PCI DSS は、威圧的で混乱を招く主題として表示されます。このトピックを簡単に理解できるように、PCI DSS とは何か、PCI DSS がビジネスにどのように適用されるかを理解するのに役立つガイドを作成しました。 編集 日付と時刻の編集
現金のみを受け付けている会社でない限り、 ビットコイン 支払い方法としてクレジット カードを受け入れることに関する規制に準拠する方法を理解する必要があります。このガイドは、クレジット カード処理を扱い、私たちが生きている時代において安全なショッピング体験のためにデータ セキュリティがいかに重要であるかを理解している企業を対象としています。
クレジットカード情報が盗まれると、人々は通常正気を失いますが、さらに、クレジットカードを受け付け/処理する企業は、触れるすべてのファイルが安全であることを確認することが法律で義務付けられています。
PCI DSS(Payment Card Industry Data Security Standard)は、中小企業の経営者がセキュリティ標準に遅れないようにするための一連の標準です。
2006年9月には、5つの主要なクレジットカード会社(MasterCard、Visa International、JCB、American Express、Discover)が合併して、 PCI SSC (ペイメントカード業界セキュリティ基準評議会)。
この評議会は、取引プロセスの各セグメントで高いセキュリティレベルを維持しながら、PCI DSSの改良を監督する任務を負う独立した機関です。
クレジットカード取引を受け入れる企業は、評議会ではなく、金融機関とお金を処理するクレジットカード会社に対して責任を負います。
ただし、評議会はシステムに説明責任があることを確認し、高レベルのセキュリティを維持するために技術の傾向と弱点を評価します。
カード所有者情報を受け入れ、送信、保存する企業、機関、および団体は、PCI DSSの規則と規制に従うことが義務付けられています。PCIは、カード所有者情報をPAN(プライマリアカウント番号)として定義します。PAN には、次の情報が保持されます。
PCI DSSは、企業に次のデータを保護するよう求めています。
トランザクションの規模や数に関係なく適用できるシステム。すべての企業がカード所有者データを処理する方法は、Visaによって作成された4つのレベルのいずれかに分類されます。
このレベルは、加盟店のDBA(「Doing Business As」)が12か月間に行ったVisa取引の数によって決まります。企業体に複数の加盟店DBAがいる場合、会社の総取引額が評価されます。
企業が加盟店に代わってデータとやり取りしない事業体では、個々のDBAが評価され、そのレベルが決定されます。
PCI DSSは、この記事の冒頭で述べた5つの主要なクレジットカード会社のロゴが付いたカードからの支払いを受け入れるエンティティとしての小売業者の定義です。
トレーダーはサービスプロバイダーになることもできます。レベルは次のように決定されます。
レベル1: トレーダーは、郵便、対面、電子商取引、または電話を通じて年間600万件以上のVisa取引を処理しています。
レベル2: トレーダーは、すべての受け入れチャネルを通じて年間1〜600万件のVisa取引を処理します。
レベル3: 年間20,000〜100万件のVisa電子商取引を処理するトレーダー。
レベル4: すべての受け入れチャネルを通じて年間20,000件以下のVisa電子商取引販売を処理するトレーダー。
設定されたルールと基準を満たすために、マーチャントは一連の手順を踏む必要があります。まず、すべてのトレーダーは、コンプライアンスがどのように見えるかを判断する手段として、SAQ(自己評価アンケート)に回答する必要があります。
アンケートに記入した後、ASV(PCI SSC Approved Scanning Vendor)からの脆弱性スキャンとともに合格の証拠を記入して収集する任務を負う加盟店がいます。単一の受け入れ方法を使用する企業は、PCI DSS標準に完全に準拠する必要があるため、サードパーティのプロセッサを使用するトレーダーも同様です。
複数の拠点を持つビジネスの場合、同じ納税者番号を使用している場合は、すべての地域で年に 1 回検証する必要があります。デビットカードやクレジットカードのデータを扱うすべての企業がPCI標準に準拠するよう求められているのと同じくらい、データを保存していない企業は、コンプライアンスプロセスを処理するのが簡単です。
四半期ごとに脆弱性スキャンを実施する必要がある企業は個別にあります。Approved ASV (Approved Scanning Vendor) は、サービス プロバイダーまたは販売者から提供されたさまざまな Web アプリケーションと IP アドレスのネットワークのスキャンを実行する任務を負っています。
このスキャンは、ハッカーがトレーダーのプライベート ネットワークにアクセスするために使用できる会社のサービス、オペレーティング システム、およびデバイスの脆弱性をターゲットにして公開します。
ASVがスキャンを行う場合、ソフトウェアのインストールは必要なく、加盟店はアクワイアラーが設定したスケジュールに従ってコンプライアンスレポートを提出するよう求められるため、スキャンは90日ごとに実施されます。
一部のトレーダーは、サービスプロバイダーとの協力を検討しています。カード会員情報の保存、処理、送信に携わる上位5社のクレジットカード会社とは別の事業体。
サービスプロバイダーには「独自の」コンプライアンスルートが提供されており、それに注意深く従うことが重要です。サービスプロバイダーの資格を持つ企業は、自社の使命を明確に理解するのに役立つコースを受講する必要があります。
決済アプリケーションは、カード所有者情報を送信、保存、または処理する側面と見なされます。決済アプリケーションは、レストランのスワイプ システムから電子商取引のショッピング カートで使用されるソフトウェアに至るまでのプロセスです。
PA-DSS(Payment Application Data Security Standard)は、PCI SSCによって実行および保守されています。PA-DSSは、PCI DSS標準に準拠した決済アプリケーションを提供するすべてのベンダーがカード所有者データを保持しないようにする手段として存在します。
支払いゲートウェイは、加盟店をカード発行会社に接続する処理業者またはアクワイアリング銀行と接続します。彼らは、Web ベースの接続またはダイヤルアップを通じてプロセッサまたは金融機関にログインします。
ほとんどの場合、加盟店は、顧客が繰り返し取引を行えやすくするために、カード所有者情報を保持するオプションがあることを好みます。サードパーティプロバイダーと提携することは、情報を安全に保存するための最もリラックスした手間のかからない方法です。
カード所有者の情報はトレーダーの所有物から削除され、データ保護を専門とする第三者が加盟店に代わってデータを処理します。
カード所有者のデータを保持することを選択したディーラーは、トレーダーがPCI DSS基準を満たしていることを確認する監査を実施するためにサイトに来る資格のあるセキュリティ評価者によって厳格なプロセスを経ます。
PCI標準では、PANの最初の6桁または最後の4桁をトランザクション領収書のコピーに印刷する必要があると推奨しています。これは、完全な番号が表示されないように保護するのに役立ちます。
消費者の安全のために基準が設けられています。トレーダーがPCI DSS標準に準拠しない場合、多くの結果が引き出されます。
ほとんどの場合、彼らは毎月 5000 ドルから 100,000 ドルの範囲の高額な罰金を科せられます。
決済ブランドは、コストを企業に転嫁するアクワイアリング銀行に前払いします。ほとんどの場合、金融機関は加盟店との関係を終了するか、取引手数料を大幅に引き上げます。
これらは中小企業を台無しにする可能性のある罰則であり、加盟店がルールを曲げることなくすべてのルールに従うことが重要です。
PCIは法律ではありませんが、遵守を拒否する加盟店は、違反があった場合の罰金、カード交換費用、ブランドの損傷、費用のかかるフォレンジック監査、およびさまざまな結果によってもたらされるコストを吸収し、吸収する責任があります。
初期作業とコスト PCI DSSへの準拠 加盟店は、深刻で高価で複雑で壊滅的な結果に対処するために、より多くのお金と時間を費やす必要がなくなります。
中小企業の立ち上げおめでとうございます、すべての取引が完全性とセキュリティ対策に準拠していることを確認します。コンプライアンスの詳細をナビゲートし、日に日に巧妙化するハッカーからビジネスを守ります。
"*「必須項目」は必須項目です
"*「必須項目」は必須項目です
"*「必須項目」は必須項目です
返信を残す
あなたは ログイン コメントを投稿するには。