Chestionar de autoevaluare PCI DSS
Declarație directivă
Toate locațiile sau unitățile comercianților care stochează, procesează sau transmit date ale titularilor de carduri trebuie să efectueze o autoevaluare anuală în parteneriat cu Payment Card Operations.
Motivul directivei
Comercianții de carduri de credit de la Universitatea din Florida sunt obligați să urmeze proceduri stricte pentru a proteja datele cardurilor de credit ale clienților și pentru a maximiza conformitatea cu PCI DSS. Neprotejarea acestor informații poate duce la pierderi financiare pentru clienți, la suspendarea privilegiilor de procesare a cardurilor de credit, la amenzi impuse comercianților de carduri de credit și la afectarea reputației universității.
Cine trebuie să se conformeze?
Toate departamentele universității al căror personal stochează, procesează sau transmite informații despre deținătorii de carduri. Acest lucru se aplică, de asemenea, unităților care externalizează procesarea informațiilor despre cardurile de plată către furnizori terți.
Vizualizare generală
Chestionarul de autoevaluare PCI DSS (SAQ) este un instrument de validare destinat să ajute comercianții și furnizorii de servicii să își autoevalueze conformitatea cu PCI DSS. Toți comercianții din campusul Universității din Florida sunt obligați să completeze un SAQ în fiecare an. Există mai multe versiuni ale SAQ pentru a răspunde diferitelor scenarii.
SAQ | Descriere |
---|---|
A | Comercianți de tip card-not-present (comerț electronic sau comenzi prin poștă/telefon), care au externalizat integral toate funcțiile legate de datele titularilor de carduri către un furnizor de servicii terț care respectă cerințele PCI DSS, fără stocare, procesare sau transmitere electronică a datelor titularilor de carduri în sistemele sau spațiile comerciantului. Nu se aplică canalelor față în față |
A-EP | Comercianți de comerț electronic care externalizează toată procesarea plăților către terți validați PCI DSS și care au un site web (site-uri web) care nu primește direct datele titularilor de carduri, dar care poate avea un impact asupra securității tranzacției de plată. Fără stocare, procesare sau transmitere electronică a datelor titularilor de carduri în sistemele sau spațiile comerciantului. Se aplică numai canalelor de comerț electronic |
B | Comercianții care utilizează numai:
Nu se aplică canalelor de comerț electronic |
B-IP | Comercianții care utilizează numai terminale de plată autonome, aprobate de PTS, cu o conexiune IP la procesatorul de plăți, fără stocare electronică de date ale titularilor de carduri. Nu se aplică canalelor de comerț electronic |
C-VT | Comercianții care introduc manual o singură tranzacție la un moment dat, prin intermediul unei tastaturi, într-o soluție de terminal de plată virtuală bazată pe internet care este furnizată și găzduită de un furnizor de servicii terț validat PCI DSS. Nu stochează date electronice ale titularilor de carduri. Nu se aplică canalelor de comerț electronic |
C | Comercianți cu sisteme de aplicații de plată conectate la internet – nu stochează date electronice ale titularilor de carduri Nu se aplică canalelor de comerț electronic |
D | SAQ D pentru comercianți: Toți comercianții care nu sunt incluși în descrierile pentru tipurile de SAQ de mai sus
SAQ D pentru furnizorii de servicii: Toți furnizorii de servicii definiți de o marcă de plată ca fiind eligibili pentru a completa un SAQ |
P2PE | Comercianți care utilizează numai terminale de plată hardware incluse într-o soluție de criptare punct-la-punct (PP2E) validată, listată de PCI SSC și gestionată prin intermediul acesteia, fără stocare electronică a datelor titularilor de carduri. Nu se aplică canalelor de comerț electronic. |
Consiliul pentru standarde de securitate PCI pune la dispoziție Ghidul de instrucțiuni SAQ pentru a ajuta la completarea SAQ anual.
Definiții
Standardele de securitate a datelor din industria cardurilor de plată (PCI DSS)
Standardul de securitate a datelor din industria cardurilor de plată (PCI DSS) a fost elaborat pentru a încuraja și îmbunătăți securitatea datelor de securitate ale deținătorilor de carduri și pentru a facilita adoptarea pe scară largă a unor măsuri coerente de securitate a datelor la nivel mondial. PCI DSS se aplică tuturor entităților implicate în procesarea cardurilor de plată, inclusiv comercianților, procesatorilor, achizitorilor, emitenților și furnizorilor de servicii. PCI DSS se aplică, de asemenea, tuturor celorlalte entități care stochează, procesează sau transmit date ale titularilor de carduri.
Ultima revizuire
01/31/2021: conținut revizuit
.