Торі Термонд/8 січня 2024 р.

Стандарт безпеки даних індустрії платіжних карток (PCI DSS) є важливою системою безпеки для компаній, які обробляють дані власників карток. Кожен бізнес, який обробляє, зберігає або передає дані про власників карток, повинен відповідати цій структурі та проходити щорічну оцінку PCI DSS, щоб підтвердити її відповідність.
Оцінювання варіюється від самооцінки до повного аудиту PCI DSS на місці. кваліфікованим експертом з безпеки (QSA). Дуже важливо, щоб підприємства розуміли, що їм підходить.

Оцінка PCI DSS складається з трьох основних частин:

● Анкета самооцінки (PCI SAQ)
● Атестація відповідності (PCI AoC)
● Звіт про відповідність (PCI RoC)

У цьому посібнику ми розглянемо кожен частини та визначте бізнес, на який вони впливають.

Як рівень продавця впливає на вимоги аудиту PCI DSS

Специфічні процедури, необхідні під час оцінки PCI DSS, залежать від торговельного рівня організації. Ця класифікація базується головним чином на обсязі транзакцій, які вона обробляє щорічно. Є чотири рівні торговців:

  • Продавці рівня 1 щорічно обробляють понад 6 мільйонів транзакцій по всіх каналах.
  • Продавці рівня 2 обробляють від 1 до 6 мільйонів транзакцій щорічно по всіх каналах. канали.
  • Продавці рівня 3 обробляють від 20 000 до 1 мільйона онлайн-транзакцій на рік.
  • Продавці рівня 4 обробляють менше 20 000 онлайн-транзакцій на рік або загалом менше 1 мільйона транзакцій на рік.< /li>

У таблиці нижче вказано, які вимоги до оцінювання застосовуються до компаній на кожному рівні продавця. Викладені вимоги загалом правильні, але особливості можуть відрізнятися для вашої компанії залежно від її бізнес-моделі та окремих постачальників кредитних карток.

Рівень продавцяSAQAoCRoC
1Зазвичай не потрібно Обов’язково (супроводжує RoC)     Обов’язково (Щорічна оцінка на місці за допомогою QSA.
2Потрібно (щорічно)Потрібно (із SAQ)       Зазвичай не потрібно
3Потрібно (щорічно)Потрібно (із SAQ)     Зазвичай не потрібно
4Потрібно (щороку, тип залежить від платіжного середовища)Потрібно (із SAQ)     Зазвичай не потрібно

Для отримання додаткової інформації прочитайте 4 рівні відповідності PCI?

Що таке PCI SAQ?

Анкета самооцінки PCI надає організаціям основу для самостійної оцінки даних власників карток безпеки. Існує дев’ять різних типів SAQ, довжина та складність яких варіюється від кількох десятків запитань до понад 300. Правильний SAQ для вашої компанії залежить від її бізнес-моделі та способу обробки та зберігання даних кредитних карток.

SAQ A

PCI SAQ A призначений для компаній, які повністю передали обробку даних власників карток третій стороні. До них належать магазини електронної комерції, телефонні продажі та компанії, що здійснюють замовлення поштою. SAQ A можна використовувати, лише якщо компанія не зберігає, не обробляє та не передає дані власників карток у своїх системах або приміщеннях.

SAQ A -EP

SAQ A EP призначений виключно для роздрібних торговців електронною комерцією, які (i) продають лише через електронну комерцію; (ii) передати продажі кредитних карток третій стороні, але (iii) обслуговувати доставку даних власників карток платіжним процесорам. Підприємства електронної комерції не зберігають, не обробляють і не передають дані про власників карток у своїх системах.

SAQ A-EP зовні схожий на SAQ A — обидва вони застосовуються до компаній електронної комерції, які здійснюють процес оплати стороннім виконавцям. Критична відмінність полягає в потоці даних власника картки від продавця до платіжного процесора та в тому, хто збирає ці дані.

SAQ A може бути доцільним, якщо дані власника картки збираються системою обробки платежів. Наприклад, ваш сайт переспрямовує клієнтів на сторінку сайту постачальника платежів для введення інформації або відображає сторінку постачальника в iframe. Навпаки, SAQ A-EP може бути доцільним, якщо ваш магазин збирає дані власників карток за допомогою форми на сайті, а потім надсилає їх платіжному процесору за допомогою коду JavaScript або іншим способом.

SAQ B

SAQ B призначений для продавців, які використовують машини для друку або термінали для збору даних кредитної картки. Продавець не зберігає та не обробляє дані власників карток. SAQ B не стосується електронної комерції та більшості інших транзакцій кредитними картками, які здійснюються виключно через Інтернет.

SAQ B-IP< /h3>

SAQ B-IP — це варіант SAQ B, який застосовується до продавців, які використовують термінали, затверджені PTS, із IP-з’єднанням із постачальником платіжних послуг. SAQ B-IP не поширюється на більшість компаній, які здійснюють електронні транзакції через Інтернет.

SAQ C

PCI SAQ C актуальний для продавців, які здійснюють оплату кредитною карткою без використання картки по телефону або поштою та оплату за допомогою картки через термінали торгових точок. Продавець не зберігає дані власника картки в електронному вигляді, але може мати паперові записи. Це не стосується компаній електронної комерції.

SAC C застосовується, лише якщо ваш бізнес не зберігає дані власників карток в електронному вигляді, а доставляє їх платіжному процесору через систему платіжних додатків і підключення до Інтернету на тому самому пристрої чи локальній мережі, які не підключені до інших систем у вашому середовищі.

SAQ C-VT

SAQ C-VT призначений для продавців, які використовують віртуальні платіжні термінали на пристрої, який для обробки кредитної картки. Це не стосується електронної комерції та більшості онлайн-продажів.

SAQ P2PE

PCI SAQ P2PE призначений для продавців, які збирають дані про власників карток через апаратний платіжний термінал із схваленим PCI SSC рішенням однорангового шифрування (P2PE). SAQ P2PE — це відносно коротка анкета, оскільки дані власника картки шифруються, щойно вони вводяться в платіжний термінал — продавець не може розшифрувати їх і не має доступу до даних. Лише платіжний процесор має ключ шифрування.

SAQ D

PCI SAQ D – це загальний SAQ для організацій, які відповідають вимогам, але не відповідають критеріям, наведеним нами для інших анкет самооцінки PCI. Наприклад, вони не можуть передавати обробку кредитних карток зовнішнім виконавцям і можуть зберігати дані карток в електронному вигляді. Існує дві версії SAQ D: SAQ D для продавців і SAQ D для постачальників послуг. SAQ D – це, безумовно, найдовший і найскладніший PCI SAQ із понад 320 запитаннями.

Ці анкети допомагають визначити, які вимоги до відповідності PCI DSS застосовуються до вашої організації та як ваші поточні системи відповідають цим вимогам безпеки. Хоча кожен із типів SAQ має різні цілі, ваша організація може визначити, що найкраще підходить для вас, щоб ви могли отримати AoC.

У KirkpatrickPrice ми пропонуємо вказівки, які допоможуть вашій організації опрацювати ваш SAQ і забезпечити усі ваші відповіді так/ні є точними відповідно до ваших систем безпеки. Навіть якщо ви пройшли самооцінку, ви не самотні!

Що таке PCI AoC?

Сертифікат відповідності PCI (AoC) — це документальне підтвердження дотримання організацією стандартів PCI DSS. Після заповнення Анкети самооцінки організація заповнює відповідну версію AoC, щоб засвідчити точність своєї самооцінки та статус відповідності.

Як і SAQ, існує кілька версій AoC. Організації заповнюють AoC, який відповідає конкретному SAQ, який вони заповнили.

Хоча продавці рівнів 2-4 можуть заповнити власний AoC, вони можуть вибрати, щоб його перевірив або наставив досвідчений спеціаліст PCI DSS. Для торговців 1-го рівня кваліфікований експерт із безпеки зазвичай перевіряє їхню відповідність і заповнює звіт про відповідність. Потім AoC для цих організацій базується на результатах RoC.

Що таке PCI RoC?

Звіт PCI про відповідність (RoC) — це комплексний документ, підготовлений QSA, який оцінив системи організації, заходи безпеки та захист даних власників карток. Для продавців 1-го рівня потрібні сертифікати RoC.

Шляхом ретельного огляду на місці QSA перевіряє та документує ваші засоби контролю. Результатом оцінки є узагальнений звіт про результати, кульмінацією якого є остаточна версія RoC.

Кожна RoC дотримується критеріїв Ради стандартів безпеки PCI на основі шаблону звітності RoC. Це послідовне звітування гарантує, що зацікавлені сторони, клієнти та інші зацікавлені сторони отримають прозоре уявлення про вашу позицію щодо відповідності PCI.

Партнерство з KirkpatrickPrice, щоб стати PCI-сумісним

Це нормально відчувати себе приголомшеним або наляканим процесом аудиту PCI з усіма кроками, які він вживає, щоб підтримувати відповідність. Але ви не повинні розбиратися в цьому самостійно! У KirkpatrickPrice ми віримо у підтримку вас від готовності до аудиту до остаточного звіту та кожного кроку між ними. Якими б не були ваші цілі PCI, ми хочемо допомогти вам досягти ваших цілей відповідності. Зв’яжіться з одним із наших експертів сьогодні, щоб розпочати свій шлях до відповідності PCI.

Дізнайтеся більше про PCI DSS з цих ресурсів KirkpatrickPrice:

  • PCI Demystified: серія освітніх відео, яка охоплює багато аспектів PCI DSS і аудитів PCI
  • Шість кроків аудиту PCI
  • Як мені знайти QSA для мого аудиту PCI?

Поділитися Твіт Поділитися Електронна пошта

Пов’язані публікації

  • Що таке відповідність PCI та DSS?

    Що таке відповідність PCI? Це питання KirkpatrickPrice, як PCI QSA, часто задається…

  • Посібник із сумісності з PCI – навігація PCI DSS v3.2

    Навігація PCI DSS може бути непосильним завданням. Як стандарт із майже 400…

  • Посібник для початківців із відповідності PCI

    Великі компанії, що займаються кредитними картками, зокрема Visa, MasterCard, American Express, Discover і JCB, діяли проти…