我已经阅读了很多关于PCI DSS及其要求的内容,但是我不清楚组织是否需要担心PCI DSS合规性。
我们接受使用通过我们的办公室局域网连接到互联网的基本HiSpeed 6200 POSterminal的付款。 我们没有使用VLAN。 该terminal没有与任何支付处理应用程序集成,只是打印出纸张收据。
我是否需要担心PCI DSS合规性?
一般来说,如果您将支付卡数据存储在某个地方,您将由PCI-DSS警察(AMEX,VISA,MASTERCARD)进行审计。 如果您使用第三方进行交易和存储支付卡数据,那么他们应该能够为您提供PCI-DSS审计报告/证书。 他们还可能要求您遵守他们的规定,通过服务协议/合同。
如果您存储,传输或处理“帐户数据”,则您必须符合PCI标准。 在PCI DSS 2.0中 ,“帐户数据”由“持卡人数据”和“敏感validation数据”组成。
持卡人数据包括:
敏感身份validation数据包括:
当确切的定义存在疑问时, 词汇表将有所帮助。
如何处理这些数据决定了什么PCI 自我评估问卷 (SAQ)适用于您的业务。 不幸的是,您不能提供足够的信息来自信地确定SAQ适用于您的业务。 SAQ指南的摘录应该有助于:
SAQ A – 卡片不在场(电子商务或邮件/电话订单)商户,所有持卡人数据function外包。 这绝对不适用于面对面的商人。
SAQ B – 没有电子持卡人数据存储的仅印记商户,或者没有电子持卡人数据存储的独立拨号terminal商户
SAQ C-VT – 仅使用基于networking的虚拟terminal的商家,没有电子持卡人数据存储
SAQ C – 支付应用系统连接到互联网的商家,没有电子持卡人数据存储
SAQ D – 上述SAQtypes的描述中未包括的所有其他商家,以及由支付品牌定义的所有服务提供商有资格完成SAQ。
此外,您处理的事务量决定了什么PCI级别适用于您的业务。 虽然这在卡公司之间稍有不同,但通常非常相似。 此外,服务提供商和商家之间的等级要求也不相同。 所有级别都需要季度扫描。 大多数需要年度自我评估。 最后,在第1级,您必须有合格的安全评估员(QSA /审核员)填写您的合规报告。 (鹏)
而如果你属于上面确定的资格,你将正式在某种程度上必须是PCI兼容。 不过,您的银行或收单机构将最终确定您的PCI报告要求。 做你的功课,然后联系你的银行,他们是确定最终期望的最佳select。
是的,任何接受Visa付款的人都必须符合PCI DSS标准。
所有参与Visa支付stream程的商家都必须符合PCI数据安全标准。 该标准是账户信息安全计划的基础。
资料来源: Visa账户信息安全商家指南
但是,Visa不要求第4级商家来validation其合规性。
4级商家:完成年度PCI调查问卷和PCI安全扫描是可选的,但强烈build议。 根据Acquire的判断,某些4级商户可能需要validation是否符合PCI DSS。 虽然4级商户此时不需要validation合规性,但他们的networking必须符合PCI-DSS标准。
来源: 欺诈预防与安全,商业资源| Visa.ca
您的银行将被放置在这方面为您提供build议。
但是,从您在问题中详细说明的情况来看,您正在接受手持terminal的付款。 这将打印持卡人的收据和商业收据以供logging。
这些商户收据被称为DSS下的“纸质媒体”,您必须安全地存储这些收据,只有经过授权的人员才能访问这些收据。 DSS甚至要求如何处理,logging和处理媒体,物理或电子媒体。
如果您有任何疑问,请致电您的银行以明确职位,但从您在此处详述的内容中,您必须符合PCI DSS标准。