Mit kell tudniuk a kereskedőknek a tranzakciók védelmének biztosításáról

Ismerje meg, hogyan tárolhatja, dolgozhatja fel és továbbíthatja biztonságosan a fizetési adatokat

A kártyabirtokosok adatainak tárolását, feldolgozását vagy továbbítását végző kereskedők számára kötelező a PCI szabvány maradéktalan betartása. Az 1., 2. és 3. szintű kereskedőknek kötelező jelentést benyújtaniuk az elfogadó bank számára a fent leírt megfelelőség állapotáról.

A kereskedők szintjének megállapítása gyakran okoz problémát. A Mastercard azt javasolja a kereskedőknek, hogy forduljanak az elfogadó (kereskedői) bankjukhoz, és a bank segítségével végezzék el a következő lépéseket:

  • A kereskedő szintjének megállapítása a legutóbbi 52 hetes időszak Mastercard tranzakciós volumene alapján

  • A megfelelő PCI-ellenőrzési követelmények megerősítése

  • Szükség esetén jóváhagyott szolgáltató segítségével az ellenőrzési eljárások elvégzése

Miután megfelelőnek minősítették, a kereskedőnek be kell nyújtania az ellenőrzési követelményeknek való megfelelőségről szóló jelentést az elfogadó bank számára, amely ezután jelenti a kereskedő megfelelőségi állapotát a Mastercard felé.

Kategória
Feltételek Követelmények Megfelelőségi dátum
1. szint
  • Bármely kereskedő, aki ellen olyan támadást hajtottak végre, melynek során illetéktelenek fértek hozzá a kártyaadatokhoz
  • Bármely kereskedő, aki évente együttesen több mint hatmillió Mastercard és Maestro tranzakciót bonyolít le
  • Bármely kereskedő, aki megfelel a Visa 1. szintű feltételeinek
  • Bármely kereskedő, akit a Mastercard saját belátása szerint az 1. szintű kereskedői követelményeknek való megfelelésre kötelez a rendszerkockázatok minimalizálása érdekében
  • Éves helyszíni értékelés1
  • ASV által végzett negyedéves hálózatvizsgálat2

2012. június 30.3

2. szint
  • Bármely kereskedő, aki évente együttesen egymilliónál több és legfeljebb hatmillió Mastercard és Maestro tranzakciót bonyolít le
  • Bármely kereskedő, aki megfelel a Visa 2. szintű feltételeinek
  • Éves önértékelés4
  • Helyszíni értékelés a kereskedő belátása szerint4
  • ASV által végzett negyedéves hálózatvizsgálat2

2012. június 30.4

3. szint
  • Bármely kereskedő, aki évente együttesen 20 000-nél több és legfeljebb egymillió Mastercard és Maestro e-kereskedelmi tranzakciót bonyolít le
  • Bármely kereskedő, aki megfelel a Visa 3. szintű feltételeinek
  • Éves önértékelés
  • ASV által végzett negyedéves hálózatvizsgálat2

2005. június 30.

4. szint
  • Minden egyéb kereskedő5
  • Éves önértékelés
  • ASV által végzett negyedéves hálózatvizsgálat2

Egyeztetés az elfogadó (kereskedői) bankkal

 

  1. 2012. június 30-tól kezdődően azoknak az 1. szintű kereskedőknek, akik úgy döntenek, hogy éves helyszíni értékelést végeztetnek egy belső auditorral, gondoskodniuk kell arról, hogy a PCI DSS-megfelelőséget vizsgáló elsődleges belső felügyeleti személyzet elvégezze a PCI SSC ISA képzést és sikerrel teljesítse a megfelelő akkreditációs programot, ha a kereskedő továbbra is belső auditort kíván alkalmazni.
  2. A negyedéves hálózatvizsgálatot egy PCI SSC jóváhagyással rendelkező vizsgálati szolgáltatónak (ASV) kell végeznie.
  3. Az 1. szintű kereskedők 2005. júniusi kezdeti megfelelőségi dátuma már elmúlt. A 2012. június 30-i dátum csak a PCI SSC ISA képzésre és tanúsításra vonatkozik, és csak azon kereskedőkre érvényes, akik belső auditorral végzik az éves helyszíni értékelést.
  4. 2012. június 30-tól kezdődően azoknak a 2. szintű kereskedőknek, akik úgy döntenek, hogy éves önértékelési kérdőívet töltenek ki, gondoskodniuk kell arról, hogy az önértékelésben részt vevő személyzet elvégezze a PCI SSC ISA képzést és sikerrel teljesítse a megfelelő akkreditációs programot, ha a kereskedő továbbra is az önértékelést szeretné használni a megfelelőség ellenőrzéséhez. A 2. szintű kereskedők saját belátásuk szerint dönthetnek úgy is, hogy egy PCI SSC jóváhagyással rendelkező minősített biztonsági felügyelővel (QSA) évente helyszíni értékelést végeztetnek az éves önértékelési kérdőív kitöltése helyett.
  5. A 4. szintű kereskedőknek előírás a PCI DSS követelményeinek betartása. A 4. szintű kereskedőknek emellett egyeztetniük kell az elfogadójukkal, hogy szükség van-e a megfelelőség ellenőrzésére.

Csökkentse a számlaadatok illetéktelen kézbe jutásának kockázatát

Válasszon a PCI előírásainak megfelelő szolgáltatót

Ismerje meg a kereskedőkre vonatkozó ellenőrzési szabályokat

Helyszíni értékelés vagy önértékelés

PCI SSC tanúsítvánnyal rendelkező minősített adatbiztonsági auditor (QSA) vagy engedéllyel rendelkező belső biztonsági felügyelő (ISA) által végzett részletes értékelés. Az értékelés azt igazolja az elfogadó felé, hogy a szervezet a Payment Card Industry Data Security Standards (PCI DSS) szabványnak megfelelően kezeli a kártyaadatokat.

A következőkre vonatkozik: 1. és 2. szintű kereskedők
 

Önértékelési kérdőív (SAQ)

Ellenőrzési eszköz, amelyet elsősorban olyan kereskedők és szolgáltatók használnak, akikre nem vonatkozik a PCI DSS helyszíni értékelő vizsgálata.

A következőkre vonatkozik: 2., 3. és 4. szintű kereskedők
 

Külső sérülékenységi vizsgálat

A PCI SSC jóváhagyással rendelkező vizsgálati szolgáltató (ASV) által végzett sérülékenységi vizsgálat minden olyan, internet felől elérhető rendszerösszetevőre kiterjed, amely része a kártyabirtokosi adatok környezetének vagy hozzáférést biztosít ahhoz.

A következőkre vonatkozik: Minden kereskedő (szükség szerint)