e-commerce

Osnove PCI standarda za trgovce čije se poslovanje održava licem u lice na određenom prodajnom mjestu

Što znači "licem u lice" ili "uživo"?

Što moram učiniti kao trgovac?

Ako niste usklađeni s PCI standardima, možete biti podložni kaznama koje propisuju brendovi kartica, i možda više nećemo moći obrađivati plaćanja u vaše ime jer niste potvrdili svoju sigurnost u vezi s plaćanjima.

Koji od osnovnih principa standarda se primjenjuju na mene?

Za manje trgovce, PCI Council je kreirao set Upitnika za samoprocjenu (SAQ) koji su usmjereni na specifične poslovne modele.

Preberite več o posameznih vprašalnikih za samooceno (SAQ) za face-to-face trgovce

Ako ispunjavate kriterije za popunjavanje SAQ B, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ B:

  • • Trgovci koji koriste samo uređaje za otisak bez pohranjenih elektroničkih podataka o nositeljima kartica i/ili samostalne, birane pozivne terminale bez pohranjenih elektroničkih podataka o nositeljima kartica.
  • • MORAJU biti povezani putem telefonske linije i NE putem interneta.
  • • NEMA pohrane podataka o kartici.

PRIMJER ZAHTJEVA ZA SAQ B:

Nadgledanje i pregledavanje vaših platnih terminala, osposobljavanje osoblja za obavljanje inspekcija.

Ako ispunjavate kriterije za popunjavanje SAQ B IP, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ B IP:

• Trgovci koji koriste samo samostalne, PTS odobrene platne terminale s IP vezom prema procesoru plaćanja, bez pohranjenih elektroničkih podataka o nositeljima kartica.

• Platni terminali su povezani putem mreže s procesorom, ali nisu povezani s drugim sustavima unutar okruženja trgovca i ne ovise o drugim uređajima (npr. računalo, mobilni telefon, tablet itd.) za povezivanje s procesorom plaćanja.

• NEMA pohrane elektroničkih podataka o kartici.

PRIMJERI ZAHTJEVA ZA SAQ B:

• Platni terminali su certificirani prema PTS standardu.

• Sigurno upravljanje mrežama i sustavima.

• Nadgledanje i pregledavanje platnih terminala, osposobljavanje osoblja za izvođenje inspekcija.

• Izvođenje ASV skeniranja (certificirani skenovi ranjivosti) kvartalno na svim IP adresama koje su izložene internetu.

Ako ispunjavate kriterije za popunjavanje SAQ C VT, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ C VT:

• Trgovci koji ručno unose pojedinačnu transakciju putem tipkovnice u virtualnoj terminalnoj rješenju koje je dostavljeno i hostirano od strane treće strane usluge koja je validirana prema PCI DSS standardu.

• NEMA pohrane elektroničkih podataka o nositelju kartice.

• Koristi se samo stranica za plaćanje koju je pružio dobavljač i pristupljeno joj putem preglednika.

• PC koji se koristi nije povezan s drugim sustavima.

• Jedna transakcija odjednom, nema prijenosa datoteka ili grupne obrade.

• NEMA drugih metoda prihvata plaćanja.

• NEMA pohrane podataka o kartici.

PRIMJERI ZAHTJEVA ZA SAQ C VT:

• Sigurno upravljanje mrežama i sustavima.

• Instalacija i održavanje antivirusnog softvera na svim odgovarajućim sustavima.

Ako ispunjavate kriterije za popunjavanje SAQ C, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ C:

• Trgovci s plaćenim aplikacijskim sustavima povezanim s internetom, bez pohranjenih elektroničkih podataka o nositeljima kartica.

• Jedna aplikacija pokrenuta na jednom računalu ili drugom uređaju.

• Aplikacija ne pohranjuje podatke o kartici.

• Individualni sustavi su samostalni, nisu povezani jedan s drugim, lokacije su izolirane.

• NEMA pohrane podataka o kartici.

PRIMJERI ZAHTJEVA ZA SAQ C:

• Sigurno upravljanje mrežama i sustavima.

• Korištenje snažne enkripcije.

• Instaliranje i održavanje antivirusnog programa na svim odgovarajućim sustavima.

• Sigurno razvijanje softvera.

• Nadzor i provjera vaših platnih terminala te obuka osoblja za obavljanje inspekcija.

• Izvođenje internih i eksternih skeniranja ranjivosti kvartalno na svim IP adresama i mrežama usmjerenim prema internetu.

• Nadgledanje sustava i zapisivanje događaja uz postavljanje upozorenja.

Ako ispunjavate kriterije za popunjavanje SAQ P2PE HW, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ P2PE HW:

• Trgovci koji koriste samo hardverske platne terminale koji su uključeni i upravljani putem validiranog, PCI SSC listiranog P2PE rješenja, bez pohranjenih elektroničkih podataka o nositeljima kartica.

• Samo se procesuiranje plaćanja obavlja korištenjem listiranog, certificiranog P2PE rješenja.

• Terminali, firmware i verzije aplikacija podudaraju se točno s listom (Službeni popis P2PE).

PRIMJERI ZAHTJEVA ZA SAQ P2PE HW:

• Implementiranje svih kontrola u P2PE Implementacijskom priručniku (PIM) koji je dostavljen od strane dobavljača.

• Nadzor i pregled platnih terminala, osposobljavanje osoblja za obavljanje inspekcija.

Ako ispunjavate kriterije za popunjavanje SAQ SPoC, tada se sljedeće odnosi na vaše poslovanje:

KRITERIJI ZA SAQ SPoC:

• Trgovci koji koriste komercijalni mobilni uređaj (na primjer, telefon ili tablet) s sigurnim čitačem kartica uključenim na PCI SSC-ovom popisu validiranih SPoC rješenja. Nema pristupa podacima o računu u čistom tekstu i nema pohrane elektroničkih podataka o računu.

• Samo se procesuiranje plaćanja obavlja korištenjem listiranog, certificiranog SPoC rješenja.

• Terminali, firmware i verzije aplikacija podudaraju se točno s listom na službenoj web stranici PCI vijeća.

PRIMJER ZAHTJEVA ZA SAQ SPoC:

Nadzor i inspekcija platnih terminala, osposobljavanje osoblja za obavljanje inspekcija.

SAQ D uključuje većinu zahtjeva i može zahtijevati pomoć unutarnjih ili vanjskih resursa kako bi bio adekvatno procijenjen.

KRITERIJI ZA SAQ D:

• Trgovci koji ne pohranjuju podatke o računu elektronički, ali ne ispunjavaju kriterije za drugi tip SAQ-a.

• Trgovci s web stranicom koja prima dolazne transakcije putem elektroničkih kanala, obrađuje ih, a zatim prosljeđuje podatke procesoru plaćanja.

• Trgovci s više kanala prihvaćanja plaćanja.

• Trgovci s elektroničkom pohranom podataka o računu.

• Nijedan drugi SAQ nije prikladan.

ZAHTJEV ZA SAQ D:

SAQ D uključuje većinu zahtjeva i može zahtijevati pomoć unutarnjih ili vanjskih resursa kako bi bio adekvatno procijenjen.

Koji su zahtjevi?

Standard je strukturiran u 12 odjeljaka, pri čemu svaki pokriva određeni aspekt zahtjeva.

  • Dvanaest odjeljaka standarda uvijek ostaje isto, ali svaki SAQ ima svoj unaprijed određeni broj zahtjeva.
  • Individualni zahtjevi su isti bez obzira na to koji se izvještajni predložak koristi, Izvještaj o usklađenosti ("ROC") koji koriste veći trgovci (koji procesuiraju više od 6 milijuna transakcija godišnje) uključuje ih sve, SAQ D sadrži većinu njih, dok ih SAQ P2PE sadrži vrlo malo.
  1. SAQ-ovi jednostavno zahtijevaju da trgovac naznači je li zahtjev postavljen ili nije.
  2. Trgovac "svjedoči" da su usklađeni putem AOC-a ("Izjava o usklađenosti").
  3. Ako koristite pružatelja usluga za obavljanje nekih funkcija obuhvaćenih procjenom, tada biste trebali dobiti kopiju njihovog AOC-a kako biste dokazali da su usklađeni, budući da ne možete tvrditi da ste usklađeni ako oni nisu.
  4. AOC je važeći godinu dana. Trebali biste završiti (a ne započeti) svoju obnovu procjene do datuma isteka posljednjeg.
  5. Neke procjene zahtijevaju skeniranje koje obavlja ASV dobavljač koji bi trebao biti angažiran od strane vaše tvrtke.
  • Prođeni skenovi moraju se dobiti barem kvartalno.
  • Završna faza ASV skeniranja je vaše "svjedočenje"; ako to ne učinite, niste dovršili skeniranje.

Gdje mogu pronaći više informacija?

Sve standarde sadrži PCI Security Standards Council.

Jedna od misija tvrtke Worldline je osigurati i podržati naše trgovce da budu usklađeni s PCI DSS standardom prema zahtjevima i propisima kartičnih shema.

Što je PCI? Osnove PCI standarda za e-trgovce
security