De Payment Card Industry Data Security Standard (PCI DSS) is een verzameling beveiligingsstandaarden, ontworpen om bedrijven te verzekeren die credit- en debetkaartinformatie accepteren en verwerken, dit in een veilige omgeving.
Ongeacht in welke branche u actief bent of in welke bedrijfsgrootte u ook werkt, als u kaartbetalingen en processen accepteert, kaartgegevens verzendt en opslaat, moet u uw gegevens veilig hosten bij een hostingprovider die PCI-compatibel is.
$config[code] not foundDe PCI-beveiligingsnormenraad werd in 2006 opgericht door de vijf belangrijkste creditcardmerken: American Express, Visa, MasterCard, Japanese Credit Bureau (JCB) en Discover. Hoewel elk creditcardmerk eigen nalevingsprogramma's heeft, vormen de PCI-normen de basis voor elk van hen.
Hoewel de Raad geen wettelijke bevoegdheid heeft, moet uw bedrijf zich houden aan de standaarden van PCI als uw bedrijf credit- of debetkaarttransacties wil accepteren.
Wat is PCI-compliance?
PCI bestaat uit een reeks van 12 specifieke vereisten die zes doelen dekken. Fundamentele doelen zijn het maximaliseren van de veiligheid met betrekking tot betalingen en om verkopers te informeren over hoe ze veiliger kunnen worden. En dit betekent het bouwen en onderhouden van een beveiligd netwerk, het beschermen van de gegevens van kaarthouders en het regelmatig testen en bewaken van de netwerken.
U vindt vier verschillende niveaus van PCI-compliance, afhankelijk van het aantal transacties dat uw bedrijf gedurende een periode van 12 maanden afhandelt. Het transactievolume is afgeleid van het totale aantal uitgevoerde Visa-transacties, inclusief credit-, debit- en prepaid-kaarttransacties van een handelaar Doing Business As 'DBA'.
Als u onder meer dan één DBA verkoopt, overweeg dan het totale volume van transacties dat in het algemeen wordt verwerkt, opgeslagen of verzonden om uw validatieniveau te bepalen.
Als uw bedrijf 20.000 transacties of minder per jaar verwerkt, of als de kaartgegevens uitsluitend door leveranciers worden verwerkt, zoals winkelkaartaanbieders, heeft uw bedrijf minder PCI-vereisten en wordt geclassificeerd als niveau 4.
Als uw bedrijf tussen de 20.000 en 1 miljoen transacties per jaar verwerkt, wordt u geclassificeerd als niveau 3. Bedrijven die tussen 1 en 6 miljoen kaarttransacties in een periode van 12 maanden verwerken, worden geclassificeerd als niveau 2. Elk niveau brengt een hoger aantal met zich mee van nalevingsvereisten.
Niveau 1 brengt het grootste aantal compliance-eisen met zich mee, gereserveerd voor bedrijven die 6 miljoen of meer transacties per jaar verwerken of hun eigen kaartgegevens opslaan, hun eigen code schrijven en hun eigen servers draaien.
Wat kost PCI-compliance mijn bedrijf?
Voor een bedrijf op niveau 4 met creditcardgegevens die elektronisch zijn opgeslagen op zijn site of verwerkingssystemen met online connectiviteit, moet een Approved Scanning Vendor regelmatig een website of netwerkscan voltooien. Het personeel van het bedrijf moet ook een zelfbeoordelingsvragenlijst en een attestering van naleving invullen. Dit kan zo weinig kosten als $ 60 per maand.
Als uw bedrijf niveau 3 is, kunnen de kosten van een reguliere website of netwerkscan door een goedgekeurde scannerverancier en de voltooiing van de jaarlijkse zelfbeoordelingsvragenlijst en attestering van naleving jaarlijks oplopen tot $ 1200.
Voor Level 2-bedrijven kunnen deze kosten stijgen tot tussen $ 10.000 en $ 50.000 per jaar, afhankelijk van het aantal IP-adressen en de grootte van uw netwerk.
Voor bedrijven op niveau 1 van PCI-compliance kunnen de kosten variëren van $ 50.000 en niet alleen de reguliere netwerkscan door een goedgekeurde scannerverancier, maar ook een attest van naleving en een jaarlijks nalevingsrapport door een bevoegde beveiligingsassessor.
Wat kan mijn bedrijf doen om te voldoen aan de PCI-vereisten?
Zoals hierboven gesuggereerd, moet u, om de PCI-conformiteit te garanderen, regelmatig website- of netwerkscans laten uitvoeren door een erkende scannerverancier, ongeacht op welk niveau uw bedrijf is geclassificeerd. Bedrijven van niveau 1 moeten ook worden bijgestaan door een bevoegde beveiligingsassessor voor het uitvoeren van jaarlijkse evaluaties ter plaatse.
Voor kleine bedrijven die minder dan 6 miljoen krediet- en debetkaarttransacties per jaar verwerken, vereist het voldoen aan de PCI-nalevingsnormen volledig alleen de hulp van een goedgekeurde scannerverancier en sommige werken door uw eigen personeel.
Foto via Shutterstock
Meer in: Wat is een opmerking ▼
