Muhasebe

PCI Uyumluluğu: Tanım, Maliyet ve Sağlayıcılar

İçindekiler:

Anonim

Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kredi kartlarını kabul eden işletmeler için bir kurallar grubudur. Standartları oluşturan konsey, Visa gibi belli başlı kredi kartı şirketlerinden bağımsızdır ancak görevlendirilir. Tüketici bilgilerinin veri ihlallerinden korunmasını sağlamak için PCI uyumluluğunu yönetme amaçlıdır.

Chase Merchant Services gibi Merchant servis sağlayıcıları, kendisi ve tüm dükkan hesapları için PCI uygunluğunu korumalıdır. Kendi PCI uyumluluğunuzdan emin değil misiniz? Chase, Seviye 1 sağlayıcısı olmak için PCI gereksinimlerini karşılar ve satıcı hesap sahiplerinin de hassas verileri koruduklarından emin olmalarına yardımcı olacak araçlar sunar. Bugün bir hesap için başvurun.

Chase Merchant Services'i ziyaret edin

PCI Uyumluluğu Nedir?

PCI DSS, 2006 yılında kredi kartı numaraları ve kişisel olarak tanımlanabilir bilgiler dahil olmak üzere hassas tüketici verilerinin korunmasına yardımcı olmak için kuruldu. Başlıca kredi kartı şirketleri - Visa, MasterCard, American Express, Discover ve JCB - tüketiciler gibi veri ihlalleriyle ilgileniyor.

Bir dizi kural, satıcı hizmetleri sağlayıcılarını (MSP'ler), ödeme işlemcileri, ödeme ağ geçitleri ve satıcıları aynı veri güvenliği sayfasında tutabilir. Bunun anlamı, kredi kartı ödemelerine dahil olan herkesin, aşağıdakileri de içeren katı kurallara uyması gerektiğidir:

  • tüccarlar
  • Servis sağlayıcıları
  • Ödeme uygulamaları
  • Ödeme ağ geçitleri
  • Ödeme işlemcileri

Her işletme için farklı seviyeler vardır ve her seviye, kredi kartı satışlarında yıllık olarak ne kadar para harcadığınıza bağlıdır. Gerekli her şeyi yapıp yapmadığınızı görmek istiyorsanız, bu PCI uygunluk kontrol listesine bakın.

PCI Uyumluluğu Nasıl Çalışır?

Bir satıcı olarak, altı ana hedefe bölünebilecek 12 PCI DSS gereksinimine uymanız gerekir. Birini kaçırırsanız, pahalı olan PCI DSS tarafından para cezasına çarptırılabilirsiniz.

PCI uyumluluğunu sürdürmesi gereken herhangi bir işletmenin altı ana hedefi:

  1. Güvenli fiziksel ağı koruyun
  2. Müşteri verilerini koru
  3. Güvenli dahili ağı koruyun
  4. Bilmeniz gerekenlere veri erişimini sınırlayın
  5. Veri güvenliği sistemlerini izleyin ve test edin
  6. Personeli PCI uyumluluğu konusunda eğitin

Bunları yapmak için fiziksel güvenlik için güvenlik duvarları kullanmanız gerekir; şifreleme veya değişmez kilit ve anahtar kullanımıyla verileri korumak; yazılım ve uygulamaların güvenli olduğundan emin olun; ve virüsten koruma yazılımı güncelleyin.

Sadece erişime ihtiyaç duyanlar tüketici verilerini elde edebilmeli ve kimin neyi gördüğünü izleyebilmelisiniz; Personelin PCI uyumluluğunun önemini ve tüketici verileriyle ne yapıp ne yapmamasını anlamalarını sağlamak için kurumunuzda amaçlandığı şekilde çalıştığından emin olmak için güvenlik önlemlerinizi sık sık test edin.

PCI Uyumlu Olması Gerekenler

Yukarıda belirtildiği gibi, kelimenin tam anlamıyla kredi kartlarını kabul eden herhangi bir kuruluş PCI uyumlu olmalıdır. Bu, finansal kurumlardan Etsy mağazalarına kadar herkes anlamına gelir. Bunlar yasa olmasa da, kredi kartı şirketleri tarafından belirlenen düzenlemelerdir. İşletmeniz için kredi kartı kabul etmeye devam etmek için uymanız gerekir.

PCI uyumluluğunu biraz daha bozmak için, kimlerin farklı yönergeleri izlemesi gerektiğini açıklayan bir liste:

  • tüccarlar: PCI DSS konseyini oluşturan beş ana kredi kartından birini veya birkaçını kabul eden herhangi bir kuruluş
  • Tüccar servis sağlayıcıları: Kredi kartı bilgilerini diğer tüccarlar için ileten, işleyen veya saklayan işletmeler
  • Ödeme uygulaması: Kredi kartı okuyucuları, e-ticaret arabaları veya satış noktası sistemleri gibi kredi kartı bilgilerini aktaran, işleyen veya saklayan cihazlar veya çevrimiçi alışveriş sepetleri
  • Ödeme ağ geçidi: Tüccarlar ve bankalar için aracı; bu şirketler, bir kredi kartını çalıştıran bir işletmeyle, bir ödeme isteğini onaylayan veya reddeden bir banka ile veri iletir
  • Ödeme işlemcisi: Bu hepsi bir arada işletmeler genellikle satıcı hesabı, ödeme uygulaması ve tüccarlar için ödeme ağ geçidi sağlar

Küçük bir işletme sahibi olarak, büyük olasılıkla satıcı tanımına girersiniz. Bir ödeme işleme şirketi veya hizmet sağlayıcısı başlatıyorsanız, hem satıcı hem de söz konusu hizmet sağlayıcı işi olarak nitelenirsiniz. Ait olduğun seviyeyi bulmak karmaşık görünebilir, ancak aşağıda yardımcı olabilecek bir çizelge var.

PCI Uyumluluk Gereksinimleri

Birçok küçük işletme sahibi, PCI uyumlu olmak için belirli işlemleri tamamlamaları gerektiğini bile bilmeyebilir. Satıcı servis sağlayıcınız veya ödeme işlemciniz size bir miktar PCI uyumluluğu sağlar, ancak yine de atmanız gereken adımlar vardır.

İşletmenizin hangi PCI uyumluluk düzeyine ait olduğunu belirlemelisiniz.

PCI Seviyeleri

Seviye 16 milyon + yıllık vize işlemlerini gerçekleştiren işletmeler
Seviye 2Yıllık 1 ila 6 milyon Vize işlemi yapan işletmeler
3. seviye20 ila 1 milyon yıllık Visa e-ticaret işlemlerini gerçekleştiren işletmeler
Seviye 4<20.000 yıllık Visa e-ticaret işlemlerini yapan işletmeler; Yıllık 1 milyona kadar Visa işlemi yapan işletmeler (e-ticaret dışı)

PCI Uyumluluk Öz Değerlendirme Anketi

Büyük kredi kartlarını kabul eden tüm küçük ve orta ölçekli tüccarlar (Seviye 4), PCI uyumluluk şartlarının bir kısmı için bir öz değerlendirme anketini (SAQ) doldurmalıdır. Hangi SAQ'yi tamamlamanız gerektiğini bulmak için çizelgeye başvurmanız gerekir.

Grafiğe resmi PCI DSS web sitesinden de erişebilirsiniz.

Örneğin, çevrimiçi bir işletme işletiyorsanız ve Shopify'ı ödeme ağ geçidi ve işlemcisi olarak kullanıyorsanız, SAQ-A'yı doldurursunuz. POS sistemi ve Lightspeed gibi bir terminal kullanan bir tuğla ve harç işletmesinin SAQ-C belgesini kullanması gerekir. Çevrimiçi bir telefon siparişi veya fatura kabul ettiğinizde olduğu gibi sanal bir terminale elle girmek için SAQ-C-VT'yi doldurmanız gerekir.

Bu, SAQ-A'dan doldurmanız gereken 13 sayfadan sadece bir tanesi.

Uygunluk Beyanı

Uygunluk Beyanı (AoC), kendiniz denetliyorsanız veya kalifiye bir güvenlik değerlendiricisinin (QSA) işinizin uyumluluk düzeyini beyan ettiğini gösteren bir belgedir. Form, SAQ ve onaylı tarama satıcısı (ASV) tarama sonuçlarıyla birlikte doldurulmalı, imzalanmalı ve gönderilmelidir. İşletmelerden yıllık AoC göndermeleri beklenmektedir.

SAQ ve AoC, PCI uyumluluk gereksinimleriyle ilgili aşağıdaki soruları cevaplayacağınız yerlerdir:

  • İş cihazları için güvenlik duvarını koruyun
  • Satıcı tarafından sağlanan şifreleri değiştirin
  • Tüketici verilerinin iletimlerini şifrele
  • Güncellenmiş antivirüs yazılımı kullanın
  • Depolanan tüketici verilerini koru
  • Tüketici verilerine erişimi kısıtla
  • Güvenli sistemleri ve uygulamaları koruyun
  • Kart sahibi verilerinin yalnızca bilmesi gereken bir temelde kullanılabilir olmasını sağlayın
  • İş bilgisayarına erişimi olan herkes için benzersiz bir kimlik oluşturun
  • Ağ ve tüketici verilerine erişimi izleyin
  • Veri güvenliğini düzenli olarak test edin
  • Veri güvenliği politikasını koruyun

Bir satıcı üçüncü taraf bir ödeme işlemcisi kullandığında, bu PCI uyumluluk gereksinimlerinin çoğu karşılanır. Bununla birlikte, yine de düzenlemelerin farkında olmanız ve güvenlik duvarları, güçlü şifreler ve kart sahibi verilerine erişimi kısıtlama gibi çevresel PCI uyumluluğunu yerine getirmeniz gerekir.

Güvenlik Açığı Taramasıyla PCI Uyumluluğunu kanıtlama

Kredi kartlarını nasıl kabul ettiğinize bağlı olarak, bir ASV ile düzenli güvenlik açığı taraması için ödeme yapmanız ve planlamanız gerekebilir. ASV, PCI uygunluğunuzu doğrulamak için üç ayda bir güvenlik açığı taraması yapacak üçüncü taraf bir şirkettir. ASV, tüketici kredi kartını ve iletişim bilgilerini korumak için mümkün olan her şeyi yapıp yapmadığınızı belirleyecektir.

ASV Doğrulama Nedir?

Ağınızın tüketiciler için güvenli ve güvenli olup olmadığını belirlemek için bir ASV tarafından harici bir güvenlik açığı taraması gerçekleştirilir. Bir ASV ayrıca güvenlik açıklarını tespit etmek için dahili taramalar yapabilir, ancak birçok satıcı bunu uygun SAQ ile yapmayı seçer.

Harici tarama, ağ güvenlik duvarlarınızdaki güvenlik açıklarını, dahili tarama ise işletmenizin güvenlik duvarlarındaki boşlukları arar. Her ikisi de gereklidir, ancak dahili tarama kendi kendine gerçekleştirilebilir.

Bir ASV, PCI DSS konseyine sunmanız gereken her üç ayda bir size hem başarılı hem de başarısız olur. Ağınızda herhangi bir değişiklik yaparsanız, yeni bir tarama planlamanız gerekir. Küçük değişiklikler yapıldığında bir hata meydana gelebilir. Örneğin, internet servis sağlayıcınız (ISS) halka açık IP numaranızı değiştirebilir ve ASV'niz eski numaranızı tarıyor olabilir; bu, “ana bilgisayar tespit edilemedi” ile sonuçlanabilir.

PCI Uyumluluğu Son Adımı: Belgeleri Gönderin

İş türünüz için doğru olan tamamlanmış bir SAQ, ASV'den üç aylık harici taramalar geçirmenin kanıtı ve gerekli diğer belgeler dahil tüm belgelerinizi toplayın. Bunları bir e-dosya seçeneği veya salyangoz postası yoluyla PCI DSS konseyine göndereceksiniz. Diğer seçeneğiniz belgeleri doldurabilecek, düzenleyebilecek ve sizin için her şeyi gönderebilecek bir QSA kiralamak.

PCI Uyumluluk Hizmetleri ve Ücretler

İşletmenizin PCI uyumluluğunu sürdürmesini sağlamak için çeşitli ücretlere tabi olabilirsiniz. Bunlar aylık veya yıllık ücretler olabilir ve maliyetleri aylık 10 ABD Doları ile yüzlerce ABD Doları arasında değişebilir. Hizmete, seçtiğiniz ödeme işlemcisinin türüne ve AoC ve güvenlik açığı taramalarını nasıl ele almayı planladığınıza bağlıdır.

Genellikle, Square ve Shopify gibi ödeme işlemcileri, PCI uyumluluğu için ayrı bir ücret talep etmez. Aksine, uyumluluk maliyetini aylık ücretinize veya işlem ücretlerinize aktarırlar. Geleneksel bir ticari hesap ek bir uyumluluk ücreti ile gelebilir ya da bir ekstre ücretine çevrilebilir. Chase Merchant Services, kullandıkça öde planında PCI uyumluluğu için hiçbir şey talep etmez.

PCI uyumluluk ücretlerini ödeyebileceğiniz yerler, bir güvenlik açığı taramasına ihtiyaç duyduğunuzda veya bir QSA kiralamak istediğinizde:

  • ASV taramaları: Güvenlik duvarları, internet vb. Gibi iş ortamınızdaki üç aylık güvenlik açığı taramaları genellikle yıllık olarak ücretlendirilir ve ortalama aralık 200 ile 1000 ABD Doları arasındadır.
  • QSA hizmeti: Birden fazla lokasyona sahip tüccarlar, PCI uyumluluğu için bir QSA kiralamak isteyebilir; ücretler 10.000 $ 'dan başlar ve konum sayısı ve ağların karmaşıklığına bağlı olarak değişir

PCI uyumluluğu için ücretlendirme ücretleri yaygındır, çünkü bu ücretler veri sunucularının güncel tutulmasını, korunmasını ve tüm veri güvenliğini yerinde tutmaya çalışır. Ödeme işlemciniz, ödeme ağ geçidiniz veya servis sağlayıcınız veri aktarımı ve depolamadan sorumludur, bu nedenle ücretlendirilebilmesi için önemli ve gerekli bir ücrettir.

PCI Uyumsuzluk Ücretleri

Satıcı beyannamenizde ortaya çıkabileceğini düşündüğünüz bir diğer ücret, bir PCI uyumsuzluk ücretidir, ancak ödeme işlemcinizden geliyor gibi görünmesine rağmen, kredi kartı şirketlerindendir, ancak bazı işlemciler sizin için aylık 19,95 ABD Dolarından daha fazla ücret alabilirler. uyumlu değiller. Bu nedenle, bu ücretten kaçınmak için SAQ'ınızı doldurduğunuzdan ve evrakınızı gönderdiğinizden emin olun.

PCI Uyumluluğunu Koruyamazsam ne olur?

Pek çok işletme, PCI uyumluluğunu koruyor olup olmadığından emin değil ve bununla ilgili bir siber suçlu olduğu sorun, web sitelerinde, güvenlik duvarlarında ve güvensiz uzaktan erişimde bilinen güvenlik açıklarından değerli kredi kartı verileri elde etmek için yararlanabilir. 182.000'den fazla kredi kartı numarasına maruz kaldığında Equifax gibi son veri ihlallerini göz önünde bulundurun. Bu tür bir ihlal kredi kartı şirketlerine, bankalara ve küçük işyerlerine zarar vermektedir.

PCI uyumluluğu bir dizi kanun değil, bir dizi standart olmasına rağmen, kredi kartı şirketleri tarafından düzenlenir. Öyleyse, uyumsuz kalırsanız en kötü senaryo nedir?

İşte farklı senaryolar:

  • PCI uyumsuzluk ücreti: İşletmenizin PCI uyumlu olduğunu kanıtlayana kadar ayda 19,95 ABD Doları (veya daha fazla) ödeyeceksiniz.
  • PCI uyumsuzluğu iyi: Bir güvenlik ihlali oluşuyor ve tüketici verileri sızdırılıyor; kayıtlarınız uyumsuzluk gösteriyor; uygunsuzluk için ayda 5.000 ila 100.000 dolar ödeyeceksiniz
  • PCI uyumsuzluğu ve iptali: Bankanızı satın alma işleminiz sona erebilecek kredi kartlarını kabul etme yeteneğinizi iptal eder.

PCI uyumluluğunu ciddiye almalısınız ve yalnızca ödeme işlemciniz uyumlu olduğu için bağlantıda olduğunuzu varsaymayın. Yönergeleri izleyin ve herhangi bir değişiklik için resmi web sitesini kontrol ettiğinizden emin olun. PCI uyumluluk gereksinimleri, veri güvenliği gibi gelişir.

PCI Uyumluluğu: Sıkça Sorulan Sorular (SSS)

Tüccarların PCI uyumluluğu ile ilgili en sık sorduğu sorulardan biri “Gerekli olan nedir?” Dır. Aşağıda yanıtlayacağımız ilgili sorular da var. PCI uyumluluğu hakkındaki sorunuzu burada ele almadıysak, sormak için forumumuzu ziyaret edin ve orada yanıtlamak için elimizden gelenin en iyisini yapacağız.

PCI Uyumluluğu Nedir?

Sektördeki beş büyük kredi kartının oluşturduğu bir standartlar bütünüdür. Satıcıların, servis sağlayıcıların ve tüketicilerin maliyetli veri ihlallerinden korunmasına yardımcı olmak içindir.

PCI Uyumlu Değilsem Ne Olur?

Uyumsuzluk ücretleri aylık yaklaşık 19,95 dolar ile karşı karşıya kalabilir veya işiniz bir veri ihlaline karışmışsa ve PCI ile uyumlu değilseniz, ilgili zararları telafi etmek için satın alma bankası tarafından ayda 5.000 ila 100.000 ABD doları arasında para cezasına çarptırılabilir ( hileli masraflar, kartların yeniden düzenlenmesi, yasal masraflar vb.).

PCI Uyumluluğu Yasalara Gerek midir?

PCI DSS konseyi bir dizi düzenleme oluşturdu. Kanunen zorunlu olmasa da, Visa, MasterCard, American Express, Discover ve JCB tarafından istenmektedir. Aksi takdirde, bu kredi kartlarını mağazanızda veya web sitenizde kabul etmenize izin verilmeyecektir.

Kare Kullanıyorsam Hala PCI Uyumluluğunu Doğrulamak Gerekiyor mu?

Cevap hem hayır hem de evet. Yalnızca Square donanımını ve mobil bağlantıyı kullandığınız sürece, Square tek tek doğrulamanızı zorunlu kılmaz, Square uyumludur. Ancak, veri bağlamak ve iletmek için mağazanızda Wi-Fi kullanıyorsanız, dahili ağınızın risk altında olacağı için bir SAQ tamamlamanız gerekir.

PCI Uyumunu Kimler Zorlar?

Satın alan bankalar veya kredi kartı markaları, PCI uyumluluğunu yönetenlerdir.

PCI Uyumlu Olmanın Maliyeti Nedir?

Ürün yelpazesi geniştir, çünkü ne tür bir tüccar olduğunuza bağlıdır. Bir Seviye 1 tüccarı, yaklaşık 10.000 ila 15.000 ABD Dolarına mal olabilen bir QSA kiralamak zorunda kalacaktır. Seviye 4 tüccarlarının, harici güvenlik açığı taramalarını gerçekleştirmek için yılda 200 ila 1000 ABD Doları ödeyecek ASV'leri bulması muhtemeldir. Ayrıca, devam eden PCI uyumluluğu için MSP'nize aylık olarak 10 ila 20 $ ödemeniz de gerekebilir.

Alt çizgi

PCI uyumluluğunu korumak, herhangi bir tüccarın yapılacaklar listesinin başında olmalıdır. PCI uyumluluk gereksinimleri basittir ve özellikle de uyumsuzsanız, veri ihlali yapmak kadar pahalı değildir. Ödeme işlemciniz veya MSP, uyumlu olmanız için gerekli olan, PCI uyumlu olmalıdır.

Fattmerchant'a kayıt olduğunuzda fazladan PCI uyumluluk maliyeti yoktur. Servis sağlayıcı kendi PCI uyumluluğunu korur ve PCI uyumlu olmanıza da yardımcı olur. Güvenli bir iş ortamı sağlamaya ilişkin herhangi bir sorunuz varsa, bir Fattmerchant hesap yöneticisine sorabilirsiniz. Bugün bir hesap için başvurun.

Fattmerchant'ı ziyaret edin

Editörün Seçimi

Inova Bordro İncelemeleri, Fiyatlandırma ve Popüler Alternatifler

Inova Bordro İncelemeleri, Fiyatlandırma ve Popüler Alternatifler

2019 SinglePoint Bordro İnceleme ve Fiyatlar

2019 SinglePoint Bordro İnceleme ve Fiyatlar

Mint Payroll Kullanıcı Yorumları, Fiyatlandırma ve Popüler Alternatifler

Mint Payroll Kullanıcı Yorumları, Fiyatlandırma ve Popüler Alternatifler

Zuman Kullanıcı Yorumları, Fiyatlandırma ve Popüler Alternatifler

Zuman Kullanıcı Yorumları, Fiyatlandırma ve Popüler Alternatifler

Financial Bee, LLC Yorumlar ve Hizmetler

Financial Bee, LLC Yorumlar ve Hizmetler

Wagepoint Kullanıcı Yorumları, Fiyatlandırma ve Popüler Alternatifler

Wagepoint Kullanıcı Yorumları, Fiyatlandırma ve Popüler Alternatifler