支付卡行业数据安全标准(PCI DSS)是一组接受信用卡的企业的指南。创建标准的理事会独立于Visa等主要信用卡公司,但受其委托。它旨在管理PCI合规性,以保护消费者信息不受数据泄露的影响。
商家服务提供商(如Chase Merchant Services)必须为自己及其所有商家帐户维护PCI合规性。不确定您自己的PCI合规性? Chase满足PCI要求成为一级提供商,并提供工具来帮助其商家帐户持有人确保他们也保护敏感数据。立即申请帐户。
访问Chase Merchant Services
什么是PCI合规性?
PCI DSS成立于2006年,旨在帮助保护敏感的消费者数据,包括信用卡号和个人身份信息。主要的信用卡公司--Visa,MasterCard,American Express,Discover和JCB--与消费者一样关注数据泄露事件。
一套指南可以将商家服务提供商(MSP),支付处理商,支付网关和商家保存在同一个数据安全页面上。这意味着参与信用卡付款的任何人都必须遵守一套严格的规则,包括:
- 招商
- 服务供应商
- 付款申请
- 支付网关
- 付款处理器
每个企业都有不同的级别,每个级别与您每年在信用卡销售中处理的金额挂钩。如果您想查看是否正在执行所有必要操作,请查看此PCI合规性检查表。
PCI合规性如何运作
作为商家,您必须遵守12个PCI DSS要求,这可以分为六个主要目标。如果您错过了一个,您可能会被PCI DSS罚款,这会花费很多。
任何需要维持PCI合规性的企业的六个主要目标:
- 保持安全的物理网络
- 保护客户数据
- 维护安全的内部网络
- 限制数据访问需要知道
- 监控和测试数据安全系统
- 教育员工遵守PCI规范
要做这些事情,您必须使用防火墙来实现物理安全;通过使用加密或文字锁和密钥来保护数据;确保软件和应用程序的安全;并更新防病毒软件。
只有那些需要访问权限的人才能够获取消费者数据,并且您应该能够跟踪谁看到了什么;经常测试您的安全措施,以确保它们按预期工作并在您的机构中维护策略,以确保员工了解PCI合规性的重要性以及做什么和不做消费者数据。
谁需要符合PCI标准
如上所述,任何接受信用卡的实体都必须符合PCI标准。这意味着从金融机构到Etsy商店的每个人。虽然这些不是法律,但它们是信用卡公司制定的法规。要继续接受您公司的信用卡,您必须遵守。
为了进一步细分PCI合规性,这里有一个列表,说明谁需要遵循不同的指导方针:
- 招商:任何组织接受组成PCI DSS理事会的五个主要信用卡中的一个或多个
- 商家服务提供商:为其他商家传输,处理或存储信用卡信息的企业
- 付款申请:传输,处理或存储信用卡信息的设备或在线购物车,如信用卡读卡器,电子商务推车或销售点系统
- 支付网关:商人和银行的中间人;这些公司在运营信用卡的企业与批准或拒绝付款请求的银行之间传输数据
- 付款处理器:这些一体化企业通常为商家提供商家帐户,支付应用程序和支付网关
作为小型企业所有者,您可能属于商家描述。如果您正在启动付款处理公司或服务提供商,那么您就有资格成为商家和上述服务提供商业务。弄清楚你所属的等级可能看起来很复杂,但下面的图表可以提供帮助。
PCI合规要求
许多小企业主可能甚至不知道他们必须完成某些行为才能符合PCI标准。您的商家服务提供商或支付处理商为您提供了一些PCI合规性,但您仍然需要采取措施。
您必须确定您的企业属于哪个PCI合规级别。
PCI级别
| 1级 | 企业处理600万+年度Visa交易 |
| 2级 | 企业每年处理1至6万笔Visa交易 |
| 3级 | 企业每年处理20,000至100万Visa电子商务交易 |
| 4级 | 企业处理每年20,000次Visa电子商务交易;企业每年处理高达100万的Visa交易(非电子商务) |
PCI合规性自我评估问卷
所有接受主要信用卡的中小型商户(4级)必须完成部分PCI合规要求的自我评估问卷(SAQ)。您必须参考图表来确定您必须完成哪个SAQ。
您还可以访问官方PCI DSS网站上的图表。
例如,如果您运行在线业务,并使用Shopify作为支付网关和处理器,则需要填写SAQ-A。使用POS系统和终端的实体企业(例如Lightspeed)需要使用SAQ-C文档。对于使用虚拟终端的手动输入,例如当您在线接受电话订单或发票时,您需要完成SAQ-C-VT。
这只是您必须填写SAQ-A的13个页面之一。
合规证明
合规证明(AoC)是一份文件,如果您是自我审核的,或者您是合格的安全评估员(QSA),您可以在其中声明您的企业的合规水平。表格应与SAQ和批准的扫描供应商(ASV)扫描结果一起完成,签名并提交。预计企业每年都会提交一份AoC。
您可以在SAQ和AoC中回答有关PCI合规性要求的问题,具体如下:
- 维护业务设备的防火墙
- 更改供应商提供的密码
- 加密消费者数据的传输
- 使用更新的防病毒软件
- 保护存储的消费者数据
- 限制对消费者数据的访问
- 维护安全的系统和应用程序
- 仅在需要知道的基础上提供持卡人数据
- 为具有商业计算机访问权限的每个人创建唯一ID
- 监控对网络和消费者数据的访问
- 定期测试数据安全性
- 维护数据安全策略
当商家使用第三方支付处理器时,大多数这些PCI合规性要求都得到满足。但是,您仍需要了解相关规定,并且必须符合环境PCI合规性,例如防火墙,强密码和限制对持卡人数据的访问。
通过漏洞扫描证明PCI符合性
根据您接受信用卡的方式,您可能需要使用ASV支付并安排定期漏洞扫描。 ASV是第三方公司,将进行季度漏洞扫描以验证您的PCI合规性。 ASV将确定您是否正在尽一切可能保护消费者信用卡和联系信息。
什么是ASV验证?
ASV执行外部漏洞扫描,以确定您的网络对于消费者是否安全且安全。 ASV还可以执行内部扫描以检测漏洞,但许多商家选择使用适当的SAQ自行执行。
外部扫描会查找网络防火墙中的漏洞,而内部扫描会查找企业防火墙中的漏洞。两者都是必要的,但内部扫描可以自行执行。
ASV将在每个季度为您提供通过或失败,您需要将其提交给PCI DSS委员会。如果您对网络进行了任何更改,则还必须安排新的扫描。当您进行微小更改时,可能会发生故障。例如,您的互联网服务提供商(ISP)可能会更改您的面向公众的IP号码,您的ASV可能正在扫描您的旧号码,这可能导致“未检测到主机”。
PCI合规性最终步骤:提交文档
收集所有文件,包括适合您业务类型的完整SAQ,通过ASV每季度外部扫描的证明以及所需的任何其他文件。您可以通过电子文件选项或通过蜗牛邮件将这些文件发送到PCI DSS理事会。您的另一个选择是聘请QSA,他们可以填写文件,组织文件,并为您提交一切。
PCI合规服务和费用
为确保您的业务符合PCI要求,您可能需要支付各种费用。这些费用可能是月费或年费,费用从每月10美元到每年数百美元不等。这取决于服务,您选择的支付处理器类型,以及您计划如何处理AoC和漏洞扫描。
通常情况下,Square和Shopify等支付处理商不会就PCI合规性收取单独的费用。相反,他们将合规成本转化为您的月费或交易费。传统的商家帐户可能会增加合规费用,或者会产生费用。 Chase Merchant Services在其即付即用计划中不会对PCI合规性收取任何费用。
如果您需要进行漏洞扫描,或者您想雇用QSA,您可以预期支付PCI合规费用:
- ASV扫描: 您的业务环境的季度漏洞扫描(例如防火墙,互联网等)通常每年收费,平均范围从200美元到1,000美元不等。
- QSA服务: 拥有多个地点的商家可能希望雇用QSA以符合PCI标准;费用从10,000美元起,根据地点数量和网络的复杂程度而有所不同
PCI合规性的收费很常见,因为这些费用用于保持数据服务器的更新,维护和所有数据安全性。您的支付处理器,支付网关或服务提供商负责数据传输和存储,因此这是一项重要且必要的费用,但需要付费。
PCI不合规费用
可能会出现在您的商家声明中的另一项费用是PCI不合规费用,虽然它似乎来自您的支付处理器,它来自信用卡公司,但某些处理器可能会收取超过您每月19.95美元的标准费用是不合规的。因此,请务必填写您的SAQ并提交您的文件以避免此费用。
如果我不遵守PCI合规性该怎么办?
许多企业不确定他们是否维持PCI合规性,而问题在于网络犯罪分子可以利用网站,防火墙和不安全的远程访问中的已知漏洞来获取有价值的信用卡数据。当有超过182,000个信用卡号被曝光时,请考虑最近的数据泄露,例如Equifax。这种违规行为对信用卡公司,银行和小商家都是有害的。
尽管PCI合规性不是一套法律,而是一套标准,但它受信用卡公司的监管。那么,如果你仍然不合规,最糟糕的情况是什么?
以下是不同的场景:
- PCI不合规费用: 在证明您的业务符合PCI标准之前,您每月需要支付19.95美元(或更多)
- PCI不合规罚款: 发生安全漏洞,泄露消费者数据;您的记录显示不合规;你将支付每月5,000美元到100,000美元的不合规费用
- PCI不合规和撤销: 您的收单银行会撤销您接受信用卡的能力,这可能是您业务的终结
您应该认真对待PCI合规性,并且不要认为只是因为您的支付处理器符合要求,您才能摆脱困境。遵循指南,请务必查看官方网站上的任何更改。 PCI合规性要求随着数据安全性的发展而发展。
PCI合规性:常见问题解答(FAQ)
商家对PCI合规性最常见的问题之一是“需要什么?”还有相关问题,我们将在下面回答。如果我们没有在此处讨论有关PCI合规性的问题,请访问我们的论坛询问,我们会尽力在那里回答。
什么是PCI合规性?
它是由业内五大信用卡创建的一套标准。它旨在帮助保护商家,服务提供商和消费者免受代价高昂的数据泄露。
如果我不符合PCI标准会发生什么?
您可能面临每月19.95美元左右的违规费用,或者如果您的企业涉及数据泄露并且您不符合PCI标准,那么您可能会被收单银行每月罚款5,000美元到100,000美元以弥补相关损失(欺诈性收费,重发卡,法律费用等)。
法律要求PCI合规吗?
PCI DSS理事会制定了一套法规。虽然法律不要求,但Visa,MasterCard,American Express,Discover和JCB都要求它。否则,您将无法在商店或网站上接受这些信用卡。
如果我使用Square,我还需要验证PCI合规性吗?
答案是否定和是。只要您使用Square硬件和移动连接,Square就不需要您单独验证,因为Square符合PCI标准。但是,如果您在商店中使用Wi-Fi连接和传输数据,则仍需要完成SAQ,因为您的内部网络将面临风险。
谁强制执行PCI合规?
收单银行或信用卡品牌是管理PCI合规性的银行。
PCI兼容成本是多少?
范围很广,因为它取决于您的商家级别。 1级商家需要租用QSA,费用可能在10,000美元到15,000美元之间。 4级商家可能会发现每年收费200到1000美元的ASV进行外部漏洞扫描。您可能还需要每月向MSP支付10到20美元,以实现持续的PCI合规性。
底线
维持PCI合规性应该是任何商家待办事项列表的首要任务。 PCI合规性要求很简单,并不像数据泄露那样昂贵,特别是如果您不合规的话。您的支付处理器或MSP本身应符合PCI标准,这也是您遵守标准所必需的。
使用Fattmerchant注册时,没有额外的PCI合规性费用。服务提供商保持自己的PCI合规性,它也可以帮助您实现PCI兼容性。如果您对维护安全的业务环境有任何疑问,可以向Fattmerchant客户经理咨询。立即申请帐户。
访问Fattmerchant
