Hur berättar jag om en webbplats är PCI -kompatibel?

PCI -efterlevnad är allmänt känd som PCI DSS (Payment Card Industry Data Security Standard). Sedan 2006 har det är en obligatorisk standard för alla webbplatser som vill ta en korttypsbetalning för någonting, spelar ingen roll hur liten. Av denna anledning, konsumenter, webbansvariga och webbplatsägare överallt behöver veta om en webbplats är kompatibel. De behöver också veta hur man berättar om en webbplats är PCI -kompatibel så att de kan skydda sig själva och sina investeringar från Internetbedrägeri.

Överväganden

Det finns bara ett sätt för en konsument att berätta om en webbplats är PCI -kompatibel. Om webbplatsen accepterar kreditkortsbetalningar, det är kompatibelt. Om webbplatsen säljer varor och inte accepterar betalning, det är inte kompatibelt. Enligt rådet, på grund av de normer som ställts, "Efterlevnad av PCI -standarden är obligatorisk för deras respektive intressenter, och upprätthålls av de stora betalkortmärkena som inrättade rådet:American Express, Upptäck Financial Services, JCB International, MasterCard Worldwide och Visa Inc. varje webbplats som skickar en person till en annan webbplats, som PayPal, eller annan kortbehandlingsplats, de uppfyller inte kraven. De skickar kunden till tredje parts webbplatser eftersom de har ett avtal med tredje part för att ta kortbetalningarna åt dem. Detta beror vanligtvis på att själva webbplatsen inte uppfyller kraven.

Fakta om efterlevnad

Enligt PCISecurityStandards.org, den officiella webbplatsen för PCI Security Standards Council, PCI DSS är "... en uppsättning omfattande krav för att förbättra betalkontodatasäkerheten ..." som har utformats för att inkludera "... krav för säkerhetshantering, policyer, förfaranden, nätverksarkitektur, mjukvarudesign och andra kritiska skyddsåtgärder. "Dessa PCI DSS -standarder skyddar konsumenter, kreditkortsföretag och webbplatsens ägare mot kreditkortsbedrägerier, och andra säkerhetsproblem.

Krav på överensstämmelse

Standarderna är en uppsättning av 12 krav som varje webbplats måste följa för att behandla alla typer av kreditkortsbetalningsbegäran. Dessa krav inkluderar underhåll av installationen av vissa brandväggskonfigurationer, inte använder leverantörslevererade "standard" (vanliga eller standard) lösenord, skydda kortinnehavarens data, kryptering av överföringen av denna data över offentliga nätverk, utveckla säkra systemapplikationer, underhålla och regelbundet uppdatera antivirusprogram, begränsning av fysisk och behov av att veta av visitkortinnehavarens uppgifter, tilldela ett unikt ID till dem med datoråtkomst, spårning, övervaka och testa regelbundet alla nätverksresurser och säkerhetssystem och processer, och upprätthålla en policy för specifik informationssäkerhet. Om dessa standarder inte uppfylls, webbplatsen eller e-handelsplatsen anses vara oförenlig.

Bedömning av efterlevnad

Qualified Security Assessors (QSA) och Approved Scanning Vendors (ASV) spelar rollen för de företag som hjälper de andra organisationerna att granska och validera betalningssäkerheten och efterlevnaden. Dessa företag har vissa processer och rutiner, samt utbildad personal som är kvalificerad för att validera en PCI -kompatibel webbplats eller handlare. Självutvärderingsfrågeformulär (SAQ:er) är också tillgängliga för handlare och andra tjänsteleverantörer för att själv få tillgång till deras efterlevnad. Olika branscher kräver en annan SAQ. Mer information finns på rådets officiella webbplats.