders periode. Transaksjonsvolumet kommer fra det samlede antallet visumtransaksjoner som er gjort, inkludert kreditt-, debet- og forhåndsbetalte korttransaksjoner fra en kjøpmann som gjør forretning som "DBA".
Hvis du selger under mer enn en DBA, bør du vurdere det totale volumet av transaksjoner som er behandlet, lagret eller overført for å bestemme valideringsnivået ditt.
Hvis bedriften din behandler 20 000 transaksjoner eller mindre hvert år, eller hvis kortdataene behandles utelukkende av leverandører som leverandører av kort, vil bedriften ha færre PCI-krav og vil bli klassifisert som nivå 4.
Hvis forretningsprosessene mellom 20 000 og 1 million transaksjoner per år vil du bli klassifisert som nivå 3. Bedrifter som behandler mellom 1 og 6 millioner korttransaksjoner i en 12-måneders periode, klassifiseres som nivå 2. Hvert nivå gir med seg et høyere tall overholdelseskrav.
Nivå 1 tar med seg det største antall krav til overholdelse som er reservert for bedrifter som behandler 6 millioner eller flere transaksjoner per år, eller lagrer egne kortdata, skriver egen kode og kjører egne servere.
Hva koster PCI Compliance min virksomhet?
For et nivå 4-forretning med kredittkortdata som er elektronisk lagret på nettstedet eller prosesseringssystemene med online-tilkobling, må en godkjent skanningleverandør regelmessig fullføre et nettsted eller en nettverkssøk. Bedriftspersonalet må også fylle ut et selvstudievenneskema og attestering av samsvar. Dette kan koste så lite som $ 60 i måneden.
Hvis virksomheten din er nivå 3, kan kostnadene knyttet til en vanlig nettside eller nettverkssøk av en godkjent skanningsleverandør og gjennomføring av det årlige selvstudievarselet og overensstemmelsesattestet stige til $ 1200 årlig.
For virksomheter på nivå 2 kan denne prisen klatre til mellom $ 10 000 og $ 50 000 i året, avhengig av antall IP-adresser og størrelsen på nettverket ditt.
For bedrifter på nivå 1 i PCI-samsvar, kan kostnadene variere fra $ 50.000 oppover og involvere ikke bare den vanlige nettverksskanningen av en godkjent skanningleverandør, men også en attestasjonserklæring og en årlig rapport om samsvar av en kvalifisert sikkerhetsvurdering.
Hva kan min bedrift gjøre for å møte PCI-krav?
Som foreslått ovenfor, for å sikre PCI-samsvar, må du få vanlige nettsider eller nettverksskanninger gjort av en godkjent skanningleverandør - uansett på hvilket nivå virksomheten din er klassifisert. Nivå 1-selskaper vil også måtte bistås av en kvalifisert sikkerhetsvurdering for å gjennomføre årlige evalueringer på stedet.
For små bedrifter som håndterer mindre enn 6 millioner kreditt- og debetkorttransaksjoner per år, krever møte-PCI-compliancestandarder bare hjelp fra en godkjent skanningleverandør og noe arbeid av eget personale.
Bilde via Shutterstock
Mer i: Hva er kommentar ▼
