菜单

打电话给我们 03450 21 21 51

外包卡处理是否使您符合PCI?
SRM.博客

外包卡处理是否使您符合PCI?

SRM.

写道 SRM.

2017年3月28日

分享这篇文章

由Paul Brennecker,高级信息安全顾问& Principal QSA

支付卡行业数据安全标准(PCI DSS)列出了一些与PCI合规有关的神话。其中一个是外包卡处理使业务合规。事实上它没有。无论使用哪个第三方,外包卡数据处理都不承担最终责任。仍然与商人一起。然而,它仍然是大多数零售商来实现PCI合规性的方法。那么,外包有什么问题,你应该知道什么?

几年前这个问题已经提出:“你为什么需要保留卡数据?”,很多零售商停止了,以为“我们根本不需要它”。有些人以前使用的卡号作为客户忠诚跟踪的唯一标识符,但随着更复杂的计划的出现,现在没有理由在大多数情况下保留卡号。

外包卡数据付款已成为一个流行的选择,很容易看出原因。当商家使用验证的第三方从自己的网站捕获支付信息时,数据捕获的实际过程绕过其系统。通过这种方式,他们不需要保持客户数据,从而减轻与PCI合规相关的一些义务。如果他们能够清楚地证明没有数据在商家环境中存在,这意味着在大多数情况下,PCI SSC自我评估问卷A就足够了。这将PCI合规计划的范围减少到22个控件。大量这些控件与选择和管理第三方有关,但仍然对商人的遵守负担更轻。

然而,永远无法外包的一件事是负责负责任地管理环境。商家与收购银行合同,收购方的工作是管理不遵守和数据违规行为的处罚费用。如果商家使用第三方遭受数据违约的,则收购方仍将将其罚款传递给商家。他们反过来会查看第三方是否对数据泄露负责并将罚款转移到他们身上。正是由于这个原因,与第三方的合同安排必须是水密封的。必须明确分配与第三方共享的数据安全的责任,以及通过任何因数据损失而采用的任何罚款的能力。

另外谨慎的话。外包简化了支付卡处理,但不提供自动遵守。 PCI合规性也是足以保护商人环境的合规性。像汽车MOT一样,它只是在给定时间点的状态的反映。数据安全的威胁继续在复杂性的数量和级别上升。只有持续的评估和修复过程将对持有持卡人数据的盗窃提供强大的防御。有关与合规性和SRM组合有关的所有问题的更多信息,请单击 这里.