Ich habe viel über PCI DSS und seine Anforderungen gelesen, bin mir aber nicht sicher, was genau bestimmt, ob sich ein Unternehmen um die Einhaltung von PCI DSS sorgen muss.
Wir akzeptieren Zahlungen über ein einfaches HiSpeed 6200- POS-Terminal, das über unser Office-LAN mit dem Internet verbunden ist. Wir verwenden keine VLANs. Das Terminal ist nicht in Zahlungsverarbeitungsanwendungen integriert, sondern druckt lediglich Papierbelege aus.
Muss ich mir Sorgen um die PCI DSS-Konformität machen?
Antworten:
Wenn Sie Zahlungskartendaten irgendwo speichern, werden Sie im Allgemeinen von der PCI-DSS- Polizei (AMEX, VISA, MASTERCARD) geprüft . Wenn Sie einen Dritten für die Transaktionen und die Speicherung von Zahlungskartendaten verwenden, sollte dieser Ihnen den PCI-DSS-Auditbericht / die Zertifizierung zur Verfügung stellen können. Sie können auch verlangen, dass Sie ihre Regeln über einen Servicevertrag / Vertrag einhalten.
quelle
Wenn Sie "Kontodaten" speichern, übertragen oder verarbeiten, müssen Sie PCI-konform sein. Innerhalb des PCI DSS 2.0 besteht "Kontodaten" sowohl aus "Karteninhaberdaten" als auch aus "sensiblen Authentifizierungsdaten".
Zu den Karteninhaberdaten gehören:
Zu den sensiblen Authentifizierungsdaten gehören:
Wenn die genaue Definition in Frage kommt, hilft das Glossar .
Wie mit diesen Daten umgegangen wird, bestimmt, welcher PCI Self Assessment Questionnaire (SAQ) für Ihr Unternehmen gilt. Leider geben Sie mir nicht genügend Informationen, um sicher zu identifizieren, welche SAQ für Ihr Unternehmen gilt. Ein Auszug aus dem SAQ-Leitfaden sollte helfen:
SAQ A - Kartenlose Händler (E-Commerce oder Versand- / Telefonbestellung), alle Karteninhaberdatenfunktionen ausgelagert. Dies würde niemals für Händler von Angesicht zu Angesicht gelten.
SAQ B - Nur-Impressum-Händler ohne elektronische Karteninhaberdatenspeicherung oder eigenständige Dialout-Terminal-Händler ohne elektronische Karteninhaberdatenspeicherung
SAQ C-VT - Händler, die nur webbasierte virtuelle Terminals verwenden, keine elektronische Speicherung von Karteninhaberdaten
SAQ C - Händler mit mit dem Internet verbundenen Zahlungsanwendungssystemen, keine elektronische Speicherung von Karteninhaberdaten
SAQ D - Alle anderen Händler, die in den obigen Beschreibungen für die SAQ-Typen A bis C nicht enthalten sind, sowie alle Dienstleister, die von einer Zahlungsmarke als berechtigt definiert wurden, einen SAQ abzuschließen.
Darüber hinaus bestimmt das Transaktionsvolumen, das Sie verarbeiten, welche PCI-Ebene für Ihr Unternehmen gilt. Während dies zwischen Kartenunternehmen geringfügig variiert, sind sie normalerweise sehr ähnlich. Darüber hinaus variieren die Anforderungen für Ebenen zwischen Dienstanbietern und Händlern. Alle Ebenen erfordern vierteljährliche Scans. Die meisten erfordern jährliche Selbsteinschätzungen. Auf Stufe 1 muss ein qualifizierter Sicherheitsassessor (QSA / Auditor) Ihren Compliance-Bericht ausfüllen. (ROC)
Wenn Sie unter die oben genannten Qualifikationen fallen, müssen Sie auf einer bestimmten Ebene offiziell PCI-konform sein. Dennoch wird Ihre Bank oder Ihr Erwerber letztendlich Ihre PCI-Berichtsanforderungen bestimmen. Machen Sie Ihre Hausaufgaben und wenden Sie sich dann an Ihre Bank. Sie sind die beste Wahl, um die endgültigen Erwartungen zu ermitteln.
quelle
Ja, jeder, der Visa-Zahlungen akzeptiert, muss PCI DSS-konform sein.
Für Visa sind jedoch keine Händler der Stufe 4 erforderlich, um ihre Einhaltung zu überprüfen.
quelle
Ihre Bank ist am besten in der Lage, Sie diesbezüglich zu beraten.
Nach Ihren Angaben in Ihrer Frage akzeptieren Sie jedoch Zahlungen über ein tragbares Terminal. Hiermit werden Quittungen für den Karteninhaber und eine Händlerquittung für Ihre Unterlagen ausgedruckt.
Diese Händlerbelege werden im DSS als "Papiermedien" bezeichnet, und Sie sind verpflichtet, diese Belege sicher aufzubewahren, und nur autorisiertes Personal sollte Zugriff darauf haben. DSS schreibt sogar vor, wie physische oder elektronische Medien gehandhabt, aufgezeichnet und entsorgt werden.
Wenn Sie Zweifel haben, rufen Sie Ihre Bank an, die die Position klären kann. Nach Ihren Angaben hier müssen Sie jedoch PCI DSS-konform sein.
quelle