Der PCI-DSS (Payment Card Industry Data Security Standard) ist eine Reihe von Sicherheitsstandards, die sicherstellen, dass Unternehmen, die Kredit- und Debitkarteninformationen akzeptieren und verarbeiten, dies in einer sicheren und sicheren Umgebung tun können.
Egal, in welcher Branche Sie tätig sind oder welche Unternehmensgröße Sie haben, wenn Sie Kartenzahlungen akzeptieren und Karteninhaberdaten verarbeiten, übertragen und speichern, müssen Sie Ihre Daten sicher bei einem Hosting-Provider hosten, der PCI-konform ist.
Der PCI Security Standards Council wurde in 2006 von den fünf wichtigsten Kreditkartenmarken American Express, Visa, MasterCard, Japanese Credit Bureau (JCB) und Discover gegründet. Während jede Kreditkartenmarke über eigene Compliance-Programme verfügt, sind die PCI-Standards die Grundlage für alle.
Während der Rat keine rechtliche Autorität hat, wenn Ihr Unternehmen Kredit- oder Debitkarten-Transaktionen akzeptieren will, muss es die Standards von PCI einhalten.
Was ist PCI-Konformität?
PCI umfasst eine Reihe von 12-spezifischen Anforderungen, die sechs Ziele abdecken. Grundlegende Ziele sind die Maximierung der Sicherheit in Bezug auf Zahlungen und die Information der Händler darüber, wie sie sicherer werden können. Und das bedeutet, ein sicheres Netzwerk aufzubauen und zu pflegen, die Daten der Karteninhaber zu schützen und die Netzwerke regelmäßig zu testen und zu überwachen.
Je nach Transaktionsvolumen, das Ihr Unternehmen in einem 12-Monat abwickelt, gibt es vier verschiedene PCI-Compliance-Stufen. Das Transaktionsvolumen ergibt sich aus der Gesamtzahl der durchgeführten Visa-Transaktionen, einschließlich Kredit-, Debit- und Prepaid-Karten-Transaktionen eines Händlers, der als DBA fungiert.
Wenn Sie unter mehr als einem DBA verkaufen, berücksichtigen Sie das Gesamtvolumen der insgesamt verarbeiteten, gespeicherten oder übertragenen Transaktionen, um Ihr Validierungsniveau zu bestimmen.
Wenn Ihr Unternehmen 20,000-Transaktionen oder weniger pro Jahr abwickelt oder wenn die Kartendaten nur von Anbietern wie Shopping Card-Anbietern verarbeitet werden, hat Ihr Unternehmen weniger PCI-Anforderungen und wird als Level 4 eingestuft.
Wenn Ihr Geschäft zwischen 20,000 und 1 Millionen Transaktionen pro Jahr abwickelt, werden Sie als Level 3 klassifiziert. Unternehmen, die zwischen 1- und 6-Kartentransaktionen in einem 12-Monat arbeiten, werden als Level 2 klassifiziert. Jedes Level bringt eine höhere Anzahl von Compliance-Anforderungen mit sich.
Level 1 bringt die größte Anzahl von Compliance-Anforderungen mit sich, die für Unternehmen reserviert sind, die 6 Millionen oder mehr Transaktionen pro Jahr verarbeiten oder ihre eigenen Kartendaten speichern, ihren eigenen Code schreiben und ihre eigenen Server betreiben.
Was kostet die PCI-Compliance mein Geschäft?
Für ein Level-4-Geschäft mit elektronisch gespeicherten Kreditkartendaten auf seiner Website oder Verarbeitungssystemen mit Online-Konnektivität muss ein Approved Scanning Vendor regelmäßig eine Website oder einen Netzwerk-Scan durchführen. Die Mitarbeiter des Unternehmens müssen außerdem einen Selbstbewertungsfragebogen und eine Konformitätsbescheinigung ausfüllen. Dies könnte so wenig wie $ 60 pro Monat kosten.
Wenn es sich bei Ihrem Unternehmen um Level 3 handelt, können die Kosten für eine regelmäßige Website- oder Netzwerksuche durch einen Anbieter für genehmigte Scans und die Fertigstellung des jährlichen Fragebogens zur Selbstbeurteilung und der Konformitätsbescheinigung jährlich auf $ 1,200 steigen.
Für Level 2-Unternehmen können diese Kosten je nach Anzahl der IP-Adressen und der Größe Ihres Netzwerks zwischen $ 10,000 und $ 50,000 pro Jahr steigen.
Für Unternehmen mit Level 1 der PCI-Compliance können die Kosten von $ 50,000 aufwärts reichen und umfassen nicht nur den regelmäßigen Netzwerk-Scan durch einen Approved Scanning Vendor, sondern auch eine Attestierung der Compliance und einen jährlichen Compliance-Bericht durch einen qualifizierten Sicherheitsassistenten.
Was kann mein Unternehmen tun, um die PCI-Anforderungen zu erfüllen?
Wie oben bereits erwähnt, müssen Sie, um die PCI-Konformität zu gewährleisten, regelmäßige Webseiten- oder Netzwerk-Scans von einem Approved Scanning Vendor durchführen lassen - unabhängig davon, auf welcher Stufe Ihr Unternehmen eingestuft wird. Level 1-Unternehmen müssen außerdem von einem qualifizierten Sicherheitsassistenten unterstützt werden, um jährliche Evaluierungen vor Ort durchzuführen.
Für kleine Unternehmen, die weniger als 6 Millionen Kredit- und Debitkartentransaktionen pro Jahr ausführen, erfordert die Erfüllung der PCI-Compliance-Standards nur die Unterstützung eines zugelassenen Scanners und einige Arbeiten Ihrer eigenen Mitarbeiter.
Foto über Shutterstock
