PCI DSS Self-Assessment Questionnaire
Directive Statement
Kaikkien kauppapaikkojen tai yksiköiden, jotka tallentavat, käsittelevät tai siirtävät kortinhaltijatietoja, on suoritettava vuosittainen itsearviointi yhteistyössä Payment Card Operationsin kanssa.
Direktiivin perustelut
Floridan yliopiston luottokorttikauppiaiden on noudatettava tiukkoja menettelyjä asiakkaiden luottokorttitietojen suojaamiseksi ja PCI DSS:n noudattamisen maksimoimiseksi. Tietojen suojaamisen laiminlyönti voi johtaa asiakkaiden taloudellisiin tappioihin, luottokorttien käsittelyoikeuksien keskeyttämiseen, luottokorttikauppiaille määrättäviin sakkoihin ja yliopiston maineen vahingoittumiseen.
Kenen on noudatettava?
Kaikki yliopiston yksiköt, joiden henkilökunta tallentaa, käsittelee tai välittää kortinhaltijoiden tietoja. Tämä koskee myös yksiköitä, jotka ulkoistavat maksukorttitietojen käsittelyn kolmansille osapuolille.
Yleiskatsaus
PCI DSS:n itsearviointikyselylomake (Self-Assessment Questionnaire, SAQ) on validointityökalu, jonka tarkoituksena on auttaa kauppiaita ja palveluntarjoajia itsearvioimaan PCI DSS:n noudattamista. Kaikkien Floridan yliopiston kampuksen kauppiaiden on täytettävä SAQ joka vuosi. SAQ:sta on olemassa useita versioita eri skenaarioita varten.
SAQ | Kuvaus |
---|---|
A | Card-not-present (sähköinen kaupankäynti tai postitse/puhelimitse tilatut) kauppiaat, jotka ovat täysin ulkoistaneet kaikki kortinhaltijatietotoiminnot PCI DSS -standardin mukaiselle ulkopuoliselle palveluntarjoajalle, eikä kortinhaltijatietoja tallenneta, käsitellä tai välitetä sähköisesti kauppiaan järjestelmissä tai tiloissa. Ei sovelleta kasvokkain tapahtuviin kanaviin |
A-EP | E-commerce-kauppiaat, jotka ulkoistavat kaikki maksujen käsittelyt PCI DSS -validoidulle kolmannelle osapuolelle ja joilla on verkkosivusto(t), joka(t) ei(t) vastaanota suoraan kortinhaltijan tietoja, mutta joka(t) voi(vat) vaikuttaa maksutapahtuman turvallisuuteen. Ei kortinhaltijan tietojen sähköistä tallennusta, käsittelyä tai siirtoa kauppiaan järjestelmissä tai tiloissa. Käytetään vain sähköisen kaupankäynnin kanavissa |
B | Kauppias käyttää vain:
Ei sovelleta sähköisen kaupankäynnin kanaviin |
B-IP | Kauppiasyritykset, jotka käyttävät ainoastaan itsenäisiä, PTS:n hyväksymiä maksupäätteitä, joilla on IP-yhteys maksuprosessoriin ja joissa ei ole sähköistä kortinhaltijatietojen tallennusta. Ei sovelleta sähköisen kaupankäynnin kanaviin |
C-VT | Kauppias, joka syöttää manuaalisesti yhden maksutapahtuman kerrallaan näppäimistön kautta internetpohjaiseen virtuaaliseen maksupäätelaiteratkaisuun, jonka tarjoaa ja isännöi PCI DSS:n validoima kolmannen osapuolen palveluntarjoaja. Ei sähköistä kortinhaltijatietojen tallennusta. Ei sovelleta sähköisen kaupankäynnin kanaviin |
C | Myyjät, joiden maksusovellusjärjestelmät on liitetty internetiin – ei sähköistä kortinhaltijatietojen tallennusta Ei sovelleta sähköisen kaupankäynnin kanaviin |
D | SAQ D Kauppiaille: Kaikki kauppiaat, jotka eivät sisälly edellä mainittujen SAQ-tyyppien kuvauksiin
SAQ D palveluntarjoajille: Kaikki palveluntarjoajat, jotka maksupalvelumerkki on määritellyt SAQ:n suorittamiseen kelpaaviksi |
P2PE | Kauppiaat, jotka käyttävät ainoastaan laitteistomaksupäätteitä, jotka sisältyvät validoituun, PCI SSC:n listalle merkittyyn pistekohtaiseen salausratkaisuun (Point-to-Point Encryption (PP2E)) ja joita hallinnoidaan sen avulla, eikä kortinhaltijan tietoja tallenneta sähköisesti. Ei koske sähköisen kaupankäynnin kanavia. |
PCI Security Standards Council tarjoaa SAQ Instruction Guide -oppaan, joka auttaa vuotuisen SAQ:n täyttämisessä.
Määritelmät
Maksukorttiteollisuuden tietoturvastandardit (PCI DSS)
Maksukorttiteollisuuden tietoturvastandardi (Payment Card Industry Data Security Standard, PCI DSS)
Definitions
Payment Card Industry Data Security Standards (PCI DSS)
Maksukorttiteollisuuden tietoturvastandardi (PCI DSS) on suunniteltu rohkaisemaan ja parantamaan korttien haltijoiden turvallisuussuojattua tietosuojattua dataa ja helpottamaan johdonmukaisten tietoturvatoimien laajamittaista käyttöön ottamista maailmanlaajuisesti. PCI DSS koskee kaikkia maksukorttien käsittelyyn osallistuvia tahoja, kuten kauppiaita, käsittelijöitä, korttitapahtumien vastaanottajia, liikkeeseenlaskijoita ja palveluntarjoajia. PCI DSS koskee myös kaikkia muita yhteisöjä, jotka tallentavat, käsittelevät tai välittävät kortinhaltijoiden tietoja.
Viimeisin tarkistettu
31.01.2021: tarkistettu sisältö
.