Der PCI-DSS-Standard (Payment Data Data-Standard für Zahlungskarten) ist eine Reihe von Sicherheitsstandards, die sicherstellen sollen, dass Unternehmen, die Kredit- und Debitkarteninformationen akzeptieren und verarbeiten, dies in einer sicheren Umgebung tun.
Unabhängig von der Branche, in der Sie tätig sind oder in welcher Größe Sie tätig sind: Wenn Sie Kartenzahlungen akzeptieren und Karteninhaberdaten verarbeiten, übertragen und speichern, müssen Sie Ihre Daten sicher bei einem Hosting-Provider hosten, der PCI-kompatibel ist.
$config[code] not foundDas PCI security Standards Council wurde 2006 von den fünf großen Kreditkartenmarken American Express, Visa, MasterCard, Japanese Credit Bureau (JCB) und Discover gegründet. Während jede Kreditkartenmarke über eigene Compliance-Programme verfügt, bilden die PCI-Standards die Grundlage für alle.
Der Rat hat zwar keine rechtliche Befugnis, muss jedoch, wenn Ihr Unternehmen Kredit- oder Debitkartentransaktionen akzeptieren möchte, die PCI-Standards einhalten.
Was ist PCI-Konformität?
PCI umfasst 12 spezifische Anforderungen, die sechs Ziele abdecken. Grundlegende Ziele sind, die Sicherheit in Bezug auf Zahlungen zu maximieren und Händler darüber zu informieren, wie sie sicherer werden können. Dies bedeutet, ein sicheres Netzwerk aufzubauen und zu pflegen, die Daten der Karteninhaber zu schützen und die Netzwerke regelmäßig zu testen und zu überwachen.
Abhängig vom Transaktionsvolumen, das Ihr Unternehmen über einen Zeitraum von 12 Monaten abwickelt, werden vier verschiedene PCI-Compliance-Stufen gefunden. Das Transaktionsvolumen ergibt sich aus der Gesamtzahl der durchgeführten Visa-Transaktionen, einschließlich Transaktionen mit Kredit-, Debit- und Prepaid-Karten, die von einem Händler getätigt werden, der als „DBA“ tätig ist.
Wenn Sie unter mehr als einem DBA verkaufen, berücksichtigen Sie das Gesamtvolumen der Transaktionen, die insgesamt verarbeitet, gespeichert oder übertragen werden, um Ihren Validierungsgrad zu bestimmen.
Wenn Ihr Unternehmen pro Jahr 20.000 Transaktionen oder weniger verarbeitet oder wenn die Kartendaten ausschließlich von Anbietern wie Einkaufskartenanbietern verarbeitet werden, gelten für Ihr Unternehmen weniger PCI-Anforderungen und werden als Stufe 4 eingestuft.
Wenn Ihr Geschäft zwischen 20.000 und 1 Million Transaktionen pro Jahr abwickelt, werden Sie als Stufe 3 eingestuft. Unternehmen, die innerhalb eines Zeitraums von 12 Monaten zwischen 1 und 6 Millionen Kartentransaktionen verarbeiten, werden als Stufe 2 klassifiziert. Jede Stufe bringt eine höhere Anzahl mit sich der Compliance-Anforderungen.
Level 1 bringt die meisten Compliance-Anforderungen mit sich, die für Unternehmen reserviert sind, die pro Jahr 6 Millionen oder mehr Transaktionen verarbeiten oder ihre eigenen Kartendaten speichern, ihren eigenen Code schreiben und ihre eigenen Server betreiben.
Was kostet PCI-Compliance mein Geschäft?
Für ein Unternehmen der Stufe 4 mit elektronisch auf seiner Website oder auf Verarbeitungssystemen mit Online-Konnektivität gespeicherten Kreditkartendaten muss ein zugelassener Scan-Anbieter regelmäßig einen Website- oder Netzwerk-Scan durchführen. Die Mitarbeiter des Unternehmens müssen außerdem einen Self-Assessment-Fragebogen und eine Konformitätsbescheinigung ausfüllen. Dies kann nur 60 Dollar im Monat kosten.
Wenn es sich bei Ihrem Unternehmen um Stufe 3 handelt, können die Kosten für die regelmäßige Website- oder Netzwerküberprüfung durch einen anerkannten Anbieter und der Abschluss des jährlichen Fragebogens zur Selbsteinschätzung und der Konformitätsbescheinigung auf 1.200 USD jährlich ansteigen.
Für Unternehmen der Stufe 2 könnten diese Kosten auf 10.000 bis 50.000 USD pro Jahr steigen, abhängig von der Anzahl der IP-Adressen und der Größe Ihres Netzwerks.
Für Unternehmen auf Stufe 1 der PCI-Konformität können die Kosten zwischen 50.000 US-Dollar und mehr liegen. Dies umfasst nicht nur die regelmäßige Netzwerkprüfung durch einen zugelassenen Scan-Anbieter, sondern auch eine Konformitätsbestätigung und einen jährlichen Compliance-Bericht eines qualifizierten Sicherheitsassessors.
Was kann mein Unternehmen tun, um die PCI-Anforderungen zu erfüllen?
Wie oben vorgeschlagen, müssen Sie zur Sicherstellung der PCI-Konformität regelmäßige Überprüfungen von Websites oder Netzwerken durch einen zugelassenen Scan-Anbieter durchführen lassen - unabhängig davon, auf welcher Ebene Ihr Unternehmen klassifiziert ist. Unternehmen der Stufe 1 müssen außerdem von einem qualifizierten Sicherheitsbeauftragten unterstützt werden, um jährliche Beurteilungen vor Ort durchführen zu können.
Für kleine Unternehmen, die pro Jahr weniger als 6 Millionen Kredit- und Debitkartentransaktionen abwickeln, sind für die vollständige Einhaltung der PCI-Compliance-Standards nur die Unterstützung eines zugelassenen Scanning-Anbieters und einige Arbeit Ihrer eigenen Mitarbeiter erforderlich.
Foto über Shutterstock
Mehr in: Was ist Kommentar ▼
