Bedeutet die Verwendung eines POS-Terminals, dass ich PCI-DSS-Konformität benötige?

7

Ich habe viel über PCI DSS und seine Anforderungen gelesen, bin mir aber nicht sicher, was genau bestimmt, ob sich ein Unternehmen um die Einhaltung von PCI DSS sorgen muss.

Wir akzeptieren Zahlungen über ein einfaches HiSpeed ​​6200- POS-Terminal, das über unser Office-LAN mit dem Internet verbunden ist. Wir verwenden keine VLANs. Das Terminal ist nicht in Zahlungsverarbeitungsanwendungen integriert, sondern druckt lediglich Papierbelege aus.

Muss ich mir Sorgen um die PCI DSS-Konformität machen?

Nic
quelle
1
Die meisten ersten Antworten sind bestenfalls ein Teilbild. Ich schlage vor, Sie recherchieren weiter.
Warner

Antworten:

4

Wenn Sie Zahlungskartendaten irgendwo speichern, werden Sie im Allgemeinen von der PCI-DSS- Polizei (AMEX, VISA, MASTERCARD) geprüft . Wenn Sie einen Dritten für die Transaktionen und die Speicherung von Zahlungskartendaten verwenden, sollte dieser Ihnen den PCI-DSS-Auditbericht / die Zertifizierung zur Verfügung stellen können. Sie können auch verlangen, dass Sie ihre Regeln über einen Servicevertrag / Vertrag einhalten.

JakeRobinson
quelle
In Kanada kann fast jeder Kreditkartenzahlungen akzeptieren. Kann ich also davon ausgehen, dass fast jedes Unternehmen PCI DSS unterliegt?
Nic
Das Schlüsselwort ist größtenteils "speichern". Ich sollte dieses Wort wahrscheinlich oben fett machen. Wenn Sie Kreditkarteninformationen speichern, sind Sie mit Sicherheit PCI DSS verpflichtet. Darüber hinaus müssen Prozesse und Verfahren für Ihre Computer vorhanden sein, die tatsächlich Zahlungen entgegennehmen.
JakeRobinson
Obwohl es nicht genau die Antwort war, nach der ich gesucht habe, hat mich Ihre Antwort zu meinem endgültigen Ergebnis geführt, sodass ich Ihre Antwort akzeptiere.
Nic
1
Jake, deine Antwort ist völlig falsch. PCI DSS schreibt vor, dass jeder Händler, der Zahlungen über die teilnehmenden Kartensysteme entgegennimmt, PCI DSS-konform sein muss. Dies ist sogar dann der Fall, wenn Sie die Zahlungen nicht selbst abwickeln und die Anforderung an ein Gateway weiterleiten. Es liegt in der Verantwortung des Händlers, sicherzustellen, dass alle Glieder in der Kette PCI DSS-konform sind, NICHT die Zahlungsanbieter, und es spielt keine Rolle, ob Sie die Karten nicht aufbewahren. Einfach durch eine Händlernummer haften Sie.
Pobk
@pobk Ich stimme dir vollkommen zu, aber ich sehe nicht, wie die Antwort völlig falsch ist?
JakeRobinson
9

Wenn Sie "Kontodaten" speichern, übertragen oder verarbeiten, müssen Sie PCI-konform sein. Innerhalb des PCI DSS 2.0 besteht "Kontodaten" sowohl aus "Karteninhaberdaten" als auch aus "sensiblen Authentifizierungsdaten".

Zu den Karteninhaberdaten gehören:

  • Primäre Kontonummer (PAN)
  • Name des Karteninhabers
  • Haltbarkeitsdatum
  • Service code

Zu den sensiblen Authentifizierungsdaten gehören:

  • Volle Magnetstreifendaten oder Äquivalente auf einem Chip
  • CAV2 / CVC2 / CID / CVV2
  • PINs / PIN-Blöcke

Wenn die genaue Definition in Frage kommt, hilft das Glossar .

Wie mit diesen Daten umgegangen wird, bestimmt, welcher PCI Self Assessment Questionnaire (SAQ) für Ihr Unternehmen gilt. Leider geben Sie mir nicht genügend Informationen, um sicher zu identifizieren, welche SAQ für Ihr Unternehmen gilt. Ein Auszug aus dem SAQ-Leitfaden sollte helfen:

SAQ A - Kartenlose Händler (E-Commerce oder Versand- / Telefonbestellung), alle Karteninhaberdatenfunktionen ausgelagert. Dies würde niemals für Händler von Angesicht zu Angesicht gelten.

SAQ B - Nur-Impressum-Händler ohne elektronische Karteninhaberdatenspeicherung oder eigenständige Dialout-Terminal-Händler ohne elektronische Karteninhaberdatenspeicherung

SAQ C-VT - Händler, die nur webbasierte virtuelle Terminals verwenden, keine elektronische Speicherung von Karteninhaberdaten

SAQ C - Händler mit mit dem Internet verbundenen Zahlungsanwendungssystemen, keine elektronische Speicherung von Karteninhaberdaten

SAQ D - Alle anderen Händler, die in den obigen Beschreibungen für die SAQ-Typen A bis C nicht enthalten sind, sowie alle Dienstleister, die von einer Zahlungsmarke als berechtigt definiert wurden, einen SAQ abzuschließen.

Darüber hinaus bestimmt das Transaktionsvolumen, das Sie verarbeiten, welche PCI-Ebene für Ihr Unternehmen gilt. Während dies zwischen Kartenunternehmen geringfügig variiert, sind sie normalerweise sehr ähnlich. Darüber hinaus variieren die Anforderungen für Ebenen zwischen Dienstanbietern und Händlern. Alle Ebenen erfordern vierteljährliche Scans. Die meisten erfordern jährliche Selbsteinschätzungen. Auf Stufe 1 muss ein qualifizierter Sicherheitsassessor (QSA / Auditor) Ihren Compliance-Bericht ausfüllen. (ROC)

Wenn Sie unter die oben genannten Qualifikationen fallen, müssen Sie auf einer bestimmten Ebene offiziell PCI-konform sein. Dennoch wird Ihre Bank oder Ihr Erwerber letztendlich Ihre PCI-Berichtsanforderungen bestimmen. Machen Sie Ihre Hausaufgaben und wenden Sie sich dann an Ihre Bank. Sie sind die beste Wahl, um die endgültigen Erwartungen zu ermitteln.

Warner
quelle
2

Ja, jeder, der Visa-Zahlungen akzeptiert, muss PCI DSS-konform sein.

Alle Händler, die am Visa-Zahlungsprozess beteiligt sind, müssen den PCI-Datensicherheitsstandard einhalten. Der Standard ist die Grundlage für das Programm zur Sicherheit von Kontoinformationen.

Quelle: Händlerhandbuch für Visa Account Information Security

Für Visa sind jedoch keine Händler der Stufe 4 erforderlich, um ihre Einhaltung zu überprüfen.

Händler der Stufe 4: Das Ausfüllen des jährlichen PCI-Fragebogens und der PCI-Sicherheitsscans ist optional, wird jedoch dringend empfohlen. Aufgrund des Ermessensspielraums von Acquires müssen bestimmte Händler der Stufe 4 möglicherweise die Einhaltung des PCI-DSS überprüfen. Obwohl Händler der Stufe 4 derzeit nicht verpflichtet sind, die Konformität zu überprüfen, muss ihr Netzwerk PCI-DSS-konform sein.

Quelle: Betrugsprävention und -sicherheit, Händlerressourcen | Visa.ca

Nic
quelle
2

Ihre Bank ist am besten in der Lage, Sie diesbezüglich zu beraten.

Nach Ihren Angaben in Ihrer Frage akzeptieren Sie jedoch Zahlungen über ein tragbares Terminal. Hiermit werden Quittungen für den Karteninhaber und eine Händlerquittung für Ihre Unterlagen ausgedruckt.

Diese Händlerbelege werden im DSS als "Papiermedien" bezeichnet, und Sie sind verpflichtet, diese Belege sicher aufzubewahren, und nur autorisiertes Personal sollte Zugriff darauf haben. DSS schreibt sogar vor, wie physische oder elektronische Medien gehandhabt, aufgezeichnet und entsorgt werden.

Wenn Sie Zweifel haben, rufen Sie Ihre Bank an, die die Position klären kann. Nach Ihren Angaben hier müssen Sie jedoch PCI DSS-konform sein.

pobk
quelle