支付卡行业数据安全标准(PCI DSS)建立了PCI安全标准委员会(SSC)保护持卡人数据。每个商人接受信用卡交易必须遵守这些标准为了做生意与信用卡公司,银行和付款处理器。
如果一个商人的系统被打破或砍和敏感信息被盗,他们可能会承担责任,可能会:
- 罚款从卡关联。
- 法医调查。
- 发行银行收回该证成本(包括可能的欺诈损失和欺诈监测费用)。
- 诉讼。
- 政府罚款。
一些著名的企业也高调违反而导致损害他们的声誉和品牌。如果你通过pci,不太可能,你会遭受破坏和不太可能这样的违约会导致敏感信息被盗,你不会有任何偷窃。
所有的硬件和软件,光速支付提供了PCI是兼容的,但是有一些你需要采取的措施,以确保你是负责任地处理敏感的信用卡信息。
处理敏感的信用卡信息
而卡信息必须被授权事务,敏感的卡片信息不能存储后授权。某些信息可能存储如果有一个有效的商业原因,如持卡人的名字或名片的截止日期。然而,卡被认为是敏感的永远不能被存储的信息。这个规则的一个例外是主帐号(PAN)在前面的牌,这可能只是存储如果呈现不可读。这就是为什么你只能查看信用卡号码的最后四位数光速,其余已经呈现不可读。
以下信用卡信息被认为是敏感信息:
处理敏感信息指南
如果你必须使用敏感的卡片信息,你可以采取一些措施来减少风险:
- 从来没有发送不受保护的卡号(锅)通过消息传递技术(如电子邮件、即时消息、聊天,短信等)。
- 实现访问控制措施,如物理锁或密码限制那些绝对需要。
- 分配每个人的独特身份(ID)和访问。这将确保在关键数据和系统采取的行动是由,和可以追溯到和授权用户。
- 保护设备捕获支付卡数据通过直接物理交互与篡改的卡片和替换。这包括定期检查POS设备表面,可以检测出篡改,和培训人员需要注意的可疑活动。
- 实现一个正式的安全意识程序让所有人员意识到持卡人数据安全的重要性。
- 筛选潜在人员招聘之前,来自内部的攻击来源的风险降到最低。建议检查包括检查他们的之前的工作经历,犯罪记录,信用记录,和引用。
光速重视pci遵从性
光速采取严格的措施来维持符合PCI DSS。我们的技术方法安全旨在保护你和你的客户。
- 我们只提供硬件和软件通过pci和维护一个通过pci平台。
- 光速是记录每笔交易的商人。我们处理银行代表你。
- 我们坚持行业领先的PCI标准来管理网络,确保我们的web客户机应用程序,并设置在我们的组织政策。
- 光速的综合支付系统为每笔交易提供了端到端加密销售点和符数据第二到达我们的服务器。
PCI DSS的世界总是不断发展的,变化的需求可能发生的时候。光速支付上的任何变化,密切关注行业所以你不必。
更多信息:
维护pci遵从性包括进行定期评估和文档的归档在一年的时间,以及意识到和跟上行业的变化。光速对你负责的,但是如果你想知道更多关于这意味着什么,我们提供了一个简短的概述如下。如果你满足于知道我们有覆盖,您可以安全地忽略为你什么光速部分。
一种总线标准水平
成为通过pci的第一步是确定你需要满足水平的标准。有四个水平,但下降的阈值在一个特定的水平可以从一个卡片供应商到另一个不同。四个主要的信用卡公司的水平和阈值如下:
| 签证 | 万事达卡 | 美国运通 | 发现 | |
1级 |
适用于任何商人:
|
适用于任何商人:
|
适用于任何商人:
|
适用于任何商人:
|
| 2级 |
|
|
|
|
| 3级 |
|
|
|
所有其他的商人。 |
| 4级 |
|
所有其他的商人。 | N /一个 | N /一个 |
一旦你确定你属于水平,您可以确定您的需求对PCI遵从性。
商人受水平2、3和4都必须完成年度自我评价问卷(SAQ)。SAQ由一系列的“是”或“否”的问题覆盖您的业务的安全需求。因为不同的企业有不同的需求,有几个SAQ的变化。请参阅下面的表来确定哪些问卷适用于您的业务:
| 问卷调查 | 你如何接受信用卡吗? |
一个 |
无卡交易商人(电子商务或邮件/电话),完全外包所有持卡人数据函数PCI DSS验证第三方服务提供商,在没有电子存储、处理或传输任何持卡人的数据商人的系统或前提。不适用于面对面的渠道。 |
| A-EP | 电子商务商人外包PCI DSS验证第三方支付处理,谁有一个网站(s),不会直接接收持卡人数据,但会影响支付交易的安全性。没有电子存储、处理或传输任何持卡人的商人的系统或数据的前提。只适用于电子商务渠道。 |
| B | 商人只使用:
|
| b | 商人只使用独立,PTS-approved支付终端IP连接付款处理器,没有电子持卡人数据存储。不适用于电子商务渠道。 |
| C-VT | 商人一次手动输入一个事务通过键盘提供一个基于互联网的虚拟终端解决方案,由一个PCI DSS验证的第三方服务提供商。没有电子持卡人数据存储。不适用于电子商务渠道。 |
| C | 商人与支付应用系统连接到互联网,没有电子持卡人数据存储。不适用于电子商务渠道。 |
| P2PE-HW | 商人只使用硬件终端包含在付款和管理通过验证,PCI SSC-listed P2PE解决方案,没有电子持卡人数据存储。不适用于电子商务渠道。 |
| D | 所有商家不包括上述类型的描述。 |
光速支付坚持一级pci遵从性需求。这涉及到申请年度合规报告(roc)和合规的证明(家)并进行季度网络漏洞扫描由一个扫描供应商(ASV)批准,其他潜在的需求。
所有的硬件和软件,光速支付提供了PCI兼容,有一些你需要采取的措施,以确保你是负责任地处理敏感的信用卡信息。作为一个业务,接受信用卡,你将被要求完成一个PCI DSS自我评估问卷(SAQ)表明,信息安全是一个首要任务。支付卡行业数据安全标准(PCI DSS)是必不可少的保护消费者对身份盗窃和信用卡欺诈。PCI合规框架是一组标准实施的主要信用卡公司的财团,以确保所有招商过程中,安全地存储和传输数据。它还要求你提交年度评估或报告,证明你的安全控制。
注意:如果你使用光速餐厅与第三方付款处理器,你必须联系,处理器,讨论你的pci遵从性。
您可以了解更多关于PCI从PCI DSS安全标准委员会和审查的具体要求为每个主要的信用卡公司在他们的网站上: