Стандарт безпеки даних промисловості платіжних карток (PCI DSS) - це набір стандартів безпеки, розроблений для забезпечення бізнесу, який приймає та обробляє інформацію про кредитну та дебетову карту, у безпечному та безпечному середовищі.
Незалежно від того, в якій галузі ви працюєте або в якому розмірі у вас є бізнес, якщо ви приймаєте карткові платежі та обробляєте, передаєте та зберігаєте дані про власників карток, ви повинні безпечно розміщувати дані з хостинг-провайдером, сумісним з PCI.
$config[code] not foundРада зі стандартів безпеки PCI була сформована в 2006 році п'ятьма основними брендами кредитних карт - American Express, Visa, MasterCard, Японським кредитним бюро (JCB) і Discover. Хоча кожен бренд кредитної картки має свої програми відповідності, стандарти PCI є основою для всіх з них.
Хоча Рада не має юридичних повноважень, якщо ваш бізнес має намір приймати операції з кредитною або дебетовою карткою, він повинен дотримуватися стандартів PCI.
Що таке PCI Compliance?
PCI складається з 12 специфічних вимог, які охоплюють шість цілей. Фундаментальні цілі полягають у тому, щоб забезпечити максимальну безпеку платежів та інформувати торговців про те, як стати більш безпечними. А це означає створення та підтримку захищеної мережі, захист даних власників карток та регулярне тестування та моніторинг мереж.
Ви знайдете чотири різних рівня відповідності PCI, залежно від обсягу операцій, які здійснює ваша компанія протягом 12-місячного періоду. Обсяг транзакцій виходить з сукупної кількості здійснених операцій Visa, включаючи операції з кредитними, дебетовими та передоплаченими картками від продавця, що здійснює бізнес як "DBA".
Якщо ви продаєте більше ніж один адміністратор баз даних, розгляньте сукупний обсяг операцій, оброблених, збережених або переданих загалом, щоб визначити рівень перевірки.
Якщо ваша компанія обробляє 20 000 операцій або менше щороку, або якщо дані картки обробляються виключно постачальниками, наприклад постачальниками картки, ваші підприємства будуть мати менше вимог до PCI і будуть класифіковані як рівень 4.
Якщо ваш бізнес обробляє від 20 000 до 1 мільйона транзакцій на рік, ви класифікуєтеся як рівень 3. Підприємства, які обробляють від 1 до 6 мільйонів карткових операцій за 12 місяців, класифікуються як рівень 2. Кожен рівень приносить більше число вимог дотримання.
Рівень 1 приносить з собою найбільшу кількість вимог дотримання, закріплених для підприємств, що обробляють 6 мільйонів або більше транзакцій на рік або зберігають свої власні дані картки, записуючи свій код і керуючи власними серверами.
Що буде коштувати PCI Мій бізнес?
Для бізнесу рівня 4 з даними кредитних карток, які зберігаються електронним способом на його сайті або системах обробки з онлайн-підключенням, постачальник затвердженого сканування повинен регулярно виконувати веб-сайт або сканування мережі. Співробітники компанії також повинні заповнити Анкету самооцінки та підтвердити відповідність. Це може коштувати лише $ 60 на місяць.
Якщо ваш бізнес знаходиться на рівні 3, витрати, пов'язані зі звичайним веб-сайтом або мережевим скануванням затвердженого постачальника сканування, та заповнення щорічного анкету самооцінки та підтвердження відповідності може зрости до 1200 доларів на рік.
Для підприємств рівня 2 ця вартість може становити від 10 000 до 50 000 доларів на рік, залежно від кількості IP-адрес та розміру мережі.
Для компаній, що знаходяться на рівні 1 PCI, витрати можуть варіюватися від $ 50000 і включати не тільки регулярне сканування мережі за допомогою Затвердженого постачальника сканування, але також підтвердження відповідності та щорічний звіт про відповідність кваліфікованому експерту безпеки.
Що може зробити мій бізнес, щоб задовольнити вимоги PCI?
Як було запропоновано вище, для забезпечення відповідності PCI вам знадобиться регулярне сканування веб-сайту або мережі, яке здійснюється постачальником схваленого сканування - незалежно від того, на якому рівні класифікується ваша компанія. Компанії рівня 1 також повинні мати допомогу кваліфікованого експерта з безпеки для проведення щорічних оцінок на місці.
Для малих підприємств, які обробляють менше 6 мільйонів операцій з кредитними та дебетовими картками на рік, задоволення стандартів відповідності PCI вимагає лише допомоги постачальника затвердженого сканування та певної роботи власним персоналом.
Фото через Shutterstock
Більше в: Що таке коментар ▼
