Nic*_*Nic 8 pci-dss point-of-sale
我已经阅读了很多关于 PCI DSS 及其要求的文章,但我不清楚究竟是什么决定了组织是否需要担心 PCI DSS 合规性。
我们使用基本的HiSpeed 6200 POS 终端接受付款,该终端通过我们的办公室 LAN 连接到互联网。我们没有使用 VLAN。该终端未与任何支付处理应用程序集成,它只是打印出纸质收据。
我是否需要担心 PCI DSS 合规性?
War*_*ner 10
如果您存储、传输或处理“帐户数据”,您必须符合 PCI 标准。在PCI DSS 2.0 中,“账户数据”由“持卡人数据”和“敏感身份验证数据”组成。
持卡人数据包括:
敏感认证数据包括:
当确切的定义有疑问时,词汇表会有所帮助。
这些数据的处理方式决定了适用于您的业务的PCI自我评估问卷(SAQ)。不幸的是,您没有提供足够的信息让我自信地确定哪些 SAQ 适用于您的业务。SAQ 指南的摘录应该会有所帮助:
SAQ A——无卡(电子商务或邮件/电话订购)商户,所有持卡人数据功能外包。这永远不会适用于面对面的商家。
SAQ B -- 没有电子持卡人数据存储的仅印记商户,或没有电子持卡人数据存储的独立拨出终端商户
SAQ C-VT -- 商户只使用基于网络的虚拟终端,没有电子持卡人数据存储
SAQ C -- 支付应用系统连接到互联网的商户,没有电子持卡人数据存储
SAQ D——未包含在上述 SAQ 类型 A 到 C 的描述中的所有其他商家,以及支付品牌定义为有资格完成 SAQ 的所有服务提供商。
此外,您处理的交易量决定了适用于您的业务的 PCI 级别。虽然这在信用卡公司之间略有不同,但它们通常非常相似。此外,服务提供商和商家对级别的要求各不相同。所有级别都需要每季度扫描一次。大多数都需要年度自我评估。最后,在第 1 级,您必须让合格的安全评估员(QSA/审核员)完成您的合规报告。(鹏)
如果您符合上述资格,则您必须在一定程度上正式符合 PCI 标准。然而,您的银行或收单机构将最终确定您的 PCI 报告要求。做好功课,然后联系您的银行,他们是确定最终期望值的最佳选择。