我阅读了大量有关 PCI DSS 及其要求的文章,但我不清楚究竟是什么决定了组织是否需要担心 PCI DSS 合规性。
我们接受使用基本付款高速 6200POS 终端通过我们的办公室 LAN 连接到互联网。我们不使用 VLAN。该终端未与任何支付处理应用程序集成,它只是打印纸质收据。
我是否需要担心 PCI DSS 合规性?
答案1
一般来说,如果你将支付卡数据存储在某个地方,你将受到支付卡行业数据安全标准警察(AMEX、VISA、MASTERCARD)。如果您使用第三方进行交易和存储支付卡数据,那么他们应该能够为您提供 PCI-DSS 审计报告/认证。他们还可能要求您通过服务协议/合同遵守他们的规则。
答案2
如果您存储、传输或处理“帐户数据”,则必须符合 PCI 标准。在PCI DSS 2.0,“账户数据”由“持卡人数据”和“敏感身份验证数据”组成。
持卡人数据包括:
- 主帐号 (PAN)
- 持卡人姓名
- 截止日期
- 服务代码
敏感的身份验证数据包括:
- 完整的磁条数据或芯片上的等效数据
- CVV2/CAV2 接口
- PIN 码/PIN 块
当确切定义存在疑问时,词汇表有帮助。
这些数据的处理方式决定了 PCI自我评估问卷(SAQ)适用于您的业务。遗憾的是,您提供的信息不足以让我自信地确定哪些 SAQ 适用于您的业务。SAQ 指南的摘录应该会有所帮助:
SAQ A - 无需持卡(电子商务或邮寄/电话订购)的商家,所有持卡人数据功能均外包。这绝不适用于面对面的商家。
SAQ B - 没有电子持卡人数据存储的仅印刷式商家,或没有电子持卡人数据存储的独立拨出终端商家
SAQ C-VT——商户仅使用基于网络的虚拟终端,不存储持卡人的电子数据
SAQ C——支付应用系统连接到互联网的商家,没有电子持卡人数据存储
SAQ D——上述 SAQ 类型 A 至 C 描述中未包括的所有其他商家,以及支付品牌定义为有资格完成 SAQ 的所有服务提供商。
此外,您处理的交易量决定了适用于您业务的 PCI 级别。虽然不同信用卡公司之间的要求略有不同,但通常非常相似。此外,服务提供商和商家对级别的要求也不同。所有级别都需要每季度扫描一次。大多数级别需要每年进行自我评估。最后,在 1 级,您必须让合格的安全评估员 (QSA/审计员) 完成您的合规报告。(ROC)
如果您符合上述条件,则必须在某种程度上正式遵守 PCI 规定。不过,您的银行或收单机构最终将决定您的 PCI 报告要求。做好功课,然后联系您的银行,他们是确定最终期望的最佳选择。
答案3
是的,任何接受 Visa 付款的人都必须符合 PCI DSS 标准。
所有参与 Visa 支付流程的商家都必须遵守 PCI 数据安全标准。该标准是帐户信息安全计划的基础。
然而,Visa不是要求四级商户验证其合规性。
4 级商家:完成年度 PCI 问卷和 PCI 安全扫描是可选的,但强烈建议这样做。根据 Acquires 的判断,某些 4 级商家可能需要验证是否符合 PCI DSS。虽然 4 级商家目前不需要验证合规性,但他们的网络必须符合 PCI-DSS。
答案4
您的银行将最适合就此向您提供建议。
但是从您在问题中详细说明的情况来看,您是通过手持终端接受付款的。这将为持卡人打印收据,并为您记录商家收据。
根据 DSS,这些商户收据被称为“纸质媒体”,您必须安全存储这些收据,并且只有授权人员才能访问它们。DSS 甚至规定了如何处理、记录和处置实体或电子媒体。
如果您有任何疑问,请致电您的银行,他们将能够澄清情况,但从您在此处详细说明的内容来看,您必须符合 PCI DSS 标准。