PCI DSS erscheint als einschüchterndes und verwirrendes Thema. Um Ihnen den Einstieg in das Thema zu erleichtern, haben wir einen Leitfaden erstellt, der Ihnen hilft zu verstehen, was es ist und wie PCI DSS auf Ihr Unternehmen angewendet werden kann. Bearbeiten Datum und Uhrzeit bearbeiten
Es sei denn, Sie haben eines dieser Unternehmen, das nur Bargeld und Bitcoin-Währung Sie müssen verstehen, wie Sie die Vorschriften zur Annahme von Kreditkarten als Zahlungsmittel einhalten können. Dieser Leitfaden richtet sich an Unternehmen, die sich mit der Verarbeitung von Kreditkarten befassen und erkennen, wie wichtig Datensicherheit für ein sicheres Einkaufserlebnis in der heutigen Zeit ist.
Menschen verlieren in der Regel den Verstand, wenn ihre Kreditkarteninformationen gestohlen werden, zumal Unternehmen, die Kreditkarten akzeptieren/verarbeiten, gesetzlich verpflichtet sind, sicherzustellen, dass alle Dateien, mit denen sie in Berührung kommen, sicher sind.
PCI DSS (Payment Card Industry Data Security Standard) sind die Standards, die kleinen und mittelständischen Unternehmen helfen, mit den Sicherheitsstandards Schritt zu halten.
Im September 2006 schlossen sich fünf große Kreditkartenunternehmen (MasterCard, Visa International, JCB, American Express und Discover) zusammen, um die PCI SSC (Sicherheitsstandards der Zahlungskartenindustrie).
Der Rat ist ein unabhängiges Gremium, das die Aufgabe hat, die Verfeinerung des PCI DSS zu überwachen und gleichzeitig in jedem Segment eines Transaktionsprozesses ein hohes Sicherheitsniveau aufrechtzuerhalten.
Unternehmen, die Kreditkartentransaktionen akzeptieren, sind gegenüber Finanzinstituten und dem Kreditkartenunternehmen, das die Gelder verwaltet, rechenschaftspflichtig und nicht gegenüber dem Rat.
Der Rat stellt jedoch sicher, dass die Systeme rechenschaftspflichtig sind, und bewertet technologische Trends und Schwächen, um ein hohes Sicherheitsniveau aufrechtzuerhalten.
Jedes Unternehmen, jede Institution und jede Stelle, die Karteninhaberinformationen akzeptiert, überträgt und speichert, ist verpflichtet, die PCI DSS-Regeln und -Vorschriften zu befolgen. PCI definiert Karteninhaberinformationen als PAN (Primary Account Number). PAN enthält die folgenden Informationen:
PCI DSS fordert Unternehmen auf, die folgenden Daten zu schützen:
Ein System, das unabhängig von der Größe oder Anzahl der Transaktionen anwendbar ist. Die Art und Weise, wie jedes Unternehmen mit Karteninhaberdaten umgeht, wird in eine von vier von Visa erstellten Ebenen eingeteilt.
Das Level wird durch die Anzahl der Visa-Transaktionen bestimmt, die der Händler-DBA (der "Doing Business As" ist) in einem Zeitraum von zwölf Monaten durchgeführt hat. In Fällen, in denen Unternehmen mehrere Händler-DBAs haben, werden die Gesamttransaktionen des Unternehmens ausgewertet.
In Unternehmen, in denen Unternehmen nicht im Namen ihrer Händler mit Daten interagieren, werden einzelne DBAs bewertet, um ihre Niveaus zu bestimmen.
PCI DSS Definition eines Einzelhändlers als jedes Unternehmen, das Zahlungen von Karten akzeptiert, die die Logos der fünf führenden Kreditkartenunternehmen tragen, die zu Beginn dieses Artikels erwähnt wurden.
Ein Händler kann auch ein Dienstleister sein. Die Stufen werden wie folgt ermittelt:
Stufe 1: Händler, die jährlich über sechs Millionen Visa-Transaktionen per Post, persönlich, E-Commerce oder Telefon abwickeln.
Stufe 2: Händler, die jährlich eine bis sechs Millionen Visa-Transaktionen über alle Akzeptanzkanäle abwickeln.
Stufe 3: Händler, die jährlich 20.000 bis 1 Million Visa E-Commerce-Transaktionen verarbeiten.
Stufe 4: Händler, die jährlich 20.000 und weniger Visa E-Commerce-Verkäufe über alle Akzeptanzkanäle abwickeln.
Um festgelegte Regeln und Standards zu erfüllen, werden Händler durch eine Reihe von Schritten geführt. Zunächst muss jeder Händler einen SAQ (Self Assessment Questionnaire) ausfüllen, um festzustellen, wie seine Einhaltung aussehen wird.
Nach dem Ausfüllen des Fragebogens gibt es Händler, die damit beauftragt sind, zusammen mit einem Schwachstellenscan von einem ASV (PCI SSC Approved Scanning Vendor) einen Nachweise für ein Bestehen auszufüllen und zu sammeln. Unternehmen, die eine einzige Akzeptanzmethode verwenden, müssen die PCI DSS-Standards vollständig einhalten, ebenso wie Händler, die Prozessoren von Drittanbietern verwenden.
Unternehmen mit mehreren Standorten müssen einmal im Jahr für alle Gebiete eine Validierung durchführen, wenn sie dieselbe Steuer-ID verwenden. So sehr alle Unternehmen, die mit Debit- oder Kreditkartendaten umgehen, aufgefordert werden, die PCI-Standards einzuhalten, haben es Unternehmen, die keine Daten speichern, leichter bei der Abwicklung des Compliance-Prozesses.
Es gibt einzelne Unternehmen, die vierteljährliche Schwachstellenscans durchführen müssen. Ein Approved ASV (Approved Scanning Vendor) hat die Aufgabe, einen Scan verschiedener Webanwendungen und Netzwerke von IP-Adressen durchzuführen, die ihm vom Dienstanbieter oder Händler zur Verfügung gestellt werden.
Der Scan zielt auf alle Schwachstellen in den Diensten, Betriebssystemen und Geräten des Unternehmens ab und deckt diese auf, mit denen Hacker Zugriff auf das private Netzwerk des Händlers erhalten können.
Wenn ein ASV den Scan durchführt, muss keine Software installiert werden, und die Scans werden alle 90 Tage durchgeführt, da die Händler aufgefordert werden, Compliance-Berichte gemäß dem vom Acquirer festgelegten Zeitplan einzureichen.
Einige Trader erwägen, mit Dienstleistern zusammenzuarbeiten. Ein Unternehmen, das von den fünf führenden Kreditkartenunternehmen getrennt ist, die an der Speicherung, Verarbeitung und Übertragung von Karteninhaberinformationen beteiligt sind.
Service Provider erhalten einen "einzigartigen" Compliance-Weg, und es ist wichtig, dass sie ihn sorgfältig befolgen. Unternehmen, die sich als Dienstleister qualifizieren, müssen einen Kurs belegen, der ihnen hilft, ihr Mandat klar zu verstehen.
Als Zahlungsanwendungen gelten Aspekte, die Karteninhaberinformationen übertragen, speichern oder verarbeiten. Zahlungsanwendungen sind Prozesse, die von Swipe-Systemen in Restaurants bis hin zu Software in E-Commerce-Einkaufswagen reichen.
PA-DSS (Payment Application Data Security Standard) wird vom PCI SSC betrieben und gepflegt. PA-DSS dient dazu, sicherzustellen, dass alle Anbieter, die Zahlungsanwendungen anbieten, die den PCI DSS-Standards entsprechen, keine Karteninhaberdaten aufbewahren.
Ein Zahlungsgateway verbindet Händler mit einem Prozessor oder einer Acquiring-Bank, die sie mit dem Kartenaussteller verbindet. Sie melden sich über eine webbasierte Verbindung oder Einwahl beim Prozessor oder dem Finanzinstitut an.
In den meisten Fällen möchten Händler die Möglichkeit haben, Karteninhaberinformationen aufzubewahren, was es den Kunden erleichtert, wiederholte Transaktionen durchzuführen. Die Partnerschaft mit einem Drittanbieter ist der entspannteste und problemloseste Weg, um Informationen sicher zu speichern.
Die Informationen des Karteninhabers werden aus dem Besitz des Händlers entfernt, und ein auf Datenschutz spezialisierter Dritter verarbeitet die Daten im Auftrag des Händlers.
Händler, die sich für die Speicherung von Karteninhaberdaten entscheiden, werden von einem qualifizierten Sicherheitsgutachter durch einen strengen Prozess geführt, der vor Ort ein Audit durchführt, das bestätigt, dass der Händler die PCI DSS-Standards erfüllt.
Die PCI-Standards empfehlen, dass die ersten sechs oder letzten vier Ziffern von PAN auf einer Transaktionsbelegkopie gedruckt werden sollten. Es hilft, zu verhindern, dass die volle Nummer angezeigt wird.
Es werden Standards für die Sicherheit der Verbraucher festgelegt. Wenn Händler die PCI DSS-Standards nicht einhalten, ziehen sie viele Konsequenzen nach sich.
In den meisten Fällen werden sie mit hohen Geldstrafen zwischen 5000 und 100.000 US-Dollar monatlich belegt.
Die Zahlungsmarke belastet die Acquiring-Bank, die die Kosten an das Unternehmen weitergibt. In den meisten Fällen beendet das Finanzinstitut die Beziehung zum Händler oder erhöht die Transaktionsgebühren erheblich.
Dies sind Strafen, die kleine und mittlere Unternehmen ruinieren können, und es ist wichtig, dass Händler alle Regeln befolgen, ohne sie zu verbiegen.
Auch wenn PCI kein Gesetz ist, sind Händler, die sich weigern, sich an die Vorschriften zu halten, den Kosten unterworfen und dafür verantwortlich, die Kosten zu tragen, die durch Bußgelder, Kosten für den Kartenersatz, Markenschäden, kostspielige forensische Prüfungen und verschiedene Konsequenzen verursacht werden, wenn es zu einem Verstoß kommt.
Anfängliche Aufwände und Kosten, die nach Einhaltung von PCI DSS Bewahren Sie Händler davor, mehr Geld und Zeit ausgeben zu müssen, um sich mit schwerwiegenden, teuren, komplizierten und verheerenden Folgen auseinandersetzen zu müssen.
Herzlichen Glückwunsch zur Gründung eines kleinen und mittleren Unternehmens, Stellen Sie sicher, dass alle Transaktionen den Integritäts- und Sicherheitsmaßnahmen entsprechen. Navigieren Sie durch die Besonderheiten der Compliance und retten Sie Ihr Unternehmen vor Hackern, die von Tag zu Tag raffinierter werden.
"*" kennzeichnet Pflichtfelder
"*" kennzeichnet Pflichtfelder
"*" kennzeichnet Pflichtfelder
Hinterlasse einen Kommentar
Sie müssen eingeloggt um einen Kommentar zu posten.