Regulation
PCI DSS
Standard bezpieczeństwa danych w branży kart płatniczych, narzucone przez schematy ramy postępowania z danymi posiadaczy kart.
Standard Bezpieczeństwa Danych Branży Kart Płatniczych (PCI DSS) to globalnie obowiązujące ramy ustalone przez główne systemy kart płatniczych – Visa, Mastercard, American Express, Discover i JCB – w celu zabezpieczenia środowisk danych posiadaczy kart. Dotyczy on każdego podmiotu, który przechowuje, przetwarza lub przesyła podstawowe numery konta (PAN), wymagając przestrzegania dwunastu podstawowych technicznych i operacyjnych wymagań dotyczących bezpieczeństwa sieci, kontroli dostępu i szyfrowania. Poziomy zgodności są określane przez roczny wolumen transakcji, od Poziomu 4 dla małych sprzedawców do Poziomu 1 dla tych, którzy przetwarzają ponad 6 milionów transakcji. Większość sprzedawców dąży do zmniejszenia obciążenia związanego z zgodnością poprzez techniki redukcji zakresu, takie jak używanie hostowanych stron płatniczych lub integracji Iframe dostarczanych przez agenta rozliczeniowego lub PSP. Zapewnia to, że wrażliwe dane pozostają poza infrastrukturą sprzedawcy, co zazwyczaj pozwala im na walidację bezpieczeństwa za pomocą uproszczonego Kwestionariusza Samooceny (SAQ), a nie pełnego audytu przez Kwalifikowanego Inspektora Bezpieczeństwa (QSA).
Często zadawane
Jakie są konsekwencje braku zgodności z PCI DSS?
Brak utrzymania zgodności może skutkować znacznymi miesięcznymi grzywnami od systemów kart, często przenoszonymi na agenta rozliczeniowego. W przypadku naruszenia danych, podmioty niezgodne z przepisami mogą ponieść zwiększone opłaty transakcyjne, odpowiedzialność prawną i potencjalne cofnięcie ich rachunku handlowego (MID).
Jak wersja 4.0 zmienia krajobraz zgodności dla sprzedawców?
PCI DSS v4.0 wprowadza bardziej rygorystyczne wymagania dotyczące wieloskładnikowego uwierzytelniania (MFA) i częstszych testów kontroli bezpieczeństwa. Przechodzi również na podejście oparte na ryzyku, dając organizacjom większą elastyczność w demonstrowaniu, że osiągnęły określone cele bezpieczeństwa poprzez spersonalizowane podejście walidacyjne.
Powiązane terminy
Zastąpienie wrażliwych danych karty niewrażliwą wartością zastępczą, którą można przechowywać i ponownie używać bez zakresu PCI.
Zgodne z PCI-DSS repozytorium tokenizowanych danych uwierzytelniających karty, które pozwala sprzedawcy ponownie obciążyć kartę bez przechowywania numeru PAN.
Gotowy na prędkość?
Opowiedz nam o swojej firmie. Dobierzemy dla Ciebie odpowiednich partnerów aktywizujących i właściwą ścieżkę, zazwyczaj w ciągu tygodnia.
