Spørgeskema til PCI DSS-selvvurdering
Direktiverklæring
Alle handelssteder eller enheder, der opbevarer, behandler eller overfører kortholderdata, skal foretage en årlig selvvurdering i samarbejde med Payment Card Operations.
Begrundelse for direktiv
Kreditkortforhandlere på University of Florida er forpligtet til at følge strenge procedurer for at beskytte kundernes kreditkortdata og maksimere overholdelsen af PCI DSS. Manglende beskyttelse af sådanne oplysninger kan resultere i økonomiske tab for kunderne, suspension af kreditkortbehandlingsprivilegier, bøder pålagt kreditkorthandlere og skade på universitetets omdømme.
Hvem skal overholde kravene?
Alle universitetsafdelinger, hvis personale opbevarer, behandler eller overfører kortindehaveroplysninger. Dette gælder også for enheder, der outsourcer behandlingen af betalingskortoplysninger til tredjepartsleverandører.
Overblik
PCI DSS Self-Assessment Questionnaire (SAQ) er et valideringsværktøj, der har til formål at hjælpe handlende og tjenesteudbydere med at foretage en selvevaluering af deres overholdelse af PCI DSS. Alle handlende på University of Floridas campus skal udfylde et SAQ hvert år. Der findes flere versioner af SAQ’en for at imødekomme forskellige scenarier.
| SAQ | Beskrivelse | |
|---|---|---|
| A | Card-not-present- (e-handel eller post/telefonordre) forhandlere, som har outsourcet alle funktioner vedrørende kortholderdata fuldt ud til en tredjepartstjenesteudbyder, der overholder PCI DSS, og som ikke har nogen elektronisk lagring, behandling eller overførsel af kortholderdata på den handlendes systemer eller i dennes lokaler. Gælder ikke for ansigt-til-ansigt-kanaler |
|
| A-EP | E-handelsforhandlere, som outsourcer al betalingsbehandling til PCI DSS-validerede tredjeparter, og som har et eller flere websteder, der ikke direkte modtager kortholderdata, men som kan påvirke betalingstransaktionens sikkerhed. Ingen elektronisk datalagring, -behandling eller -overførsel af kortindehaveroplysninger på den handlendes systemer eller i dennes lokaler. Gælder kun for e-handelskanaler |
|
| B | Handelsmænd, der kun anvender:
Gælder ikke for e-handelskanaler |
|
| B-IP | Handlende, der kun anvender standalone, PTS-godkendte betalingsterminaler med en IP-forbindelse til betalingsformidleren uden elektronisk lagring af kortholderdata. Gælder ikke for e-handelskanaler |
|
| C-VT | Handelsdrivende, der manuelt indtaster en enkelt transaktion ad gangen via et tastatur i en internetbaseret, virtuel betalingsterminalløsning, der leveres og hostes af en PCI DSS-valideret tredjepartstjenesteudbyder. Ingen elektronisk lagring af kortholderdata. Gælder ikke for e-handelskanaler |
|
| C | Handlende med betalingsapplikationssystemer forbundet til internettet – ingen elektronisk lagring af kortholderdata Gælder ikke for e-handelskanaler |
|
| D | SAQ D for handlende: Alle handlende, der ikke er omfattet af beskrivelserne for ovenstående SAQ-typer
SAQ D for tjenesteudbydere: Alle tjenesteudbydere, der af et betalingsmærke er defineret som berettigede til at udfylde en SAQ |
|
| P2PE | Handelsselskaber, der kun anvender hardware betalingsterminaler, der indgår i og forvaltes via en valideret, PCI SSC-listet Point-to-Point Encryption (PP2E)-løsning (PP2E), uden lagring af elektroniske kortholderdata. Gælder ikke for e-handelskanaler. |
PCI Security Standards Council stiller SAQ Instruction Guide til rådighed for at hjælpe med at udfylde den årlige SAQ.
Definitioner
Payment Card Industry Data Security Standards (PCI DSS)
Payment Card Industry Data Security Standard (PCI DSS) blev udviklet for at fremme og forbedre sikkerheden af kortholderdata og lette den brede vedtagelse af konsekvente datasikkerhedsforanstaltninger på globalt plan. PCI DSS gælder for alle enheder, der er involveret i betalingskortbehandling, herunder handlende, forarbejdningsvirksomheder, erhververe, udstedere og tjenesteudbydere. PCI DSS gælder også for alle andre enheder, der opbevarer, behandler eller overfører kortholderdata.
Sidst revideret
31/01/2021: revideret indhold