PCI DSS megfelelőségi szintek
A PCI DSS négy kereskedői szinttel rendelkezik, amelyeket az évi feldolgozott kártyás tranzakciók száma határoz meg. Íme, mit jelent minden szint, mit követel — és hogyan tartja egyszerűvé a tokenizáció az érvényesítést, bármely szinten is legyen.
A szintjét a volumen határozza meg — nem az erőfeszítés
A kártyamárkák és az elfogadó bankok az éves tranzakciós volumen alapján rendelnek szintet márkánként. Minél magasabb a volumene, annál szigorúbb az érvényesítés. Egy adatszivárgás bármely kereskedőt azonnal az 1. szintre emelheti.
Volumen alapján
Az éves tranzakciószám kártyamárkánként határozza meg a szintjét, amelyet az elfogadó bankja rendel hozzá.
Eltérő érvényesítés
Az 1. szint külső auditot igényel; a 2–4. szint általában kérdőívvel önértékeli magát.
Adatszivárgás emeli
Egy adatkompromittálás bármely kereskedőt az 1. szintű jelentési kötelezettség alá vonhatja, mérettől függetlenül.
PCI DSS kereskedői szintek áttekintése
| Szint | Éves tranzakciós volumen | Tipikus érvényesítés |
|---|---|---|
| 1. szint | Évi ~6 millió felett (vagy bármely adatszivárgás után érintett kereskedő) | Éves Megfelelőségi Jelentés (QSA) + negyedéves ASV szkennelések |
| 2. szint | Évi ~1–6 millió tranzakció | Éves Önértékelési Kérdőív + negyedéves szkennelések |
| 3. szint | Évi ~20 000–1 millió e-kereskedelmi tranzakció | Éves Önértékelési Kérdőív + negyedéves szkennelések |
| 4. szint | Évi ~20 000 alatti e-kereskedelem / legfeljebb 1 millió egyéb tranzakció | Éves Önértékelési Kérdőív (ahol alkalmazható, szkennelések) |
Indikatív küszöbértékek — a pontos számok kártyahálózatonként eltérnek. Ellenőrizze a szintjét az elfogadó bankjával.
A szintje marad — a munkaterhe csökken
A tokenizáció nem változtatja meg a volumen által meghatározott szintet, de átalakítja az érvényesítendők mennyiségét. Ha a kártyaadatok soha nem érintik a rendszereit, a legtöbb kereskedő SAQ A-ra jogosult — a legrövidebb kérdőívre — bármely szinten. A PCI Proxy maga is PCI DSS Level 1 vault, így Ön örökli a nagy munkát.
PCI DSS szintek – válaszok
01 Mik a PCI DSS megfelelőségi szintek?
A PCI DSS négy kereskedői szintet határoz meg az éves kártyás tranzakciós volumen alapján. Az 1. szint a legnagyobb (általánosan évi 6 millió feletti tranzakció, vagy bármely adatszivárgás után érintett kereskedő), a 2. szint körülbelül 1–6 millió, a 3. szint nagyjából 20 000–1 millió e-kereskedelmi tranzakciót fed le, a 4. szint mindenki más. A magasabb szintekhez szigorúbb érvényesítés szükséges.
02 Honnan tudhatom, melyik PCI szinten vagyok?
A szintjét az elfogadó bankja vagy a kártyamárkák határozzák meg az éves tranzakciós volumene alapján márkánként. A pontos küszöbértékek kissé eltérnek kártyahálózatonként, ezért ellenőrizze az elfogadó bankjával — de a volumen a fő meghatározó tényező, és egy adatszivárgás bármely kereskedőt az 1. szintre emelheti.
03 Mit kell teljesítenie minden PCI szintnek?
Az 1. szintű kereskedőknek éves Megfelelőségi Jelentésre van szükségük egy Minősített Biztonsági Értékelőtől, plusz negyedéves szkennelések. A 2–4. szint általában Önértékelési Kérdőívet tölt ki, és ahol kártyaadatokat kezelnek, negyedéves szkennelést végez. Ha kevesebb kártyaadatot érint, kisebb kérdőívet kell kitöltenie.
04 A tokenizáció megváltoztatja a PCI szintemet?
A tokenizáció nem változtatja meg a volumen által meghatározott szintet, de drámaian csökkenti az érvényesítendőket. Mivel a kártyaadatok soha nem érintik a rendszereit, a legtöbb kereskedő jogosult a jóval rövidebb SAQ A-ra — szinttől függetlenül — így bármely volumen esetén sokkal egyszerűbbé válik a megfelelőség.
Egyszerűsítse a PCI megfelelőséget bármely szinten
Mondja el a volumenét és a kártyakezelési módját, és megmutatjuk, hogyan tartja a tokenizáció SAQ A-n az érvényesítést.