Dotazník pro sebehodnocení PCI DSS
Direktivní prohlášení
Všechna obchodní místa nebo jednotky, které uchovávají, zpracovávají nebo přenášejí údaje držitelů karet, musí každoročně provést sebehodnocení ve spolupráci se společností Payment Card Operations.
Důvod směrnice
Prodejci kreditních karet na Floridské univerzitě jsou povinni dodržovat přísné postupy na ochranu údajů o kreditních kartách zákazníků a maximalizovat soulad s PCI DSS. Nedodržení ochrany těchto informací může mít za následek finanční ztráty pro zákazníky, pozastavení práv na zpracování kreditních karet, pokuty uložené obchodníkům s kreditními kartami a poškození pověsti univerzity.
Kdo musí dodržovat požadavky?
Všechna oddělení univerzity, jejichž zaměstnanci uchovávají, zpracovávají nebo přenášejí informace o držitelích karet. Týká se to také útvarů, které zadávají zpracování informací o platebních kartách externím dodavatelům.
Přehled
Dotazník pro sebehodnocení PCI DSS (SAQ) je ověřovací nástroj, který má pomoci obchodníkům a poskytovatelům služeb při sebehodnocení jejich souladu s PCI DSS. Všichni obchodníci v areálu Floridské univerzity jsou povinni vyplnit SAQ každý rok. Existuje několik verzí SAQ, které odpovídají různým scénářům.
SAQ | Popis |
---|---|
A | Obchodníci s kartami bez přítomnosti (elektronický obchod nebo poštovní/telefonní objednávky), kteří plně outsourcovali všechny funkce týkající se údajů o držitelích karet externímu poskytovateli služeb, který splňuje požadavky PCI DSS, přičemž v systémech nebo prostorách obchodníka nedochází k elektronickému ukládání, zpracování ani přenosu jakýchkoli údajů o držitelích karet. Nevztahuje se na osobní kanály |
A-EP | E-obchodníci, kteří zadávají veškeré zpracování plateb třetím stranám s validací PCI DSS a kteří mají webové stránky, které nepřijímají přímo údaje držitelů karet, ale které mohou ovlivnit bezpečnost platební transakce. Žádné elektronické ukládání, zpracování nebo přenos údajů o držitelích karet v systémech nebo prostorách obchodníka. Platí pouze pro kanály elektronického obchodování |
B | Používají pouze obchodníci:
Neplatí pro kanály elektronického obchodu |
B-IP | Prodejci používající pouze samostatné platební terminály schválené PTS s IP připojením ke zpracovateli plateb bez elektronického úložiště dat držitelů karet. Neplatí pro kanály elektronického obchodování |
C-VT | Prodejci, kteří manuálně zadávají jednu transakci najednou prostřednictvím klávesnice do internetového řešení virtuálního platebního terminálu, který je poskytován a hostován poskytovatelem služeb třetí strany s oprávněním PCI DSS. Žádné elektronické ukládání údajů o držitelích karet. Neplatí pro kanály elektronického obchodování |
C | Prodejci se systémy platebních aplikací připojenými k internetu – žádné elektronické ukládání údajů o držitelích karet Neplatí pro kanály elektronického obchodování |
D | SAQ D pro obchodníky: Všichni obchodníci, kteří nejsou zahrnuti v popisech výše uvedených typů SAQ
SAQ D pro poskytovatele služeb: Všichni poskytovatelé služeb definovaní platební značkou jako způsobilí k vyplnění SAQ |
P2PE | Obchodníci, kteří používají pouze hardwarové platební terminály zahrnuté do validovaného řešení Point-to-Point Encryption (PP2E) zařazeného na seznam PCI SSC a spravované prostřednictvím tohoto řešení, bez elektronického ukládání dat držitelů karet. Nevztahuje se na kanály elektronického obchodu. |
Rada pro bezpečnostní standardy PCI poskytuje příručku SAQ Instruction Guide, která pomáhá při vyplňování každoročního SAQ.
Definice
Standardy zabezpečení dat v odvětví platebních karet (PCI DSS)
Standard zabezpečení dat v odvětví platebních karet (PCI DSS) byl vyvinut s cílem podpořit a zvýšit zabezpečení dat držitelů karet a usnadnit široké přijetí konzistentních opatření pro zabezpečení dat na celém světě. PCI DSS se vztahuje na všechny subjekty zapojené do zpracování platebních karet, včetně obchodníků, zpracovatelů, nabyvatelů, vydavatelů a poskytovatelů služeb. PCI DSS se vztahuje také na všechny ostatní subjekty, které uchovávají, zpracovávají nebo předávají údaje držitelů karet.
Poslední revize
31.01.2021: revidovaný obsah
.