¿Cuál es PCI?
El estándar de la seguridad de datos de la industria de la tarjeta del pago (PCI DSS) es un sistema de requisitos diseñados para asegurarse de que TODAS LAS compañías que procesan, almacenan o transmiten la información de la tarjeta de crédito mantienen un ambiente seguro. Esencialmente cualquie comerciante que tenga una identificación del comerciante (MEDIADOS DE).
El PCI DSS es administrado y manejado por el PCI SSC (www.pcisecuritystandards.org), un cuerpo independiente que fue creado por las marcas de fábrica principales de la tarjeta del pago (la visa, Mastercard, American Express, descubre y el JCB.)
Es importante observar, el pago califica y los adquirentes son responsables de hacer cumplir la conformidad, no el consejo del PCI.
¿Quién el PCI se aplica?
El PCI se aplica a TODAS LAS organizaciones o los comerciantes, sin importar el tamaño o el número de transacciones, que aceptan, transmiten o almacenan cualquier dato del titular de tarjeta. Dicho otra manera, si cualquier cliente de esa organización paga nunca al comerciante directamente usando un de la tarjeta de crédito o una tarjeta de débito, después los requisitos del PCI DSS se aplican.
¿Cuáles son los plazos de la conformidad del PCI?
Todo el comerciante que almacena, procesa o transmite datos del titular de tarjeta debe ser obediente ahora. Sin embargo, como comerciante del nivel 4, usted tendrá que referir a su banco mercantil para sus requisitos y plazos específicos de la validación. Toda la aplicación del plazo vendrá de su banco mercantil.
¿Se determinan cuáles son el ’ de los niveles del ‘ de la conformidad del PCI y cómo ellos?
Todos los comerciantes caerán en uno de los cuatro niveles mercantil basados en volumen de la transacción de la visa durante un período de doce meses. El volumen de la transacción se basa en el número agregado de transacciones de la visa (inclusivas de crédito, de debe y pagado por adelantado) de un negocio que hace mercantil como (’ del DBA del ‘). En caso de que una corporación mercantil tenga más de un DBA, los adquirentes de la visa deben considerar el volumen agregado de transacciones almacenadas, procesadas o transmitidas por la entidad corporativa para determinar el nivel de la validación. Si los datos no se agregan, tales que la entidad corporativa no almacena, no procesa ni transmite datos del titular de tarjeta a nombre de DBAs múltiple, adquirentes continuarán considerando el ’ s del DBA volumen individual de la transacción para determinar el nivel de la validación.
Niveles mercantil según lo definido por Visa:
| Nivel mercantil |
Descripción |
| 1 |
Cualquie comerciante - sin importar el canal de la aceptación - que procesa sobre transacciones de la visa de los 6M por año. Cualquier comerciante que la visa, en su única discreción, determine debe cumplir los requisitos del comerciante del nivel 1 de reducir al mínimo riesgo al sistema de la visa. |
| 2 |
Cualquie comerciante - sin importar el canal de la aceptación - que procesa transacciones de la visa del 1M a de los 6M por año. |
| 3 |
Cualquie comerciante que procesa transacciones de comercio electrónico de la visa de 20.000 a del 1M por año. |
| 4 |
Cualquie comerciante que procesa menos de 20.000 transacciones de comercio electrónico de la visa por año, y el resto de los comerciantes - sin importar el canal de la aceptación - proceso de transacciones de la visa del hasta 1M por año. |
* Cualquier comerciante que haya sufrido un corte que dio lugar a un compromiso de los datos de cuenta puede ser extendido a un nivel más alto de la validación.
vea: Detalles de la validación de la conformidad de la visa para los comerciantes
Si acepto solamente tarjetas de crédito sobre el teléfono, el PCI sin embargo se aplica a mí?
Sí. Todo el negocio que almacenan, procesan o transmiten los datos del titular de tarjeta del pago debe ser PCI obediente.
¿Las organizaciones usando procesadores de tercera persona tienen que ser PCI obediente?
Sí. Simplemente usando una compañía de tercera persona no excluye a una compañía de conformidad del PCI. Puede reducir en su exposición del riesgo y por lo tanto reducir el esfuerzo para validar conformidad. Sin embargo, no significa que pueden no hacer caso del PCI.
¿Mi negocio tiene localizaciones múltiples, cada localización se requiere para validar conformidad del PCI?
Si su proceso de las localizaciones del negocio bajo misma identificación del impuesto, entonces usted se requiere típicamente solamente validar una vez al an@o para todas las localizaciones. Y, someta el quarterly que pasa exploraciones de la red por un vendedor de exploración aprobado SSC del PCI (ASV), si fuera aplicable.
¿Qué un negocio clasificado pequeño-medio (comerciante del nivel 4) tiene que hacer para satisfacer los requisitos del PCI?
Para satisfacer los requisitos del PCI, un comerciante debe terminar los pasos siguientes:
• Identifique su tipo de la validación como definido por el – del PCI DSS vea abajo. Esto se utiliza para determinar qué cuestionario de la autovaloración es apropiado para su negocio.
| Tipo de la validación de SAQ |
Descripción |
SAQ |
| 1 |
Tarjeta-no-Presente (comerciantes del comercio electrónico o del correo/del teléfono) todos los datos del portatarjetas externalizaron. Esto nunca se aplicaría a los comerciantes cara a cara. |
A |
| 2 |
Comerciantes de la impresión solamente sin almacenaje del holderdata de la tarjeta |
B |
| 3 |
Dial independiente encima de comerciantes terminales, NINGUÌN almacenaje de datos del portatarjetas. |
B |
| 4 |
Los comerciantes con los sistemas de uso del pago conectaron con el Internet. NINGUÌN almacenaje de datos del portatarjetas. |
C |
| 5 |
El resto de los comerciantes (no incluidos en descripciones de SAQ. a. - C arriba) y todos los proveedores de servicios definidos por una marca de fábrica del pago como elegible terminar un SAQ. |
D |
• Termine el cuestionario de la autovaloración según las instrucciones en las instrucciones y las pautas del cuestionario de la autovaloración.
• Termine y obtenga la evidencia de una exploración de paso de la vulnerabilidad con un vendedor de exploración aprobado SSC del PCI (ASV)
Nota: La exploración no se aplica a todos los comerciantes. Se requiere para el tipo 4 y de la validación el – 5 esos comerciantes con IP address externos del revestimiento. Básicamente si usted almacena electrónicamente la información del titular de tarjeta o si sus sistemas de proceso tienen alguna conectividad del Internet, una exploración trimestral de un vendedor aprobado de la exploración se requiere.
• Termine la atestiguación relevante de conformidad en su totalidad (situada en la herramienta de SAQ).
• Someta el SAQ, la evidencia de una exploración de paso (si fuera aplicable), y la atestiguación de conformidad, junto con cualquier otra documentación pedida, a su adquirente.
• Yo es un pequeño comerciante con muy pocas transacciones de la tarjeta; necesito ser obediente con PCI DSS?
Todos los comerciantes, pequeño o grande, necesidad de ser PCI obediente. Las marcas de fábrica del pago han adoptado colectivamente PCI DSS como el requisito para las organizaciones que procesan, almacenan o transmiten datos del titular de tarjeta del pago.
¿Están las transacciones de la tarjeta de débito en el alcance para el PCI?
las tarjetas del En-alcance incluyen cualquier debe, lo acreditan, y las tarjetas pagadas por adelantado calificadas con una insignias de la asociación/de la marca de fábrica de cinco tarjeta que participan en el PCI SSC - American Express, descubre, JCB, Mastercard, e International de la visa.
¿Soy PCI obediente si tengo un certificado del SSL?
Los certificados del SSL del No. no aseguran un web server de ataques o de intrusiones malévolos. Los altos certificados del SSL del aseguramiento proporcionan la primera grada de la seguridad y del reaseguro del cliente tal como el abajo, pero hay otros pasos para alcanzar conformidad del PCI.
• Una conexión segura entre el hojeador del cliente y el web server
• Validación que los operadores del Web site son una organización legítima, legalmente responsable
¿Cuáles son las penas para el incumplimiento?
Las marcas de fábrica del pago pueden, en su discreción, multa un banco de adquisición $5.000 a $100.000 por el mes para las violaciones de la conformidad del PCI. Los bancos pasarán muy probablemente esta multa encendido rio abajo hasta que golpea eventual al comerciante. Además, el banco también terminará su relación o aumentará muy probablemente honorarios de transacción. Las penas no se discuten abiertamente ni no se publican extensamente, sino que pueden catastrófico a una pequeña empresa.
Es importante ser familiar con su acuerdo mercantil de la cuenta, que debe contornear su exposición.
Qué se define como ’ de los datos del titular de tarjeta del ‘?
Los datos del titular de tarjeta son cualquier dato personalmente identificable asociado a un titular de tarjeta. Esto podía ser un número de cuenta, una fecha de vencimiento, un nombre, una dirección, un número de la Seguridad Social, un etc. Toda la información personalmente identificable asociada al titular de tarjeta se almacena, se procesa, o se transmite que también se considera los datos del titular de tarjeta.
¿Cuál es la definición del ’ del comerciante del ‘?
Para los propósitos del PCI DSS, definen a un comerciante como cualquier entidad que acepte las tarjetas del pago que llevan las insignias de cinco miembros uces de los de PCI SSC (American Express, descubre, JCB, Mastercard o visa) como pago para las mercancías y/o los servicios. Observe que un comerciante que acepte tarjetas del pago mientras que el pago para las mercancías y/o los servicios puede también ser prestatario de servicios, si los servicios vendieron resultado en almacenar, procesando, o datos del titular de tarjeta que transmiten a nombre de otros comerciantes o proveedores de servicios. Por ejemplo, una ISP es un comerciante que acepta las tarjetas del pago para la facturación mensual, pero también es prestatario de servicios si recibe a comerciantes como clientes.
¿Qué constituye Service Provider?
Cualquier compañía que almacene, procesa, o transmite datos del titular de tarjeta a nombre de otra entidad es definida para ser Service Provider por las pautas de la industria de la tarjeta del pago (PCI).
¿Qué constituye un uso del pago?
Qué constituye un uso del pago mientras que se relaciona con la conformidad del PCI? El uso del pago del término tiene un significado muy amplio en el PCI. Un uso del pago es cualquier cosa que almacena, procesa, o transmite datos de la tarjeta electrónicamente. Esto significa que cualquier cosa de un sistema de punto de venta (e.g., terminales del golpe fuerte de Verifone, ALOHA los terminales, etc.) en un restaurante a un carro de compras del comercio electrónico del Web site (e.g., CreLoaded, al osCommerce, al etc) es todo clasificado como usos del pago. Por lo tanto cualquier pedazo de software que se ha diseñado para tocar datos de la tarjeta de crédito se considera un uso del pago.
¿Cuál es una entrada del pago?
Las entradas del pago conectan a un comerciante con el banco o el procesador que está actuando como la conexión anticipada a las marcas de fábrica de la tarjeta. Se llaman las entradas porque toman muchas entradas de una variedad de diversos usos y encaminan esas entradas al banco o al procesador apropiado. Las entradas comunican con el banco o el procesador que usa conexiones de marcado manual, conexiones en Internet o líneas arrendadas privado llevadas a cabo.
¿Cómo se define el ambiente IP-basado de la posición?
El ambiente del punto de venta (posición) refiere a una transacción que ocurra en una localización mercantil (es decir tienda al por menor, restaurante, hotel, gasolinera, colmado, etc.). Un Internet Protocol (IP) - posición basada es cuando las transacciones se almacenan, se procesan, o se transmiten en los sistemas IP-basados o los sistemas que comunican vía el TCP/IP.
¿Cuál es PA-DSS y PABP?
PA-DSS refiere al estándar de la seguridad de datos de uso del pago mantenido por el consejo de los estándares de la seguridad del PCI. PABP es mejores prácticas del uso del pago del ’ s de la visa, que ahora se refiere como PA-DSS. La visa comenzó el programa y transitioned al consejo de los estándares de la seguridad del PCI (PCI SSC).
Para abordar el asunto crítico de seguridad de uso del pago, en la visa 2005 creada los requisitos de las mejores prácticas del uso del pago (PABP) de asegurar a vendedores proporciona los productos que apoyan esfuerzos de los comerciantes para mantener conformidad del PCI DSS y para eliminar el almacenaje de los datos sensibles del titular de tarjeta. Vea los usos del pago de la visa para más información.
El consejo de los estándares de la seguridad de la industria de la tarjeta del pago (PCI SSC) mantendrá el PA-DSS y administrará un programa para validar la conformidad de los usos del pago contra este estándar. El PCI SSC ahora publica y mantiene una lista de usos validados PA-DSS. Vea los estándares de la seguridad para más información.
Plazo de la fase del mandato de la VISA
• Los nuevos comerciantes del nivel 4 del PCI (nuevas localizaciones incluyendo de relaciones existentes) pueden no utilizar el – vulnerable de las versiones del uso del pago los que almacenen datos prohibidos del titular de tarjeta. 1 de enero de 2008
• Los nuevos comerciantes del nivel 4 del PCI que usan software de tercera persona del pago deben ser cualquier PCI DSS-obediente o utilizar usos obedientes validados PA-DSS del pago. 1 de octubre de 2008
• TODOS LOS comerciantes del nivel 4 del PCI (nuevo y existiendo) usando software de tercera persona deben utilizar usos validados. 1 de julio de 2010
¿Se puede el número de tarjeta de crédito completo imprimir en la copia del ’ s del consumidor del recibo?
El requisito 3.3 del PCI DSS indica la “CACEROLA de la máscara cuando está exhibido (los primeros seises y los cuatro dígitos pasados son el número máximo de dígitos que se exhibirán). El ” mientras que el requisito no prohíbe la impresión de la fecha completa del número o de vencimiento de tarjeta en los recibos (la copia mercantil o la copia del consumidor), observa por favor que el PCI DSS no elimina ninguna otra leyes que legislen qué se puede imprimir en recibos (tales como las operaciones justas y exactas de los E.E.U.U. de crédito actúa (FACTA) o cualquier otra ley aplicable). Vea la nota puesta en letra itálica bajo nota del “ del requisito 3.3 del PCI DSS: Este requisito no se aplica a los empleados y a otros partidos con una necesidad específica de considerar la CACEROLA llena, ni el requisito reemplaza requisitos más terminantes en el lugar para las exhibiciones de los datos del titular de tarjeta (por ejemplo, para los recibos del punto de venta (posición)). ” que cualquier recibo de papel almacenado por los comerciantes debe adherirse al PCI DSS, especialmente requisito 9 con respecto a seguridad física.
¿Necesito la exploración de la vulnerabilidad validar conformidad?
Si usted almacena electrónicamente los datos del titular de tarjeta fijan la autorización o si sus sistemas de proceso tienen alguna conectividad del Internet, una exploración trimestral por un vendedor de exploración aprobado SSC del PCI (ASV) se requiere.
¿Cuál es una exploración de la seguridad de la red?
Una exploración de la seguridad de la red implica una herramienta automatizada que compruebe los sistemas de un comerciante o del prestatario de servicios para saber si hay vulnerabilidades. La herramienta conducirá una exploración non-intrusive para repasar remotamente las redes y las aplicaciones web basadas en las direcciones del Internet Protocol del external-revestimiento (IP) proporcionadas por el comerciante o el prestatario de servicios. La exploración identificará vulnerabilidades en sistemas operativos, servicios, y los dispositivos que se podrían utilizar por los piratas informáticos para apuntar la red privada de la compañía. En la manera prevista por los vendedores aprobados de una exploración (’ s de ASV) por ejemplo ControlScan la herramienta no requerirá el comerciante o al prestatario de servicios instalar ninguÌn software en sus sistemas, y no se realizará ningunos ataques del negación-de-servicio.
La nota, típicamente solamente comerciantes con IP address externo del revestimiento se requiere para tener paso de exploraciones del quarterly para validar conformidad del PCI. Éste es generalmente comerciantes que terminan la versión de SAQ C o de D.
¿Cuantas veces tengo que explorar?
Cada 90 días/una vez por cuarto le requieren someter una exploración de paso. Los comerciantes y los proveedores de servicios deben someter la documentación de la conformidad (informes acertados de la exploración) según el horario determinado por su adquirente. Las exploraciones se deben conducir por un vendedor de exploración aprobado SSC del PCI (ASV). ControlScan es vendedor de exploración aprobado PCI.
¿Qué si un comerciante rechaza cooperar?
El PCI no es, en sí mismo, una ley. El estándar fue creado por las marcas de fábrica principales de la tarjeta tales como visa, Mastercard, descubre, Amex, y JCB. En sus adquirentes/discreción de los proveedores de servicios, los comerciantes que no se conforman con PCI DSS pueden estar conforme a las multas, a los costes de reemplazo de la tarjeta, a las intervenciones forenses costosas, al daño de la marca de fábrica, etc., si ocurre un acontecimiento de la abertura.
Para un poco upfront esfuerzo y coste para conformarse con el PCI, usted ayuda grandemente a reducir su riesgo de hacer frente a estas consecuencias extremadamente desagradables y costosas.
¿Si el ’ m de I que funciona un negocio de mi hogar, soy una blanco seria para los piratas informáticos?
Sí, los usuarios caseros son discutible los más vulnerables simplemente porque no están generalmente bien protegidos. Adoptando la “trayectoria un modelo de menos resistencia”, los intrusos quiere a menudo cero-en en los usuarios caseros - a menudo aprovechamiento su “siempre en” conexiones de banda ancha y programas caseros típicos del uso tales como charla, juegos del Internet y los usos de la distribución de archivos del P2P. El servicio de la exploración del ’ s de ControlScan permite que los usuarios caseros y los administradores de red igualmente identifiquen y fijen cualquier vulnerabilidad de seguridad en su mesa o ordenadores portátiles.
¿Qué debo hacer si el ’ m de I comprometió?
Recomendamos después de los procedimientos contorneados en control del fraude de la visa y el documento de los procedimientos de las investigaciones.
¿Los estados tienen leyes que requiriendo notificaciones de la abertura de los datos a los partidos afectados?
Absolutamente. California es el catalizador para las aberturas de los datos de la información a los partidos afectados. La ley aplicada estado de la notificación de la abertura en 2003 y allí ahora está sobre 38 estados que tengan leyes similares en el lugar. Vea www.PrivacyRights.org para más detalle en leyes estatales.
Mitos del PCI:
Yo es un pequeño comerciante que tome solamente un puñado de tarjetas, así que yo ponemos el PCI de la necesidad del ’ t.
Esto es un malentendido común con el estándar, ese los pequeños comerciantes que dirigen solamente uno o algunas tarjetas de crédito al año están exentas de conformidad. Si usted es comerciante y es fijado para tomar tarjetas de crédito por cualquier mecanismo - entonces usted necesidad de ser queja.
El PCI se aplica solamente a las compañías del comercio electrónico.
No, el PCI se aplica a cada compañía que almacene, procese o transmita la información del titular de tarjeta. De hecho cualquier persona que toma las actuales transacciones de la tarjeta que implican los dispositivos de la posición es típicamente más en peligro que soluciones del comercio electrónico. Estos tipos de transacciones implican absolutamente a menudo el almacenaje de los datos de la pista (que se prohíbe debajo del PCI). El compromiso de este tipo de datos puede traer multas y los pedidos pesados la remuneración de los bancos implicados.
Usted solamente tiene que ser PCI obediente con la mayoría de criterios.
Hecho: La marca de paso para el PCI es 100%, así que si usted falla incluso uno de los criterios, usted no es PCI obediente. El estándar no se significa para ser algo esforzarse para; es esencialmente un piso, una base para medidas de seguridad más futuras. El no poder alcanzar incluso uno de los requisitos, es el no poder cumplir un estándar básico para manejar la información del titular de tarjeta. Todas las compañías que manejan rutinario este tipo de datos deben apuntar exceder el estándar. Él buen negocio del ’ s apenas.
Necesito solamente proteger mis datos de la tarjeta de crédito, no datos relacionados tarjeta de débito de la atmósfera.
Incorrecto - se requieren ambos. Muchas tarjetas de débito son el ’ de doble finalidad del debe de la firma del ‘, que se puede utilizar en debe y redes de la tarjeta de crédito. Como tal, se cubren debajo del PCI y deben ser protegidas de la misma forma que las tarjetas de crédito.
Puedo esperar hasta que mi negocio crezca.
Incorrecto - el estándar del PCI se aplica a todos los tamaños del negocio y el esperar podría ser costoso. Si le comprometen y no ser PCI obediente, las multas y los requisitos de la remuneración por los bancos (cuesta típicamente entre $50 y $90 para substituir una tarjeta) podrían ser substanciales.
Puedo apenas contestar al ’ del ‘ sí a todos los criterios en el cuestionario de la autovaloración (SAQ).
El cuestionario de la autovaloración (SAQ) es un mecanismo para llegar la información sobre el nivel de su conformidad a su banco mercantil. El estándar se aplica siempre. Apenas el decir sí a las preguntas le pone en el gran riesgo. Si ocurriera un compromiso y fuera obvio que usted no era y nunca ha sido PCI obediente, la materia sería tomada muy seriamente. Usted estaría arriesgando su negocio entero contestando al ’ del ‘ sí a las preguntas, cuando no hay base efectiva para las respuestas.
Puedo esperar hasta que mi banco pida que sea PCI obediente.
Las fechas para que los comerciantes sean PCI obediente son largas idas. Usted es responsable de cerciorarse de le está en conformidad. Esperarle hasta que el banco pida podría ser muy costoso de hecho.
Como comerciante, no firmé cualquier cosa diciendo que sería queja; por lo tanto, pongo necesidad del ’ t de ser.
El PCI estándar forma la parte de las regulaciones del funcionamiento que son las reglas bajo las cuales se permite a los comerciantes funcionar cuentas mercantil. Las regulaciones firmaron cuando usted abre una cuenta en el estado del banco que las regulaciones de la VISA tienen que ser adheridas. Incluso si usted ha estado en el negocio por décadas, el PCI todavía se aplica si usted almacén, proceso o transmite tarjetas de crédito.
Como comerciante, ’ m de I titulado para almacenar cuaesquiera datos.
Muchos comerciantes creen que poseen al cliente y tienen una derecha de almacenar todos los datos sobre ese cliente para ayudar a su negocio. No sólo esto incorrecto con respecto al PCI, puede también ser una violación de la legislación de estado y federal está mirando aislamiento. Las regulaciones del PCI prohíben específicamente almacenar del siguiente un de los:
• Número de tarjeta de crédito Unencrypted
• CVV o CVV2
• Bloques de Pin
• Números de PIN
• Datos de la pista 1 o 2
Antedicho un de los encontrado en las bases de datos, los ficheros de diario, los rastros de intervención, el ’ de reserva s etc. puede dar lugar a las consecuencias serias para el comerciante, especialmente si ha ocurrido un compromiso.
Un vendedor y producto nos harán obedientes.
Muchos vendedores ofrecen un arsenal de software y de servicios para la conformidad del PCI. NinguÌn vendedor o producto, sin embargo, trata completamente los 12 requisitos de PCI DSS. Cuando los focos de comercialización en un capacidades del ’ s del producto y excluyen la colocación de éstos con otros requisitos de PCI DSS, la opinión resultante de un ’ de la bala de la plata del ‘ pudo llevar alguno a creer que el producto de punto proporciona el ’ de la conformidad del ‘, cuando él el ’ s que ejecuta realmente apenas un o alguno pedazos del estándar. El consejo de los estándares de la seguridad del PCI impulsa comerciantes y a procesadores evitar centrarse en los productos de punto para la seguridad y la conformidad del PCI. En vez de la confianza en un solo producto o vendedor, usted debe ejecutar una estrategia holística de la seguridad esa los focos en el ’ grande del cuadro del ‘ relacionado con el intento de los requisitos del PCI DSS.
El proceso de la tarjeta de la externalización nos hace obedientes.
La externalización simplifica la tarjeta del pago que procesa pero no proporciona conformidad automática. El ’ t de Don olvida tratar políticas y los procedimientos para las transacciones y la informática del titular de tarjeta. Su negocio debe proteger datos del titular de tarjeta cuando usted lo recibe, y procesa las partes posteriores y los reembolsos de la carga. Usted debe también asegurarse de que los abastecedores los usos del ’ y los terminales del pago de la tarjeta se conformen con estándares respectivos del PCI y no almacena datos sensibles del titular de tarjeta. Usted debe pedir un certificado de conformidad anualmente de abastecedores.
La conformidad del PCI es un proyecto de IT.
Personal ejecuta aspectos técnicos y operacionales de sistemas PCI-relacionados, pero la conformidad a los programas del ’ s de la marca de fábrica del pago es mucho más que un proyecto del ‘ con un – del principio y del extremo él el ’ s un proceso en curso del gravamen, de la remediación y de la información. La conformidad del PCI es una edición de negocio que es abordada mejor por un equipo multidisciplinario. Los riesgos de compromiso son financieros y reputational, así que afectan a la organización entera. Esté seguro sus políticas y procedimientos de las direcciones comerciales pues se aplican a la aceptación entera del pago de la tarjeta y flujo de trabajo del proceso.
El PCI nos hará seguros.
La terminación acertada de una exploración o de un gravamen del sistema para el PCI está pero una foto a tiempo. Las hazañas de la seguridad son directas y consiguen un diario más fuerte, que es porqué esfuerzos de la conformidad del PCI deben ser un proceso continuo del gravamen y de la remediación para asegurar la seguridad de los datos del titular de tarjeta.
El PCI es desrazonable; requiere demasiado.
La mayoría de los aspectos del PCI DSS son ya una mejor práctica común para la seguridad. El estándar también permite que la opción usando controles de compensación cumpla algunos requisitos. El estándar proporciona el detalle significativo, que beneficia a comerciantes y a procesadores no dejándolos a la maravilla, ‘ donde voy de aquí? El ’ este alcance y flexibilidad lleva alguno para ver PCI DSS como estándar eficaz para asegurar toda la información delicada.
El PCI nos requiere contratar a un asesor calificado de la seguridad (QSA).
Porque la mayoría de los comerciantes grandes tienen complejo ÉL los ambientes, muchos emplean un QSA para espigar su valor especializado para los gravámenes en sitio de la seguridad requeridos por PCI DSS. El QSA también hace más fácil desarrollar y conseguir la aprobación para un control de compensación. Sin embargo, el PCI DSS provee de la opción de hacer un gravamen interno un oficial de aprobación si su adquirente y/o banco mercantil conviene. Los comerciantes de tamano medio y más pequeños pueden utilizar el cuestionario de la autovaloración (SAQ) encontrado en el Web site del PCI SSC para determinarse.
El PCI nos hace datos del titular de tarjeta del almacén.
El PCI DSS y las marcas de fábrica de la tarjeta del pago desalientan fuertemente el almacenaje de los datos del titular de tarjeta de los comerciantes y de los procesadores. No hay necesidad, ni es permitió, almacenar datos de la raya magnética en la parte posterior de una tarjeta del pago. Si los comerciantes o los procesadores tienen una razón del negocio que almacenar la información de la delantero-tarjeta, tal como nombre y número de cuenta, PCI DSS requiere estos datos ser cifrada o ser hecha de otra manera ilegibles.
El PCI es demasiado duro.
La comprensión y la ejecución de los 12 requisitos de PCI DSS pueden parecer desalentadoras, especialmente para los comerciantes sin seguridad o un grande ÉL departamento. Sin embargo, el PCI DSS llama sobre todo para siempre, seguridad básica. Incluso si no había requisito para la conformidad del PCI, las mejores prácticas para la seguridad contenida en el estándar son las medidas que cada negocio querría tomar de todos modos para proteger datos sensibles y la continuidad de operaciones. Hay muchos productos y servicios disponibles ayudar a cumplir los requisitos para el – de la seguridad y la conformidad del PCI.
Cuando la gente dice el PCI es demasiado duro, muchos realmente malos a decir que la conformidad no es barata. Los riesgos de negocio y los últimos costes de incumplimiento, sin embargo, pueden exceder sumamente la ejecución del – del PCI DSS tal como multas, cuotas legales, disminuciones de la equidad común, y especialmente negocio perdido. La ejecución de PCI DSS debe ser parte de un sonido, la estrategia básica de la seguridad de la empresa, que requiere la fabricación de esta pieza de la actividad de su plan empresarial y presupuesto en curso.
