如果您正在运行小型企业,您的客户希望您携带信用卡。
这意味着您必须保留信用卡和个人信息安全。遵循小企业PCI合规标准是保护客户数据的最佳方式,避免与PCI合规性违规相关的任何费用。
安全性,合规性,信用卡欺诈 - 这是您零售业务的一部分,即与冷水一样有趣,但如果您愿意接受信用卡作为付款方式,您需要符合PCI。
那么,什么是PCI合规性?它为什么如此重要?您如何确保您正在处理信用卡交易并安全收集付款数据?本指南将通过PCI合规的基础知识,以便清楚地了解遵守的重要性以及不合规的后果。
- 什么是PCI合规性?
- 我的业务需要符合PCI吗?
- 哪个PCI级别适用于我的业务?
- 什么是PCI要求?
- 为什么PCI DSS和安全物质?
- 如果我的业务不是PCI符合PCI,会发生什么?
- 我的商家如何符合PCI标准?
您需要了解的一切关于付款服务提供商
现货隐藏费,谈判最优惠的价格。
什么是PCI合规性?
根据定义,PCI(简短的PCI DSS)合规性,代表支付卡行业数据安全标准。这是一套安全标准,旨在确保所有接受,处理,存储或传输信用卡信息的公司维护安全的环境,以保护消费者和商家。
当您使用客户的信用卡时,您会收到大量的敏感数据。PCI SSC(支付卡行业安全标准委员会)由主要卡品牌(如amex,万事达卡,签证,jcb和discover)创立,在支付卡行业中制定和管理安全性。
PCI DSS概述了以下最低要求:
- 政策与程序
- 安全管理
- 网络架构
- 软件设备
- 其他批判性保护措施
我的业务需要符合PCI吗?
是的。任何商家,无论商业的数量或大小,谁接受信用卡作为支付或流程的形式,传输或存储持卡人数据必须符合PCI DSS标准的所有方面。
如果您接受信用卡或借记卡,则小企业PCI合规性是无论您业务规模如何。您必须遵守所有适用的标准,即使您每年仅处理一个信用卡交易。
如果您的业务有多个具有单独税号的位置,则需要在每个单独的位置验证PCI合规性。如果您的所有位置都在一个税号下运行,通常您只需要为所有位置验证PCI合规性。适用时,您还可能需要每季度传递每个位置的网络扫描。
哪个PCI级别适用于我的业务?
对于商家来说,确定所需的PCI合规程度可能是棘手的,并且通常取决于您每年处理的付款卡交易数量以及信用卡颁发者。
1级
- 任何商家处理每年超过600万万事达卡或签证交易,无论频道如何
- 一位商人一直是一个带来数据妥协的黑客受害者
- 任何商家都被卡品牌确定为1级
2级
- 一种NY商家处理1至600万万事达卡或每年签证交易
3级
- 一种NY商家加工20万至100万万事达卡或签证电子商务交易
4级
- 任何商家,无论接受频道(卡片存在,卡 - 不存在等)
如果您的业务落在这四个级别中的任何一个中,我们建议您联系PCI委员会以验证您的合规性。
保持最新的PCI合规性信息对于个别信用卡颁发者,点击以下适当的支付卡品牌:
什么是PCI要求?
您必须满足小型企业PCI合规性的要求包括以下内容。
您的销售点必须是最新的
您必须使用信用卡终端和引脚焊盘,这些焊盘符合PCI数据安全标准(DSS)。
您的销售点(POS)和付款网关软件必须是符合PCI标准和验证的。
您的无线路由器必须加密和密码保护。
您必须检查PIN焊盘和任何其他引脚输入设备,以确保尚未安装Skimmers。Skimmers是犯罪分子在刷卡或进入卡时捕获信用卡信息以捕获信用卡信息的设备,他们可以采取多种形式。此外,检查您的计算机是否有任何流氓软件或可执行文件。
您不能以任何方式存储任何持卡人数据
这包括将其存储在计算机上的一切,以便在纸质废话上缩小信用卡号码。如果您的信用卡终端和引脚焊盘是符合PCI标准的,则它们被编程为确保自动遵守此要求。
您必须使用强密码
为此,您应该立即更改任何默认密码,并要求您的员工定期更改密码。考虑使用密码生成器创建强密码。
您必须培训您的员工了解小型企业PCI合规性
有在线课程和视频来帮助您。
您必须在计算机和内部网络上安装防火墙
您的计算机的操作系统可能已经拥有防火墙作为其安全软件的一部分,但检查以确保它正常运行。
为什么PCI DSS和安全物质?
你有没有你的个人信用卡欺骗过?PCI标准旨在帮助保护卡生态系统中的所有参与者免受这一问题。
当盗窃或违反持卡人数据时,持卡人对其金融机构的信任丧失,以及他们做生意的商家。对您和您的客户也有大量的财务影响。
如果我的业务不是PCI符合PCI,会发生什么?
未能遵守PCI DSS规定可能会导致处罚和费用。
不合规罚款,哪些支付品牌可以自行决定调整,范围罚款10,000美元至50,000美元。您可能还会丢失处理信用卡交易的权利。
如果发生违规或黑客,商家可能会受以下以下内容:
- 来自卡协会的罚款
- 法医调查
- 发行银行可能会增加商家的重新发布成本(包括可能的欺诈损失和欺诈监测费用)
- 诉讼
- 政府罚款
- 损害您的品牌和声誉
定期建立PCI合规计划和更新,可以帮助防止数据泄露,使您的成本降低并保持客户的信任和忠诚度。
我的商家如何符合PCI标准?
为了满足PCI要求,每个商家都必须通过一系列步骤。
来自2,3和4级的商家的合规验证通过每年完成自我评估问卷(SAQ)。如果适用,季度网络漏洞扫描也可以通过批准的扫描供应商(ASV)进行。
1级商家必须经历更严格的合规性验证,而2,3和4级商家不需要接受外部验证,并由收购银行自行决定。
确保始终保持所有验证文档可用。
根据商家的分类或风险等级(由个人支付卡品牌或您的PCI级别决定),遵循的步骤是:
- PCI DSS Scoping。确定哪些系统组件和网络适用于您的业务的PCI DSS的范围。
- 评估。在每个PCI DSS要求的测试过程中检查系统组件的遵守范围(相关的SAQ可以用作指南)。
- 报告。评估员或实体提交了所需的文件,如自我评估问卷(SAQ)或关于合规(ROC)的报告,包括所有补偿管制的文件。
- 澄清。评估员或实体根据收购银行或支付卡品牌澄清或更新报告陈述(如适用)。
通过符合PCI的POS让您的生活更轻松
虽然每次商家都仍然至关重要,但为什么PCI DSS非常重要,虽然所有的LightSpeed支付硬件和软件已经是PCI级1认证。
我们只提供符合PCI的硬件和软件并维护PCI标准的平台,我们的综合支付系统为每项事务提供端到端加密,授权数据到达我们的服务器。
与我们聊天以了解有关LightSpeed的安全技术方法的更多信息。
编者的注意:这个博客文章中的任何内容都应该被解释为任何类型的建议。任何法律,财务或税收相关内容仅供参与信息目的,并不代替获得合格的法律或会计专业人员的建议。在可用的情况下,我们指出了本博客文章中包含的信息的第一手来源。虽然我们努力提供准确的内容,但我们不能根据此类内容对任何行动或遗漏负责。LightSpeed不承担以完成进一步的验证或保持随时间更新的博客文章。
你关心的新闻。您可以使用的提示。
您的所有业务需要成长的一切,直接向您的收件箱提供。