Fråformulär för självutvärdering av PCI DSS
Direktiv uttalande
Alla köpställen eller enheter som lagrar, bearbetar eller överför kortinnehavaruppgifter måste genomföra en årlig självutvärdering i samarbete med Payment Card Operations.
Skäl för direktiv
Kreditkortshandlare vid University of Florida måste följa strikta förfaranden för att skydda kundernas kreditkortsdata och maximera efterlevnaden av PCI DSS. Underlåtenhet att skydda sådan information kan leda till ekonomisk förlust för kunderna, indragning av kreditkortsbehandlingsprivilegier, böter som åläggs kreditkortshandlare och skada på universitetets rykte.
Vem måste följa reglerna?
Alla universitetsavdelningar vars personal lagrar, bearbetar eller överför kortinnehavarinformation. Detta gäller även enheter som lägger ut behandlingen av betalkortsinformation på tredjepartsleverantörer.
Översikt
PCI DSS Self-Assessment Questionnaire (SAQ) är ett valideringsverktyg som är avsett att hjälpa handlare och tjänsteleverantörer att själv utvärdera sin efterlevnad av PCI DSS. Alla köpmän på University of Floridas campus måste fylla i ett SAQ varje år. Det finns flera versioner av SAQ för att tillgodose olika scenarier.
| SAQ | Beskrivning |
|---|---|
| A | Handlare som inte har ett kort närvarande (e-handel eller post/telefonorder), som helt och hållet har lagt ut alla funktioner för kortinnehavaruppgifter på en tredjepartsleverantör som uppfyller kraven i PCI DSS och som inte har någon elektronisk lagring, behandling eller överföring av kortinnehavaruppgifter i handlarens system eller lokaler. Inte tillämpligt på personliga kanaler |
| A-EP | E-handelshandlare som lägger ut all betalningshantering på tredje part som är validerad enligt PCI DSS, och som har en eller flera webbplatser som inte direkt tar emot kortinnehavaruppgifter men som kan påverka betalningstransaktionens säkerhet. Ingen elektronisk datalagring, behandling eller överföring av kortinnehavaruppgifter i handlarens system eller lokaler. Gäller endast e-handelskanaler |
| B | Handlare som endast använder:
Inte tillämpligt på e-handelskanaler |
| B-IP | Handlare som endast använder fristående, PTS-godkända betalningsterminaler med en IP-anslutning till betalningsförmedlaren utan elektronisk lagring av kortinnehavaruppgifter. Inte tillämpligt på e-handelskanaler |
| C-VT | Handlare som manuellt matar in en enda transaktion åt gången via ett tangentbord i en internetbaserad, virtuell betalningsterminallösning som tillhandahålls och drivs av en tredjepartsleverantör som är validerad enligt PCI DSS. Ingen elektronisk lagring av kortinnehavaruppgifter. Inte tillämpligt på e-handelskanaler |
| C | Handlare med betalningsapplikationssystem som är anslutna till internet – ingen elektronisk lagring av kortinnehavaruppgifter Inte tillämpligt på e-handelskanaler |
| D | SAQ D för handlare: Alla handlare som inte ingår i beskrivningarna för ovanstående SAQ-typer
SAQ D för tjänsteleverantörer: Alla tjänsteleverantörer som definieras av ett betalningsmärke som berättigade att fylla i en SAQ |
| P2PE | Handlare som endast använder hårdvarubetalningsterminaler som ingår i och hanteras via en validerad, PCI SSC-listad lösning för punkt-till-punkt-kryptering (PP2E), utan någon elektronisk lagring av kortinnehavaruppgifter. Inte tillämpligt på e-handelskanaler. |
PCI Security Standards Council tillhandahåller SAQ Instruction Guide för att hjälpa till att fylla i den årliga SAQ.
Definitioner
Payment Card Industry Data Security Standards (PCI DSS)
Payment Card Industry Data Security Standard (PCI DSS) utvecklades för att uppmuntra och förbättra säkerheten för kortinnehavarnas säkerhetsdata och underlätta ett brett antagande av konsekventa datasäkerhetsåtgärder globalt. PCI DSS gäller för alla enheter som är involverade i behandling av betalkort, inklusive handlare, processorer, förvärvare, emittenter och tjänsteleverantörer. PCI DSS gäller också för alla andra enheter som lagrar, bearbetar eller överför kortinnehavaruppgifter.
Sist granskad
01/31/2021: granskat innehåll
.