Was ist PCI Compliance und warum müssen sich Kleinunternehmer besorgt sein?

Der Datensicherheitsstandard (Zahlungskartenbranche) ist eine Reihe von Sicherheitsstandards, mit denen Unternehmen, die Kredit-und Debitkarteninformationen akzeptieren und verarbeiten, in einer sicheren und sicheren Umgebung sicherstellen.

Egal in welcher Branche Sie betreiben oder in welchem ​​Unternehmen Sie Kartenzahlungen und Verfahren, übertragen und speichern Karteninhaberdaten, müssen Sie Ihre Daten sicher mit einem Hosting-Anbieter hosten, der PCI ist konforme.

Der PCI Security Standards Council wurde 2006 von den fünf großen Kreditkartenmarken-American Express, Visa, MasterCard, Japan Credit Bureau (JCB) und Discover gegründet. Während jede Kreditkartenmarke über eigene Compliance-Programme verfügt, sind die PCI-Standards die Grundlage für alle.

Während der Rat keine gesetzliche Autorität hat, muss es, wenn Ihr Unternehmen Kredit-oder Debitkartentransaktionen akzeptiert, die PCI-Standards einhalten.

Was ist PCI-Einhaltung?

PCI umfasst einen Satz von 12 spezifischen Anforderungen, die sechs Ziele abdecken. Grundlegende Ziele sind es, die Sicherheit in Bezug auf Zahlungen zu maximieren und Händler darüber zu informieren, wie sie sicherer werden können. Und dies bedeutet, ein sicheres Netzwerk aufzubauen und zu pflegen, die Daten von Karteninhabern zu schützen und die Netzwerke regelmäßig zu testen und zu überwachen.

Sie finden vier verschiedene Ebenen der PCI-Konformität, abhängig vom Transaktionsvolumen, den Ihr Unternehmen über einen Zeitraum von 12 Monaten abwickelt. Das Transaktionsvolumen ergibt sich aus der Gesamtanzahl der durchgeführten Visa-Transaktionen, einschließlich Kredit-, Belastungs-und Prepaid-Kartentransaktionen eines Händlers als „DBA“.

Wenn Sie unter mehr als einem DBA verkaufen, berücksichtigen Sie das Gesamtvolumen der verarbeiteten, gespeicherten oder übertragenen Transaktionen insgesamt, um Ihr Validierungsniveau zu bestimmen.

Wenn Ihr Unternehmen jedes Jahr 20.000 Transaktionen oder weniger verarbeitet oder wenn die Kartendaten ausschließlich von Anbietern wie Einkaufskartenanbietern verarbeitet werden, hat Ihr Unternehmen weniger PCI-Anforderungen und wird als Stufe 4 klassifiziert . 2. Jedes Level bringt eine höhere Anzahl von Compliance-Anforderungen mit sich.

Bringt Level 1 die größte Anzahl von Compliance-Anforderungen mit sich, die für Unternehmen vorbehalten sind, die 6 Millionen oder mehr Transaktionen pro Jahr verarbeiten oder ihre eigenen Kartendaten speichern, ihren eigenen Code schreiben und ihre eigenen Server ausführen.

Was kostet PCI Compliance mein Geschäft?

Für ein Geschäft der Stufe 4 mit Kreditkartendaten, die auf seiner Website elektronisch gespeichert sind, oder verarbeitungssystemen mit Online-Konnektivität, muss ein genehmigter Scan-Anbieter regelmäßig eine Website oder einen Netzwerk-Scan absolvieren. Das Personal des Unternehmens muss auch einen Fragebogen zur Selbsteinschätzung ausfüllen und die Einhaltung der Compliance bescheinigen. Dies könnte nur 60 US-Dollar pro Monat kosten.

Wenn Ihr Unternehmen Stufe 3 ist, sind Kosten, die mit einem regelmäßigen Website oder einem Netzwerk-Scan durch einen zugelassenen Scan-Anbieter verbunden sind, und der Abschluss des jährlichen Fragebogens zur Selbstbewertung und die Bescheinigung der Einhaltung von Einhaltung können jährlich auf 1.200 USD steigen.

Für Unternehmen der Stufe 2 könnte diese Kosten auf 10.000 und 50.000 US-Dollar pro Jahr steigen, abhängig von der Anzahl der IP-Adressen und der Größe Ihres Netzwerks.

Für Unternehmen auf Stufe 1 der PCI-Konformität können die Kosten zwischen 50.000 US-Dollar nach oben liegen und nicht nur den regulären Netzwerk-Scan eines zugelassenen Scan-Anbieters umfassen, sondern auch eine Bescheinigung über die Einhaltung und einen Jahresbericht über die Einhaltung von Compliance durch ein qualifizierter Sicherheitsbeurteiler.

Was kann mein Unternehmen tun, um die PCI-Anforderungen zu erfüllen?

Wie oben vorgeschlagen, um sicherzustellen, dass die PCI-Einhaltung regelmäßige Website-oder Netzwerk-Scans von einem zugelassenen Scan-Anbieter durchgeführt werden-unabhängig von der Ebene Ihres Unternehmens. Die Unternehmen der Stufe 1 müssen auch von einem qualifizierten Sicherheitsbeurteiler unterstützt werden, um jährliche Bewertungen vor Ort durchzuführen.

Für kleine Unternehmen, die weniger als 6 Millionen Kredit-und Debitkartentransaktionen pro Jahr abwickeln, erfordert die Einhaltung von PCI-Compliance-Standards nur die Unterstützung eines zugelassenen Scan-Anbieters und einige Arbeiten Ihrer eigenen Mitarbeiter.

Foto über Shutterstock-Kommentar?

Similar Articles

Most Popular