PCI DSS compliance niveaus: We worden vaak gevraagd naar de nalevingsniveaus voor PCI DSS, daarom zullen we proberen dit goed uit te leggen. Overweegt u creditcards als betaalmiddel te gebruiken? Of neemt u al creditcards aan en heeft u een aanzienlijke groei in uw jaarvolume ervaren? Wat zijn uw verantwoordelijkheden als merchant of serviceprovider? Heeft u de meeste vragen met ja beantwoord? Houd uw goed vast, want het is een immens proces dat jaarlijks moet worden voltooid!
PCI DSS niveaus voor Merchants
Gelukkig hebben de PCI Security Council en de 5 kaartmerken (Visa, MasterCard, American Express, Discover en JCB) gedetailleerd uiteengezet wat er van merchants wordt verwacht. Een merchant wordt gedefinieerd als iemand die creditcardgegevens opslaat, verwerkt en verzendt en een merchant-ID heeft. Elke merchant wordt gecategoriseerd op een “niveau”, op basis van het aantal transacties dat ze in een jaar verwerken, dit wordt als volgt weergegeven:
- Level 1 ( > 6 miljoen transacties)
- Level 2 ( 1 miljoen tot 6 miljoen transacties)
- Level 3 ( 20k tot 1 miljoen transacties)
- Level 4 (< 20k transacties)
Het bepalen van het merchantsniveau roept vaak vragen op. De creditcardmerken raden merchants aan contact op te nemen met hun acquiring entity en met de hulp van de bank kunnen merchants de volgende stappen doorlopen:
- Bepaal het merchantsniveau met behulp van het transactievolume van de recentste 52 weken.
- Bevestig de benodigde PCI-validatievereisten.
- Schakel, indien van toepassing, een goedgekeurde leverancier in en volg de validatieprocedures.
Zodra een merchant als conform is geverifieerd, moet de merchant de validatievereisten indienen bij zijn aquiring bank, die vervolgens de nalevingsstatus van de merchant aan de credit card maatschappijen zal rapporteren.
PCI DSS niveaus voor Serviceproviders
Dus als u geen merchant-ID heeft en ook geen betaalmerk gebruikt…wat moet u dan doen? Lees hier de PCI Security Standards Council (SSC) -definitie van een serviceprovider:
Business entity that is not a payment brand, directly involved in the processing, storage, or transmission of cardholder data. This also includes companies that provide services that control or could impact the security of cardholder data.
Voor serviceproviders zijn er twee niveaus, gebaseerd op het aantal transacties dat wordt verwerkt:
- Level 1 (Meer dan 300k transacties per jaar)
- Level 2 (Minder dan 300k transacties per jaar)
Dat gezegd hebbende, als uw organisatie opereert als een serviceprovider (ongeacht welk niveau u wordt beschouwd), wilt u misschien een PCI Level 1 Audit overwegen, ook wel bekend als een PCI ROC (Report on Compliance). Deze audit moet worden voltooid door een Qualified Security Assessor (QSA) , die de PCI compliance status van uw organisatie valideert en, als u aan alle vereisten hebt voldaan, u een Attestation of Compliance zal geven (AOC) die u kunt verstrekken aan geïnteresseerde partijen die uw PCI Compliance status willen weten.
Voor serviceproviders die onder de drempel vallen van het verwerken van 300K transacties, kunnen een SAQ-D invullen (de enige SAQ die serviceproviders mogen voltooien van de PCI Security Standards Council).
Bedrijfsbrede inspanning
Nu dat we een duidelijker beeld hebben geschetst over de verschillende PCI DSS-nalevingsniveaus, moet u uitzoeken op welk niveau u zich vandaag bevindt en vervolgens het juiste proces aanpakken. We raden aan om uw collega’s van Finance, IT en de business lines bij het creditcardproces te betrekken, aangezien PCI-compliance niet alleen een IT-probleem is, het is ook een zakelijke kwestie.
Hulp nodig bij het navigeren door de complexe wereld van PCI-compliance?Neem Contact op als je vragen hebt.