Domanda di autovalutazione PCI DSS
Direttiva
Tutte le sedi o unità commerciali che memorizzano, elaborano o trasmettono dati di titolari di carta devono eseguire un’autovalutazione annuale in collaborazione con Payment Card Operations.
Motivo della direttiva
Gli esercenti di carte di credito dell’Università della Florida sono tenuti a seguire procedure rigorose per proteggere i dati delle carte di credito dei clienti e massimizzare la conformità al PCI DSS. La mancata protezione di tali informazioni può comportare perdite finanziarie per i clienti, la sospensione dei privilegi di elaborazione delle carte di credito, multe imposte agli esercenti di carte di credito e danni alla reputazione dell’Università.
Chi deve rispettare?
Tutti i reparti dell’Università il cui personale memorizza, elabora o trasmette informazioni sui titolari di carta. Questo vale anche per le unità che esternalizzano l’elaborazione delle informazioni sulle carte di pagamento a fornitori terzi.
Panoramica
Il questionario di autovalutazione PCI DSS (SAQ) è uno strumento di convalida destinato ad assistere gli esercenti e i fornitori di servizi nell’autovalutazione della loro conformità agli standard PCI DSS. Tutti i commercianti del campus dell’Università della Florida sono tenuti a completare un SAQ ogni anno. Esistono più versioni del SAQ per soddisfare vari scenari.
| SAQ | Descrizione |
|---|---|
| A | Carta non presente (e-commerce o ordini per posta/telefono), che hanno completamente esternalizzato tutte le funzioni dei dati dei titolari di carta a un fornitore di servizi di terze parti conforme a PCI DSS, senza memorizzazione elettronica, elaborazione o trasmissione dei dati dei titolari di carta nei sistemi o nei locali dell’esercente. Non applicabile ai canali faccia a faccia |
| A-EP | E-commerce di commercianti che esternalizzano tutte le funzioni di elaborazione dei pagamenti a terzi convalidati PCI DSS e che hanno uno o più siti web che non ricevono direttamente i dati dei titolari di carta ma che possono influire sulla sicurezza della transazione di pagamento. Nessuna memorizzazione, elaborazione o trasmissione elettronica dei dati dei titolari di carta di credito nei sistemi o nei locali dell’esercente. Applicabile solo ai canali di e-commerce |
| B | I commercianti che utilizzano solo:
Non applicabile ai canali di e-commerce |
| B-IP | Esercenti che usano solo terminali di pagamento autonomi, approvati dalla PTS, con una connessione IP al processore di pagamento, senza memorizzazione elettronica dei dati del titolare. Non applicabile ai canali di e-commerce |
| C-VT | Esercenti che inseriscono manualmente una singola transazione alla volta tramite una tastiera in una soluzione di terminale di pagamento virtuale basata su Internet, fornita e ospitata da un fornitore di servizi di terzi convalidato PCI DSS. Nessuna memorizzazione elettronica dei dati dei titolari di carta. Non applicabile ai canali di e-commerce |
| C | Esercenti con sistemi di applicazioni di pagamento collegati a Internet – nessuna memorizzazione elettronica dei dati dei titolari di carta Non applicabile ai canali di e-commerce |
| D | SAQ D per esercenti: Tutti gli esercenti non inclusi nelle descrizioni dei tipi di SAQ precedenti
SAQ D per i fornitori di servizi: Tutti i fornitori di servizi definiti da un marchio di pagamento come idonei a completare un SAQ |
| P2PE | Gli esercenti che utilizzano solo terminali di pagamento hardware inclusi e gestiti tramite una soluzione di crittografia punto a punto (PP2E) convalidata e inserita nell’elenco PCI SSC, senza memorizzazione elettronica dei dati dei titolari di carta. Non applicabile ai canali e-commerce. |
Il PCI Security Standards Council fornisce la SAQ Instruction Guide per assistere nel completamento della SAQ annuale.
Definizioni
Payment Card Industry Data Security Standards (PCI DSS)
Il Payment Card Industry Data Security Standard (PCI DSS) è stato sviluppato per incoraggiare e migliorare la sicurezza dei dati dei titolari di carta e facilitare un’ampia adozione di misure di sicurezza dei dati coerenti a livello globale. PCI DSS si applica a tutte le entità coinvolte nell’elaborazione delle carte di pagamento, compresi commercianti, processori, acquirenti, emittenti e fornitori di servizi. PCI DSS si applica anche a tutte le altre entità che memorizzano, elaborano o trasmettono i dati dei titolari di carta.
Ultima revisione
01/31/2021: contenuto rivisto