我们必须符合 PCI-DSS 标准,这样我们才能通过网站和办公室处理客户付款。我们的网络由一台 SBS 2008 服务器和 10 个工作站组成,全部连接到戴尔交换机上的单个 LAN。互联网路由器是 DrayTek 2820n。
我们现有的网络设置需要做什么才能符合 PCI-DSS 标准吗?
答案1
外包。说真的,如果你还不了解 PCI,等你了解后就会讨厌它。在这么小的办公室里,没有理由在内部处理付款。使用第三方提供商(如 PayPal,你的银行也可能有选择)。获得网络认证可能会花费你一大笔钱。使用第三方服务会让你在每笔交易上多花一点钱,但盈亏平衡点将是数千笔交易(或更多)。
答案2
是的,还有很多工作要做。首先,安全标准列表如下: https://www.pcisecuritystandards.org/security_standards/
整个列表适用于所有规模的环境。唯一会根据您处理的信用卡号数量以及您是否是其他零售店面的服务提供商而变化的是必须定期执行的审计级别。
如果您以前从未经历过这个过程,并且您的环境不需要第三方审核,我建议您第一次至少进行一次审核,以确保您遵循了安全标准文件中列出的准则。
如果可能的话,我强烈建议使用第三方支付处理器来避免 PCI 合规性要求。完全合规是一项非常昂贵的工作。