Стандарт безопасности данных индустрии платежных карт (PCI DSS) представляет собой набор стандартов безопасности, предназначенных для обеспечения того, чтобы предприятия, которые принимают и обрабатывают информацию о кредитных и дебетовых картах, делали это в безопасной и надежной среде.
Независимо от того, в какой отрасли вы работаете или какого размера вы занимаетесь, если вы принимаете платежи по картам и обрабатываете, передаете и храните данные о держателях карт, вы должны безопасно хранить свои данные у хостинг-провайдера, совместимого с PCI.
$config[code] not foundСовет по стандартам безопасности PCI был сформирован в 2006 году пятью основными брендами кредитных карт - American Express, Visa, MasterCard, Японским кредитным бюро (JCB) и Discover. В то время как у каждой марки кредитных карт есть свои собственные программы соответствия, стандарты PCI являются основой для всех них.
Хотя Совет не имеет юридических полномочий, если ваш бизнес намеревается принимать транзакции по кредитным или дебетовым картам, он должен будет придерживаться стандартов PCI.
Что такое PCI-совместимость?
PCI состоит из набора из 12 конкретных требований, которые охватывают шесть целей. Основными целями являются максимальное обеспечение безопасности в отношении платежей и информирование продавцов о том, как стать более безопасными. А это означает создание и поддержание защищенной сети, защиту данных владельцев карт и регулярное тестирование и мониторинг сетей.
Вы найдете четыре различных уровня соответствия PCI в зависимости от объема транзакций, которые ваш бизнес совершает за 12-месячный период. Объем транзакций определяется на основе общего количества транзакций Visa, в том числе транзакций по кредитным, дебетовым и предоплаченным картам, совершенных торговцем Doing Business As «DBA».
Если вы продаете под более чем одним администратором баз данных, рассмотрите совокупный объем транзакций, обработанных, сохраненных или переданных в целом, чтобы определить ваш уровень проверки.
Если ваша компания обрабатывает 20 000 транзакций или менее в год или если данные карты обрабатываются исключительно поставщиками, такими как поставщики карт для покупок, ваша компания будет предъявлять меньше требований PCI и будет классифицироваться как уровень 4.
Если ваши бизнес-процессы обрабатывают от 20 000 до 1 миллиона транзакций в год, вы будете классифицированы как Уровень 3. Компании, обрабатывающие от 1 до 6 миллионов транзакций с картами за 12-месячный период, классифицируются как Уровень 2. Каждый уровень несет с собой большее число соответствия требованиям.
Уровень 1 обеспечивает наибольшее количество требований соответствия, зарезервированных для предприятий, обрабатывающих 6 миллионов и более транзакций в год или хранящих данные своей карты, пишущих собственный код и работающих на своих серверах.
Сколько PCI-соответствия будет стоить моему бизнесу?
Для бизнеса уровня 4 с данными кредитной карты, хранящимися в электронном виде на своем сайте, или системами обработки с возможностью онлайн-подключения, утвержденный поставщик услуг сканирования должен регулярно выполнять сканирование веб-сайта или сети. Сотрудники предприятия также должны заполнить анкету для самооценки и подтверждения соответствия. Это может стоить всего 60 долларов в месяц.
Если ваш бизнес имеет уровень 3, расходы, связанные с регулярным сканированием веб-сайта или сети утвержденным поставщиком сканирования и заполнением ежегодной анкеты самооценки и подтверждения соответствия, могут возрасти до 1200 долларов в год.
Для предприятий уровня 2 эта стоимость может возрасти от 10 000 до 50 000 долларов в год, в зависимости от количества IP-адресов и размера вашей сети.
Для компаний на уровне 1 соответствия PCI затраты могут варьироваться от 50 000 долларов и выше и включают не только регулярное сканирование сети утвержденным поставщиком сканирования, но также аттестацию соответствия и ежегодный отчет о соответствии квалифицированным оценщиком безопасности.
Что может сделать мой бизнес для удовлетворения требований PCI?
Как указывалось выше, для обеспечения соответствия PCI вам необходимо регулярно проверять веб-сайты или сети, проводимые утвержденным поставщиком сканирования - независимо от того, на каком уровне классифицируется ваша компания. Компании уровня 1 также должны будут помогать квалифицированным оценщиком безопасности для проведения ежегодных локальных оценок.
Для предприятий малого бизнеса, обрабатывающих менее 6 миллионов транзакций по кредитным и дебетовым картам в год, соблюдение стандартов соответствия PCI полностью требует только помощи утвержденного поставщика сканирования и некоторой работы вашего собственного персонала.
Фото через Shutterstock
Подробнее в: Что такое комментарий ▼
