PCI合规性:常见问题

2021年2月24日06:01:16 发表评论 23 次浏览

编者注:几乎所有电子商务商人都必须遵守支付卡行业。但这也是一个很难理解的复杂话题。考虑到这一点, 实践电子商务正在与Coalfire IT审核与合规, 是PCI重要专家, 在一系列旨在回答商家有关PCI合规性问题的文章中。对于本系列的第一篇文章, 我们将了解Coalfire联合创始人兼总裁Rick Dakin的见解。我们问了戴金两个问题, 我们认为这是许多商人所代表的问题。在整个系列中, 我们将继续向他和其他Coalfire代表提问。

Dakin帮助客户开发有效的IT治理和法规遵从计划的平衡方法。他的经验来自于领先的IT公司超过25年的高级管理经验。

如果你有PCI合规性问题, 请发送电子邮件至特约编辑Kevin Kevin Allen, 地址为:kevin@notlogy.com我们将尝试解决它。

实用电子商务:对于不同规模的企业, PCI合规性有所不同。假设一家企业每年的总收入为700, 000美元, 并且每年处理大约13, 000次信用卡交易。要遵守该怎么办?

里克·戴金(Rick Dakin):查看PCI数据安全标准并确定适用于你的环境的控制区域。确保已实施那些控件, 这些控件要求使用批准的支付应用程序, 对物理和计算机访问权限的限制

里克·戴金

里克·戴金

持卡人数据和其他安全控制措施。

对执行了相关控件感到满意后, 请返回到PCI安全标准委员会网站并下载资格表以确定应提交的合规报告级别。每年仅进行13, 000次交易, 你无疑是4级商家, 但是你可以根据自己的需要选择几种合规性验证要求。

在大多数情况下, 你必须每季度从经批准的扫描供应商(ASV)获取一次外部漏洞扫描, 并每年完成一次自我评估调查表(SAQ)。再次, 适合你的SAQ类型将在上面提供的PCI SSC链接上列出的鉴定过程中突出显示。

作为一种选择, Coalfire(PCI合格的安全评估员)提供了在线SAQ表单, 其中包含一个资格认证过程, 可以为你选择适当的合规性测试程序。

PeC:

我们的电子商务公司很小。有什么机会

如果不符合PCI标准, 我们会被抓到吗?

达金:到目前为止, 我将不得不报告的是, 很少有收单银行(即商家帐户提供商)实施了全面的计划来验证4级商家的PCI合规性。不幸的是, 被抓住的机会每天都在增加。但是, 我不希望你的处理器会识别出你的违规行为并开始发出罚款。更有可能的情况是, 僵尸网络程序将识别你的站点并加载恶意软件以收集持卡人数据, 以供网络罪犯随后进行欺诈性使用。受到威胁的4级商人的数量正以惊人的速度增长。

在妥协时, 法医调查人员将评估你的PCI合规水平, 并确定你不合规。因此, 我们对你在受感染系统上识别出的卡上进行的所有欺诈行为都将退还给你。这帐户数据损坏恢复或ADCR流程使卡品牌可以直接向你收取系统中的损失。网络罪犯正在变得越来越好, 当只有1000张卡被盗时, 我们通常会看到超过50, 000美元的损失。

另一个正在加速发展的计划是要求处理器验证其商户仅使用PCI兼容(或经过PA-DSS验证)的支付应用程序, 其中包括购物车。随着PA-DSS验证的截止日期(2010年7月), 此要求可能会增加你在2010年被确定为不合规的机会。

一盏木

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: