web-dev-qa-db-ja.com

PCIに準拠するには、専門家を雇う必要がありますか?

私はオーガニックフードストアを経営していて、クレジットカードサービス(カード接続)との電話会議の後、PCIに準拠するために、PCI認定の専門家を年に1度雇う必要がありますか?これが事実である場合、いくらかかりますか?

それとも、誤解しているだけなのか、「サイバー犯罪者」が私のビジネスを標的にすることはないと思います。 NCRシルバーはすべてのクレジットカード取引を処理します。

2
thinksinbinary

クレジットカード番号を処理する場合は、はい、資格のある監査人による認定を受ける必要があります。この認定では、外部または独立したPCI資格のセキュリティ評価者を雇う必要があります。

ただし、クレジットカードの支払いを受け取るためにクレジットカード番号を処理する必要はありません。代わりに、ほとんどの小規模な販売者は、StripeやPaypalなどのPCI準拠の支払いプロセッサを使用してカード取引を処理します。これにより、PCIコンプライアンスの範囲が大幅に縮小され、PCI SAQ(自己評価アンケート)を実行するだけでPCIコンプライアンスを実現できます PCI監査人を雇うことなく自分で実行できます 。ビジネスタイプとカード支払いの処理方法に応じて、 異なるSAQ があります。 SAQアンケートは、主に予想されるトランザクションの量、支払い処理業者と統合するメカニズム、およびカードデータの処理方法に基づいて、実際に監査人を使用する必要があるかどうかを通知します。

主に、範囲を縮小し、カード番号の処理を回避するために、可能な限り多くの支払い処理を支払い処理業者に外部委託する必要があります。

12
Lie Ryan

セキュリティに注意する必要がありますか? POS(POSシステム)を使用している場合、単純な理由が考えられます。このマシンは送金をリクエストするだけです。トランザクションを完了するために転送されるクレジットカードデータは機密情報であり、プロセス全体がPCI(支払い)に準拠している必要があります。あなたはオンラインビジネスを持っていないかもしれませんが、それはより少ない心配を意味するだけです。規模の大小を問わず、誰でもサイバー犯罪者の標的になる可能性があります。 PCI SAQ(自己評価アンケート)から始めます。これを実行するために専門家が必要かどうかは、これでわかります。

いくらかかりますか?全体的なコスト、規模、ビジネスの種類に影響を与える変数によって異なります。したがって、組織が大きくなるほど、コンプライアンスのギャップが増える可能性が高くなります。

1
Vcode

私はオーガニック食品店を経営していて、クレジットカードサービス(カード接続)との電話会議の後、PCIに準拠するために、PCI認定の専門家を年に1度雇う必要がありますか?

おそらく、PCI認定の専門家を雇う必要はないでしょう。あなたが特に大きな有機食品店でない限り、あなたはおそらく Self-Assessment Questionnaire で十分であるほど十分に小さいからです。 (プロセッサがSAQの代わりに監査を強制する可能性があるという警告ですが、それは通常、コンプライアンスの問題の履歴があった小さな商人にのみ当てはまります)。

プロセスを一度も行ったことがない場合は、少なくとも1回は監査人を雇うことをお勧めします。それらは問題を理解するのに役立ち、SAQの取り扱いが将来簡単になるでしょう。 SAQでは明らかにされない可能性があるセキュリティの問題を指摘できます。

これが事実である場合、いくらかかりますか?

それはあなたのビジネスの規模と場所によって、そしてあなたが従事するかもしれない個々の監査人によって大きく異なるので、私たちが言うことは不可能です。 「複数の見積もりを取得する」という標準的なアドバイスが適用されます。

それとも、誤解しているだけなのか、「サイバー犯罪者」が私のビジネスを標的にすることはないと思います。

カードを扱う場合、あなたは機会の対象です。彼らはあなたが誰であるかを知らないか気にしないかもしれませんが、それでも彼らはあなたを襲います。それはあなたの利益のレベルではなく、顧客があなたにカードを渡すという事実に関するものであり、各カードは数千の潜在的なドルと、ラインを売り払う攻撃者にとって有用な少量の実際のドルを表します。 PCI DSSは従業員に関するものではありません。それは、インフラストラクチャと、プロセッサに向かう途中でビジネス全体でちらつく必要があるカードを保護するための慣行に関するものです。

確かに、NCRはカードを保護するために多くのことを行いますが、カードブランドによって課された必要なステップは、加盟店がその役割を果たすことを確認することです。

1
gowenfawr

サイバー犯罪者は、スパムを使用して偽の(フィッシング)メールを送信します。あなたのビジネスが1人に捕まれば、攻撃者はあなたのネットワークに侵入し、そこであなたのPOSシステムをスキャンします。 POSサービスプロバイダーがハッキングされ、リストにあるすべてのクライアントが侵入されたため、多くの中小企業がハッキングされています。多くの犯罪者が別の国にいて、あなたやあなたの規模について何も知らないため、規模が小さすぎるビジネスはありません。あなたはこれらの犯罪者の目で採掘されるもう一つの金塊です。

PCI-DSSに準拠する理由あなたのビジネスは、あなたが関与しているあらゆる違反に関連するすべての損失に対して責任を負うためです。カードに100万ドルの信用限度額がある顧客がいて、それを盗んだ泥棒がそれを使ってフェラーリを購入した場合、あなたは全額に対して責任があります。

あなたはTier 1の販売者のようですので、可能であれば自己評価を行ってください。 POSシステムに違反があったとしても、完全に責任を負うことはできませんが、少なくとも誰かが負担を負うことになります。

また、まだ行っていない場合は、EMVチップカードについて学び、EMVチップカードに変換する機会を得てください。マグストライプはセキュリティ上価値がありません。チップカードはリスク全体からあなたを守ります。

0
John Deters