支付卡行业数据安全标准(PCI DSS)建立了PCI安全标准委员会(SSC)保护持卡人数据。每个商人接受信用卡交易必须遵守这些标准为了做生意与信用卡公司,银行和付款处理器。
如果一个商人的系统被打破或砍和敏感信息被盗,他们可能会承担责任,可能会:
- 罚款从卡关联。
- 法医调查。
- 发行银行收回该证成本(包括可能的欺诈损失和欺诈监测费用)。
- 诉讼。
- 政府罚款。
一些著名的企业也高调违反而导致损害他们的声誉和品牌。如果你通过pci,不太可能,你会遭受破坏和不太可能这样的违约会导致敏感信息被盗,你不会有任何偷窃。
所有的硬件和软件,光速支付提供了PCI是兼容的,但是有一些你需要采取的措施,以确保你是负责任地处理敏感的信用卡信息。
处理敏感的信用卡信息
而卡信息必须被授权事务,敏感的卡片信息不能存储后授权。某些信息可能存储如果有一个有效的商业原因,如持卡人的名字或名片的截止日期。然而,卡被认为是敏感的永远不能被存储的信息。这个规则的一个例外是主帐号(PAN)在前面的牌,这可能只是存储如果呈现不可读。这就是为什么你只能查看信用卡号码的最后四位数光速,其余已经呈现不可读。
以下信用卡信息被认为是敏感信息:
- 信用卡号(PAN)。这个数字可能存储只要是不可读。通常只有最后4位数字可以当这个数字存储。
- 到期日期。可能存储如果有一个有效的商业原因。
- 持卡人的名字。可能存储如果有一个有效的商业原因。
- CVV2。这个数字可能永远不会被存储。
处理敏感信息指南
如果你必须使用敏感的卡片信息,你可以采取一些措施来减少风险:
- 从来没有发送不受保护的卡号(锅)通过消息传递技术,如电子邮件、即时消息、聊天,短信等。
- 实施访问控制措施如物理锁或密码限制那些绝对需要。
- 分配一个唯一标识(ID)每个人对关键数据访问,以确保行动和系统执行,和可以追溯到和授权用户。
- 保护设备捕获支付卡数据通过直接从篡改和替换物理与卡的交互,包括定期检查POS设备表面,可以检测出篡改,和培训人员需要注意的可疑活动。
- 实现一个正式的安全意识程序让所有员工知道持卡人数据安全的重要性。
- 屏幕前潜在的人员招聘来自内部的攻击来源的风险降到最低。建议检查包括检查他们的之前的工作经历,犯罪记录,信用记录,和引用。
光速有助于你保持PCI遵从性如何
光速重视PCI遵从性并采取严格的措施来维持符合PCI DSS。我们的技术方法安全旨在保护你和你的客户。
- 我们只提供硬件和软件通过pci和维护一个通过pci平台。
- 光速是记录每笔交易的商人。我们处理银行代表你。
- 我们坚持行业领先的PCI标准来管理网络,确保我们的web客户机应用程序,并设置在我们的组织政策。
- 光速的综合支付系统为每笔交易提供了端到端加密销售点和符数据第二到达我们的服务器。
PCI DSS的世界总是不断发展的,变化的需求可能发生的时候。光速支付上的任何变化,密切关注行业所以你不必。
维护pci遵从性包括进行定期评估和文档的归档在一年的时间,以及意识到和跟上行业的变化。光速对你负责的,但是如果你想知道更多关于这意味着什么,我们提供简要概述如下:
成为通过pci的第一步是确定你需要满足水平的标准。有四个水平,但下降的阈值在一个特定的水平可以从一个卡片供应商到另一个不同。四个主要的信用卡公司的水平和阈值的商家提供如下:
水平 签证 万事达卡 美国运通 发现 L1 - 每年处理600万+签证事务。
- 数据被一个安全漏洞。
- 确定为一级签证。
- 每年处理600万+万事达信用卡交易。
- 数据被一个安全漏洞。
- 决定由万事达卡1级。
- 符合签证的一级标准。
- 每年处理250万+美国运通事务。
- 由美国运通一级决定。
- 每年处理600万+发现交易。
- 被另一个品牌或者收购者视为一级。
- 决心被发现1级。
L2 - 每年处理1到600万的签证事务。
- 每年处理1到600万万事达信用卡事务。
- 符合签证的二级标准。
- 每年处理50000年到250万年美国运通事务。
- 每年处理1到600万发现交易。
L3 - 20000年到100万年每年签证电子商务交易过程。
- 20000年到100万年每年万事达电子商务交易过程。
- 符合签证的三级标准。
- 每年不到50000美国运通的交易过程。
- 所有其他的商人。
L4 - 每年不到20000签证电子商务交易过程。
- 每年处理100万签证事务。
- 所有其他的商人。
N /一个 N /一个 一旦你确定你属于水平,您可以确定您的需求对PCI遵从性。
商人受水平2、3和4都必须完成年度自我评价问卷(SAQ)。SAQ由一系列的“是”或“否”的问题覆盖您的业务的安全需求。因为不同的企业有不同的需求,有几个SAQ的变化。
请参阅下面的表来确定哪些问卷适用于您的业务:
问卷调查 你如何接受信用卡吗? 请注意 一个
无卡交易商人(电子商务或邮件/电话),完全外包所有持卡人数据函数PCI DSS验证第三方服务提供商,在没有电子存储、处理或传输任何持卡人的数据商人的系统或前提。 不适用于面对面的渠道。 A-EP 电子商务商人外包PCI DSS验证第三方支付处理,谁有一个网站(s),不会直接接收持卡人数据,但会影响支付交易的安全性。没有电子存储、处理或传输任何持卡人的商人的系统或数据的前提。 只适用于电子商务渠道。 B 商人只使用: - 印机没有电子持卡人数据存储;和/或
- 独立,同一终端没有电子持卡人数据存储。
不适用于电子商务渠道。 b 商人只使用独立,PTS-approved支付终端IP连接付款处理器,没有电子持卡人数据存储。 不适用于电子商务渠道。 C-VT 商人一次手动输入一个事务通过键盘提供一个基于互联网的虚拟终端解决方案,由一个PCI DSS验证的第三方服务提供商。没有电子持卡人数据存储。 不适用于电子商务渠道。 C 商人与支付应用系统连接到互联网,没有电子持卡人数据存储。 不适用于电子商务渠道。 P2PE-HW 商人只使用硬件终端包含在付款和管理通过验证,PCI SSC-listed P2PE解决方案,没有电子持卡人数据存储。 不适用于电子商务渠道。 D 所有商家不包括上述类型的描述。 光速支付坚持一级pci遵从性需求。这涉及到申请年度合规报告(roc)和合规的证明(家)并进行季度网络漏洞扫描由一个扫描供应商(ASV)批准,其他潜在的需求。
所有的硬件和软件,光速支付提供了PCI兼容,有一些你需要采取的措施,以确保你是负责任地处理敏感的信用卡信息。
作为一个业务,接受信用卡,你将被要求完成一个PCI DSS自我评估问卷(SAQ)表明,信息安全是一个首要任务。支付卡行业数据安全标准(PCI DSS)是必不可少的保护消费者对身份盗窃和信用卡欺诈。
PCI合规框架是一组标准实施的主要信用卡公司的财团,以确保所有招商过程中,安全地存储和传输数据。它还要求你提交年度评估或报告,证明你的安全控制。
如果你使用第三方付款处理器,你将不得不接触,处理器,讨论你的pci遵从性。
您可以了解更多关于PCI从PCI DSS安全标准委员会和审查的具体要求为每个主要的信用卡公司在他们的网站上: