Означает ли использование POS-терминала, что мне нужно соответствие PCI DSS?
Я много читал о PCI DSS и его требованиях, но мне неясно, что именно определяет, должна ли организация беспокоиться о соответствии PCI DSS.
Мы принимаем платежи, используя базовый POS-терминал HiSpeed 6200, который подключен к Интернету через локальную сеть нашего офиса. Мы не используем VLAN. Терминал не интегрирован ни с какими приложениями по обработке платежей, он просто распечатывает бумажные квитанции.
Нужно ли беспокоиться о соответствии PCI DSS?
4 ответа
Как правило, если вы храните данные платежной карты где-то, вас будет проверять полиция PCI-DSS (AMEX,VISA,MASTERCARD). Если вы используете сторонние организации для транзакций и хранения данных платежных карт, они должны предоставить вам свой отчет / сертификацию по аудиту PCI-DSS. Они также могут потребовать от вас соблюдения их правил посредством договора об обслуживании.
Если вы храните, передаете или обрабатываете "Данные учетной записи", вы должны соответствовать PCI. В PCI DSS 2.0"данные учетной записи" состоят из "данных держателя карты" и "конфиденциальных данных аутентификации".
Данные держателя карты включают в себя:
- Основной номер счета (PAN)
- Имя владельца карты
- Дата окончания срока
- Сервисный код
Конфиденциальные данные аутентификации включают в себя:
- Полные данные магнитной полосы или эквивалент на чипе
- CAV2 / CVC2 / CID / CVV2
- PIN-коды /PIN-блоки
Когда точное определение под вопросом, глоссарий помогает.
То, как обрабатываются эти данные, определяет, какой вопросник самооценки PCI (SAQ) применим к вашему бизнесу. К сожалению, вы не предоставили мне достаточно информации, чтобы уверенно определить, какое SAQ применимо к вашему бизнесу. Выдержка из руководства SAQ должна помочь:
SAQ A - продавцы, не имеющие карты (заказы по электронной почте или по почте / телефону), все данные о держателях карт переданы на аутсорсинг. Это никогда не будет применяться к торговцам лицом к лицу.
SAQ B - продавцы только для выходных данных без хранения данных о держателях электронных карт или автономные продавцы терминалов удаленного доступа без хранения данных о держателях электронных карт
SAQ C-VT - Продавцы, использующие только виртуальные веб-терминалы, не хранят данные о держателях электронных карт
SAQ C - Продавцы с платежными системами, подключенными к Интернету, без хранения данных электронной карты
SAQ D - Все остальные продавцы, не включенные в описания для SAQ типов A – C выше, и все поставщики услуг, определенные платежным брендом как имеющие право на завершение SAQ.
Кроме того, объем транзакций, которые вы обрабатываете, определяет, какой уровень PCI применим к вашему бизнесу. Хотя это немного различается в разных компаниях, они обычно очень похожи. Кроме того, требования к уровням варьируются между поставщиками услуг и продавцами. Все уровни требуют ежеквартального сканирования. Большинство требуют ежегодных самооценок. Наконец, на уровне 1 у вас должен быть квалифицированный оценщик безопасности (QSA / аудитор), чтобы заполнить ваш отчет о соответствии. (ROC)
Хотя, если вы подпадаете под квалификацию, указанную выше, вам официально придется соответствовать PCI на некотором уровне. Тем не менее, ваш банк или эквайер в конечном итоге определит ваши требования к отчетности по PCI. Сделайте свою домашнюю работу, а затем обратитесь в свой банк, они - ваш лучший выбор для определения окончательных ожиданий.
Да, любой, кто принимает оплату Visa, должен соответствовать стандарту PCI DSS.
Все продавцы, которые участвуют в процессе оплаты Visa, должны соответствовать стандарту безопасности данных PCI. Стандарт является основой для Программы информационной безопасности учетной записи.
Источник: Справочник продавца информационной безопасности Visa.
Однако Visa не требует, чтобы торговцы 4-го уровня проверяли их соответствие.
Продавцы 4-го уровня: заполнение годового вопросника PCI и сканирования безопасности PCI не являются обязательными, но настоятельно рекомендуется. На основании усмотрения Приобретения некоторым торговцам уровня 4 может потребоваться проверка соответствия PCI DSS. Хотя продавцы уровня 4 не обязаны проверять соответствие в настоящее время, их сеть должна соответствовать стандарту PCI-DSS.
Источник: Защита от мошенничества и безопасность, Торговые ресурсы | Visa.ca
Ваш банк будет в лучшем положении, чтобы проконсультировать вас по этому вопросу.
Однако из того, что вы подробно изложили в своем вопросе, вы принимаете платежи с помощью ручного терминала. Это будет распечатка квитанций для владельца карты и квитанции продавца для ваших записей.
Эти торговые квитанции называются "бумажными носителями" в соответствии с DSS, и вы обязаны хранить эти квитанции надежно, и только авторизованный персонал должен иметь к ним доступ. DSS даже предписывает, как обрабатывать, записывать и утилизировать носители, физические или электронные.
Если у вас возникли какие-либо сомнения, позвоните в свой банк, который сможет уточнить позицию, но, исходя из того, что вы подробно изложили здесь, вам необходимо быть совместимым с PCI DSS.