定期的な請求のために暗号化されたクレジット カード番号を保存している場合、PCI 認定レベルはどうなるのだろうと思っていました。
年間 20,000 件未満の取引を計画していますが、保存されているクレジット カード番号が不明です。
1 に答える
5
本当に (本当に) カード番号を保存する必要がある場合は、PCI 準拠の最も厳しいレベルに該当します。これには、年 1 回のオンサイト監査、四半期ごとのネットワーク スキャンが必要であり、(すでにお気づきかもしれませんが) 非常にコストがかかります。これは、トランザクションの数に関係ありません。(PCI の古い最初のドラフトでは、処理されたカードの量に応じて異なるレベルが与えられていました。それはもはや当てはまりません)
サードパーティを使用して定期的な請求を保存/処理できる場合は、自己評価アンケート (SAQ) を毎年完了するだけでよい下位レベルに落ちます。ほとんどの支払いサービス プロバイダーは、要件について話し合うと、定期的な請求に対応できます。定期的な請求 (ご存じのとおり) は、カードがサイクルの途中で期限切れ/廃止/交換される可能性があるという点で、さらに複雑です。
少しでも疑問がある場合は、QSA (Qualified Security Assessor) と話し始めるのに今が最適な時期です。電話であなたの状況を話せば、彼らはあなたがどこに立っているかを正確にアドバイスすることができます. 最終的には、サード パーティの支払いサービス プロバイダーを利用しない限り、組織を PCI に準拠させるために QSA が必要になります。
于 2011-04-26T10:26:21.990 に答える