A PCI DSS felelősségi lánca a kártyahálózatoktól az acquirer bankokon és PSP-ken át a kereskedőkig terjed. Az acquirerek különleges pozícióban vannak: közvetlenül felelősek a kereskedői portfóliójuk PCI DSS-megfelelőségéért, és kötelezettebbek a kereskedők monitorozásáért, mint ahogy azt sokan gondolják.
Az acquirer PCI DSS-kötelezettségei
Az acquirereknek – legyen szó bankokról vagy PSP-kről – a Visa és Mastercard szabályok szerint kötelezettségeik vannak a kereskedői portfóliójuk PCI DSS-megfelelőségének biztosításában: kereskedőik nyilvántartása PCI DSS szint (Level) szerint; a Level 1 és 2 kereskedők éves ROC (Report on Compliance) vagy SAQ benyújtásának megkövetelése; a Level 3 és 4 kereskedők SAQ-kitöltésének ösztönzése; negyedéves ASV (Approved Scanning Vendor) vizsgálati eredmények nyomon követése; incidensbejelentési eljárások kezelése.
Mi a kártyahálózatok felelőssége?
A Visa, Mastercard, American Express és Discover a PCI DSS-szabvány megalkotói és fenntartói. Ők állapítják meg a kereskedői szinteket, a megfelelőségi követelményeket és a nem megfelelőség szankcióit. A kártyahálózatok közvetlenül nem lépnek kapcsolatba a kereskedőkkel – ezt az acquireren keresztül teszik meg. Ha egy kereskedő nem PCI DSS-megfelelő és adatbetörés történik, a kártyahálózat az acquirert bünteti, aki aztán továbbhárítja a bírságot a kereskedőre.
Hogyan monitorozzák az acquirerek kereskedőiket?
Az acquirereket a kártyahálózatok kötelezik kereskedői portfóliójuk aktív monitorozására: SAQ és ASV vizsgálati eredmények éves gyűjtése; a nem megfelelő kereskedők azonosítása és értesítése; esedékes incidensek esetén az érintett kereskedők azonnali felfüggesztése; PCI DSS Level 2+ kereskedőknél QSA-auditok ellenőrzése. Az acquirereket kártyahálózatok felülvizsgálják a kereskedői portfóliójuk megfelelőségi arányát – az alacsony megfelelőségi arányok szankciókat vonhatnak maguk után.
Hogyan változtatja meg a tokenizáció a bank-kereskedő kapcsolatot?
Ha egy kereskedő PCI Proxy EU tokenizációt alkalmaz és SAQ A-ra minősül, az acquirer szempontjából: kisebb a kockázata egy kártyaadatbetörésnek a kereskedő oldalán (a tokenek értéktelenek); egyszerűbb a megfelelőségi dokumentáció (SAQ A 22 kérdés vs. SAQ D 329 kérdés); gyorsabb az onboarding (tokenizáló kereskedők napok alatt aktiválhatók); kisebb az acquirer potenciális felelőssége egy incidens esetén. Ezek a tényezők az acquirerek számára vonzóvá teszik a tokenizáló kereskedők preferálását.
Optimalizálja PCI DSS-felelősségét acquirerként vagy kereskedőként
Szakértőink segítenek megérteni a PCI DSS felelősségi láncot, és javaslatot tesznek a legoptimálisabb tokenizációs stratégiára.
Konzultáljon szakértőnkkel