Я много читал о PCI DSS и его требованиях, но мне неясно, что именно определяет, нужно ли организации беспокоиться о соответствии PCI DSS.
Мы принимаем платежи по базовому HiSpeed 6200 POS-терминал, подключенный к Интернету через локальную сеть нашего офиса. Мы не используем VLAN. Терминал не интегрирован ни с одним приложением для обработки платежей, он просто распечатывает бумажные квитанции.
Нужно ли мне беспокоиться о соответствии PCI DSS?
Если вы храните, передаете или обрабатываете «Данные учетной записи», вы должны соответствовать требованиям PCI. В рамках PCI DSS 2.0, «Учетные данные» состоят из «Данных о держателях карты» и «Конфиденциальных данных аутентификации».
Данные держателя карты включают:
Конфиденциальные данные аутентификации включают:
Когда точное определение находится под вопросом, глоссарий помогает.
То, как обрабатываются эти данные, определяет, какой PCI Анкета самооценки (SAQ) применимо к вашему бизнесу. К сожалению, вы не предоставляете мне достаточно информации, чтобы с уверенностью определить, какой опросный лист подходит для вашего бизнеса. Отрывок из руководства SAQ должен помочь:
ОЛС A - Продавцы без карты (электронная коммерция или заказ по почте / телефону), все функции обработки данных о держателях карт переданы на аутсорсинг. Это никогда не применимо к торговцам, работающим лицом к лицу.
Вопрос-ответ B - Продавцы, работающие только с выходными данными, без электронного хранилища данных о держателях карт или продавцы с автономными телефонными терминалами без электронного хранилища данных о держателях карт
SAQ C-VT - Торговцы, использующие только виртуальные веб-терминалы, без электронного хранения данных о держателях карт
ОЛС C - Торговцы с системами платежных приложений, подключенными к Интернету, без электронного хранения данных о держателях карт
ОЛС D - Все остальные продавцы, не включенные в описания для типов ОЛС от A до С выше, и все поставщики услуг, определенные платежным брендом как имеющие право заполнять ОЛС.
Кроме того, объем обрабатываемых транзакций определяет, какой уровень PCI применим к вашему бизнесу. Хотя это немного различается между карточными компаниями, обычно они очень похожи. Кроме того, требования к уровням различаются у разных поставщиков услуг и продавцов. Все уровни требуют ежеквартального сканирования. Большинство из них требует ежегодной самооценки. Наконец, на уровне 1 у вас должен быть квалифицированный оценщик безопасности (QSA / аудитор) для заполнения вашего отчета о соответствии. (ROC)
Хотя, если вы подпадаете под указанные выше квалификации, вы должны официально соответствовать требованиям PCI на каком-то уровне. Тем не менее, ваш банк или эквайер в конечном итоге определят ваши требования к отчетности по PCI. Сделайте домашнее задание, а затем обратитесь в свой банк, они - ваш лучший выбор для определения окончательных ожиданий.
Как правило, если вы где-то храните данные платежной карты, вас будет проверять PCI-DSS полиция (AMEX, VISA, MASTERCARD). Если вы используете стороннюю организацию для транзакций и хранения данных платежных карт, они должны иметь возможность предоставить вам свой отчет / сертификат аудита PCI-DSS. Они также могут потребовать от вас соблюдения их правил посредством соглашения / контракта о предоставлении услуг.
Да, любой, кто принимает платежи Visa, должен соответствовать требованиям PCI DSS.
Все продавцы, участвующие в процессе оплаты Visa, должны соответствовать стандарту безопасности данных PCI. Стандарт является основой программы защиты информации учетной записи.
Источник: Руководство продавца по обеспечению безопасности информации о счете Visa
Однако Visa не требовать от торговцев 4-го уровня подтверждения их соответствия.
Торговцы уровня 4: заполнение годовой анкеты PCI и сканирование безопасности PCI не являются обязательными, но настоятельно рекомендуется. По усмотрению компании Acquires некоторым торговым предприятиям уровня 4 может потребоваться проверка соответствия требованиям PCI DSS. Хотя продавцы уровня 4 не обязаны подтверждать соответствие в настоящее время, их сеть должна соответствовать требованиям PCI-DSS.
Источник: Предотвращение мошенничества и безопасность, Ресурсы для продавцов | Visa.ca
Ваш банк будет лучше всего проконсультировать вас по этому поводу.
Однако из того, что вы указали в своем вопросе, вы принимаете платежи с помощью портативного терминала. Это будет распечатка квитанций для держателя карты и квитанции продавца для ваших записей.
Эти квитанции продавца называются «бумажными носителями» согласно DSS, и вы обязаны хранить эти квитанции в безопасном месте, и только уполномоченный персонал должен иметь к ним доступ. DSS даже предписывает, как обращаться, записывать и утилизировать носители, физические или электронные.
Если у вас есть какие-либо сомнения, позвоните в свой банк, который сможет уточнить позицию, но, судя по тому, что вы здесь подробно рассказали, вы должны соответствовать требованиям PCI DSS.