Kwestionariusz samooceny PCI DSS
Dyrektywa
Wszystkie lokalizacje lub jednostki handlowe, które przechowują, przetwarzają lub przesyłają dane posiadaczy kart muszą przeprowadzać coroczną samoocenę we współpracy z Payment Card Operations.
Reason for Directive
Sprzedawcy kart kredytowych na University of Florida są zobowiązani do przestrzegania ścisłych procedur w celu ochrony danych kart kredytowych klientów i maksymalizacji zgodności z PCI DSS. Brak ochrony takich informacji może skutkować stratami finansowymi dla klientów, zawieszeniem przywilejów przetwarzania kart kredytowych, grzywnami nakładanymi na sprzedawców kart kredytowych oraz uszczerbkiem na reputacji Uniwersytetu.
Kto musi się podporządkować?
Wszystkie działy Uniwersytetu, których pracownicy przechowują, przetwarzają lub przekazują informacje o posiadaczach kart. Dotyczy to również jednostek, które zlecają przetwarzanie informacji o kartach płatniczych zewnętrznym dostawcom.
Przegląd
Kwestionariusz samooceny PCI DSS (SAQ) jest narzędziem walidacji mającym na celu pomoc handlowcom i dostawcom usług w samoocenie ich zgodności z PCI DSS. Wszyscy handlowcy z kampusu Uniwersytetu Florydy są zobowiązani do corocznego wypełniania SAQ. Istnieje wiele wersji SAQ, aby sprostać różnym scenariuszom.
SAQ | Opis |
---|---|
A | Sprzedawcy nieposiadający karty (e-handel lub zamówienia pocztowe/telefoniczne), którzy w pełni zlecili wszystkie funkcje związane z danymi posiadacza karty zewnętrznemu dostawcy usług zgodnemu z PCI DSS, bez elektronicznego przechowywania, przetwarzania lub przekazywania jakichkolwiek danych posiadacza karty w systemach lub pomieszczeniach sprzedawcy. Nie dotyczy kanałów bezpośrednich |
A-EP | Handlowcy, którzy zlecają wszystkie funkcje przetwarzania płatności stronom trzecim zgodnym z PCI DSS i którzy posiadają stronę internetową (strony internetowe), która nie otrzymuje bezpośrednio danych posiadaczy kart, ale może mieć wpływ na bezpieczeństwo transakcji płatniczej. Brak elektronicznego przechowywania danych, przetwarzania lub przesyłania danych użytkowników kart w systemach lub pomieszczeniach handlowca. Odnosi się tylko do kanałów e-commerce |
B | Merchantów używających tylko:
Nie dotyczy kanałów e-commerce |
B-IP | Merchantów korzystających wyłącznie z samodzielnych, zatwierdzonych przez PTS terminali płatniczych z połączeniem IP do procesora płatności bez elektronicznego przechowywania danych posiadaczy kart. Nie dotyczy kanałów handlu elektronicznego |
C-VT | Rzemieślnicy, którzy ręcznie wprowadzają pojedynczą transakcję za pomocą klawiatury do rozwiązania internetowego, wirtualnego terminala płatniczego, który jest dostarczany i hostowany przez zewnętrznego dostawcę usług zatwierdzonego zgodnie z PCI DSS. Brak elektronicznego przechowywania danych posiadaczy kart. Nie dotyczy kanałów e-commerce |
C | Merchantów z systemami aplikacji płatniczych podłączonych do Internetu – brak elektronicznego przechowywania danych posiadaczy kart Nie dotyczy kanałów e-commerce |
D | SAQ D dla Akceptantów: Wszyscy akceptanci nieuwzględnieni w opisach dla powyższych typów SAQ
SAQ D for Service Providers: Wszyscy dostawcy usług określeni przez markę płatniczą jako kwalifikujący się do wypełnienia SAQ |
P2PE | Handlowcy korzystający wyłącznie ze sprzętowych terminali płatniczych objętych i zarządzanych przez zatwierdzone, znajdujące się na liście PCI SSC rozwiązanie Point-to-Point Encryption (PP2E), bez przechowywania danych elektronicznych posiadacza karty. Nie dotyczy kanałów handlu elektronicznego. |
Rada Standardów Bezpieczeństwa PCI udostępnia Przewodnik Instrukcji SAQ, aby pomóc w wypełnieniu corocznego SAQ.
Definicje
Standardy Bezpieczeństwa Danych Przemysłu Kart Płatniczych (PCI DSS)
Standard Bezpieczeństwa Danych Przemysłu Kart Płatniczych (PCI DSS) został opracowany, aby zachęcić i zwiększyć bezpieczeństwo danych posiadaczy kart oraz ułatwić szerokie przyjęcie spójnych środków bezpieczeństwa danych na całym świecie. PCI DSS dotyczy wszystkich podmiotów zajmujących się przetwarzaniem kart płatniczych, w tym akceptantów, przetwórców, acquirerów, emitentów i dostawców usług. PCI DSS odnosi się również do wszystkich innych podmiotów, które przechowują, przetwarzają lub przekazują dane użytkowników kart.
Ostatnio sprawdzane
01/31/2021: zawartość sprawdzana
.