PCI DSS önértékelési kérdőív
irányelv nyilatkozat
A kártyabirtokosok adatait tároló, feldolgozó vagy továbbító kereskedőhelyeknek vagy egységeknek évente önértékelést kell végezniük a Payment Card Operations-szel együttműködve.
Az irányelv indoka
A Floridai Egyetemen működő hitelkártya-kereskedőknek szigorú eljárásokat kell követniük az ügyfelek hitelkártyaadatainak védelme és a PCI DSS-nek való maximális megfelelés érdekében. Az ilyen adatok védelmének elmulasztása az ügyfelek pénzügyi veszteségét, a hitelkártya-feldolgozási jogosultságok felfüggesztését, a hitelkártya-kereskedőkre kiszabott bírságokat és az egyetem hírnevének romlását eredményezheti.
Ki köteles betartani?
Az egyetem minden olyan részlege, amelynek személyzete a kártyabirtokosok adatait tárolja, feldolgozza vagy továbbítja. Ez vonatkozik azokra az egységekre is, amelyek a fizetési kártyaadatok feldolgozását kiszervezik harmadik féltől származó szállítóknak.
Áttekintés
A PCI DSS önértékelési kérdőív (SAQ) egy olyan validációs eszköz, amelynek célja, hogy segítse a kereskedőket és a szolgáltatókat a PCI DSS-nek való megfelelésük önértékelésében. A Floridai Egyetem minden egyetemi kereskedőjének minden évben ki kell töltenie egy SAQ-t. A SAQ-nak több változata is létezik a különböző forgatókönyveknek való megfelelés érdekében.
| SAQ | leírás |
|---|---|
| A | Card-not-present (e-kereskedelem vagy postai/telefonos rendelés) kereskedők, amelyek a kártyabirtokosok adataira vonatkozó összes funkciót teljes mértékben kiszervezték a PCI DSS-nek megfelelő harmadik fél szolgáltatónak, és a kártyabirtokosok adatainak elektronikus tárolása, feldolgozása vagy továbbítása nem történik a kereskedő rendszereiben vagy helyiségeiben. Nem vonatkozik a személyes csatornákra |
| A-EP | E-kereskedelmi kereskedők, akik az összes fizetési műveletet PCI DSS által hitelesített harmadik félhez szervezik ki, és akik olyan weboldal(ak)kal rendelkeznek, amelyek nem fogadnak közvetlenül kártyabirtokosi adatokat, de hatással lehetnek a fizetési művelet biztonságára. A kártyabirtokosok adatainak elektronikus adattárolása, feldolgozása vagy továbbítása a kereskedő rendszereiben vagy helyiségeiben nem történik. Kizárólag az e-kereskedelmi csatornákra alkalmazható |
| B | Kizárólag kereskedők használják:
E-kereskedelmi csatornákra nem alkalmazható |
| B-IP | Kereskedők, akik kizárólag önálló, PTS által jóváhagyott, a fizetési processzorhoz IP-kapcsolattal rendelkező, elektronikus kártyabirtokosi adattárolás nélküli fizetési terminálokat használnak. E-kereskedelmi csatornákra nem alkalmazható |
| C-VT | Kereskedők, akik kézzel, billentyűzeten keresztül egyszerre egyetlen tranzakciót írnak be egy internetes alapú, virtuális fizetési terminál megoldásba, amelyet egy PCI DSS által hitelesített harmadik fél szolgáltató biztosít és hosztol. Nincs elektronikus kártyabirtokos-adattárolás. Nem alkalmazható az e-kereskedelmi csatornákra |
| C | Kereskedők, akiknek fizetési alkalmazási rendszere az internethez kapcsolódik – nincs elektronikus kártyabirtokos-adattárolás Nem alkalmazható az e-kereskedelmi csatornákra |
| D | SAQ D a kereskedők számára: A fenti SAQ-típusok leírásaiban nem szereplő összes kereskedő
SAQ D szolgáltatók számára: Minden olyan szolgáltató, amelyet egy fizetési márka úgy határoz meg, hogy jogosult egy SAQ kitöltésére |
| P2PE | Kereskedők, akik kizárólag olyan hardveres fizetési terminálokat használnak, amelyek validált, a PCI SSC listáján szereplő Point-to-Point Encryption (PP2E) megoldásban szerepelnek, és amelyek nem tartalmaznak elektronikus kártyabirtokosi adatok tárolását. E-kereskedelmi csatornákra nem vonatkozik. |
A PCI Biztonsági Szabványok Tanácsa az éves SAQ kitöltését segítő SAQ Instruction Guide-ot biztosít.
Definíciók
Payment Card Industry Data Security Standards (PCI DSS)
A Payment Card Industry Data Security Standard (PCI DSS) a kártyabirtokosok adatbiztonságának ösztönzése és javítása, valamint az egységes adatbiztonsági intézkedések globálisan széles körű elfogadásának elősegítése érdekében került kidolgozásra. A PCI DSS a fizetési kártyák feldolgozásában részt vevő valamennyi szervezetre vonatkozik, beleértve a kereskedőket, feldolgozókat, elfogadóhelyeket, kibocsátókat és szolgáltatókat. A PCI DSS minden más, a kártyabirtokosok adatait tároló, feldolgozó vagy továbbító szervezetre is vonatkozik.
Legutóbbi felülvizsgálat
01/31/2021: felülvizsgált tartalom