Уровень PCI для хранения кредитных карт
Мне было просто интересно, каким был бы уровень сертификации PCI, если бы вы хранили зашифрованные номера кредитных карт для повторного выставления счетов.
Я планирую проводить менее 20 000 транзакций в год, однако с сохранением номеров кредитных карт я не уверен.
1 ответ
Если вам действительно (действительно) нужно хранить номера карт, то вы попадаете в самый строгий уровень соответствия PCI. Это требует ежегодного аудита на месте, ежеквартального сканирования сети и (как вы, возможно, уже знаете) будет очень дорогостоящим. Это независимо от количества транзакций. (Старые первые проекты PCI давали разные уровни в зависимости от количества обработанных карт. Это уже не так)
Если вы можете использовать стороннюю компанию для хранения / обработки повторяющихся счетов, вы переходите на более низкий уровень, который требует только того, чтобы вы ежегодно заполняли вопросник самооценки (SAQ). Большинство поставщиков платежных услуг смогут помочь с регулярным выставлением счетов, если вы обсудите с ними ваши требования. Периодическое выставление счетов (как вы знаете) имеет дополнительные сложности в том, что карты могут истечь / быть прекращены / заменены в середине цикла
Если вы сомневаетесь, то сейчас самое время начать говорить с QSA (Qualified Security Assessor). Если вы обсудите вашу ситуацию по телефону, они смогут сообщить, где именно вы стоите. В конечном итоге, если вы не обратитесь к стороннему поставщику платежных услуг, вам потребуется QSA, чтобы помочь привести вашу организацию в соответствие с PCI.