Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI DSS) là một bộ tiêu chuẩn bảo mật, được thiết kế để đảm bảo các doanh nghiệp chấp nhận và xử lý thông tin thẻ tín dụng và thẻ ghi nợ, làm như vậy trong một môi trường an toàn và bảo mật.
Bất kể bạn hoạt động trong ngành nào hoặc kinh doanh ở quy mô nào, nếu bạn chấp nhận thanh toán và xử lý thẻ, truyền và lưu trữ dữ liệu chủ thẻ, bạn phải lưu trữ dữ liệu của mình một cách an toàn với nhà cung cấp dịch vụ lưu trữ tuân thủ PCI.
$config[code] not foundHội đồng Tiêu chuẩn bảo mật PCI được thành lập năm 2006 bởi năm thương hiệu thẻ tín dụng lớn - American Express, Visa, MasterCard, Cục tín dụng Nhật Bản (JCB) và Discover. Mặc dù mỗi thương hiệu thẻ tín dụng có các chương trình tuân thủ riêng, các tiêu chuẩn PCI là nền tảng cho tất cả chúng.
Mặc dù Hội đồng không có thẩm quyền pháp lý, nếu doanh nghiệp của bạn có ý định chấp nhận giao dịch thẻ tín dụng hoặc thẻ ghi nợ, thì nó sẽ cần phải tuân thủ các tiêu chuẩn của PCI.
Tuân thủ PCI là gì?
PCI bao gồm một bộ 12 yêu cầu cụ thể bao gồm sáu mục tiêu. Mục tiêu cơ bản là tối đa hóa bảo mật liên quan đến thanh toán và thông báo cho các thương nhân về cách trở nên an toàn hơn. Và điều này có nghĩa là xây dựng và duy trì một mạng an toàn, bảo vệ dữ liệu của chủ thẻ và thường xuyên kiểm tra và giám sát các mạng.
Bạn sẽ tìm thấy bốn mức độ tuân thủ PCI khác nhau tùy thuộc vào khối lượng giao dịch mà doanh nghiệp của bạn giao dịch trong khoảng thời gian 12 tháng. Khối lượng giao dịch xuất phát từ tổng số giao dịch Visa được thực hiện, bao gồm các giao dịch thẻ tín dụng, ghi nợ và trả trước từ một thương gia Kinh doanh dưới dạng ‘DBA.
Nếu bạn bán dưới nhiều DBA, hãy xem xét tổng khối lượng giao dịch được xử lý, lưu trữ hoặc truyền tổng thể để xác định mức độ xác thực của bạn.
Nếu công ty của bạn xử lý 20.000 giao dịch hoặc ít hơn mỗi năm hoặc nếu dữ liệu thẻ chỉ được xử lý bởi các nhà cung cấp như nhà cung cấp thẻ mua sắm, doanh nghiệp của bạn sẽ có ít yêu cầu PCI hơn và sẽ được phân loại là Cấp 4.
Nếu doanh nghiệp của bạn xử lý từ 20.000 đến 1 triệu giao dịch mỗi năm, bạn sẽ được phân loại là Cấp 3. Các doanh nghiệp xử lý từ 1 đến 6 triệu giao dịch thẻ trong khoảng thời gian 12 tháng được phân loại là Cấp 2. Mỗi cấp mang đến số lượng cao hơn yêu cầu tuân thủ.
Cấp 1 mang đến số lượng yêu cầu tuân thủ lớn nhất dành cho các doanh nghiệp xử lý 6 triệu giao dịch trở lên mỗi năm hoặc lưu trữ dữ liệu thẻ của riêng họ, viết mã của riêng họ và chạy máy chủ của riêng họ.
Tuân thủ PCI sẽ chi phí gì cho doanh nghiệp của tôi?
Đối với doanh nghiệp cấp 4 có dữ liệu thẻ tín dụng được lưu trữ điện tử trên trang web của mình hoặc hệ thống xử lý có kết nối trực tuyến, Nhà cung cấp quét được phê duyệt phải thường xuyên hoàn thành quét trang web hoặc mạng. Nhân viên của nhóm kinh doanh cũng phải hoàn thành Bản câu hỏi tự đánh giá và Chứng nhận tuân thủ. Điều này có thể chi phí ít nhất là 60 đô la một tháng.
Nếu doanh nghiệp của bạn ở Cấp độ 3, chi phí liên quan đến việc quét trang web hoặc quét mạng thông thường của Nhà cung cấp quét quét được phê duyệt và hoàn thành Câu hỏi tự đánh giá hàng năm và Chứng nhận tuân thủ có thể tăng lên 1.200 đô la hàng năm.
Đối với các doanh nghiệp Cấp 2, chi phí này có thể tăng lên từ 10.000 đến 50.000 đô la một năm, tùy thuộc vào số lượng địa chỉ IP và kích thước mạng của bạn.
Đối với các công ty ở mức 1 tuân thủ PCI, chi phí có thể dao động từ 50.000 đô la trở lên và không chỉ liên quan đến việc quét mạng thông thường bởi Nhà cung cấp quét được phê duyệt mà còn cả Chứng nhận tuân thủ và Báo cáo tuân thủ hàng năm của Người xác nhận bảo mật đủ tiêu chuẩn.
Doanh nghiệp của tôi có thể làm gì để đáp ứng yêu cầu PCI?
Như đã đề xuất ở trên, để đảm bảo tuân thủ PCI, bạn sẽ cần phải quét trang web hoặc quét mạng thường xuyên bởi Nhà cung cấp quét quét được phê duyệt - bất kể doanh nghiệp của bạn được phân loại ở cấp độ nào. Các công ty cấp 1 cũng sẽ cần được Người hỗ trợ bảo mật đủ tiêu chuẩn hỗ trợ để thực hiện các đánh giá tại chỗ hàng năm.
Đối với các doanh nghiệp nhỏ xử lý ít hơn 6 triệu giao dịch thẻ tín dụng và thẻ ghi nợ mỗi năm, việc đáp ứng đầy đủ các tiêu chuẩn tuân thủ PCI chỉ cần sự hỗ trợ của Nhà cung cấp quét được phê duyệt và một số công việc của chính nhân viên của bạn.
Ảnh qua Shutterstock
Thêm trong: Nhận xét là gì
