Livelli di conformità PCI DSS
PCI DSS prevede quattro livelli merchant, determinati dal numero di transazioni con carta che elabori in un anno. Ecco cosa significa ciascun livello, cosa richiede — e come la tokenizzazione semplifica la validazione qualunque sia il tuo livello.
Il tuo livello dipende dal volume — non dallo sforzo che fai
I circuiti carte e gli acquirer assegnano un livello in base al tuo volume annuo di transazioni per circuito. Maggiore è il volume, più rigorosa è la validazione. Una violazione dei dati può portare qualsiasi merchant direttamente al Level 1.
Determinato dal volume
Il tuo conteggio annuale di transazioni per circuito decide il tuo livello, assegnato dal tuo acquirer.
Validazione diversa
Il Level 1 richiede un audit esterno; i Level 2–4 si autovalutano tipicamente con un questionario.
Una violazione fa scalare
Una compromissione può portare qualsiasi merchant alla rendicontazione Level 1, indipendentemente dalle dimensioni.
Livelli merchant PCI DSS in sintesi
| Livello | Volume annuo di transazioni | Validazione tipica |
|---|---|---|
| Level 1 | Oltre ~6 milioni di transazioni/anno (o qualsiasi merchant dopo una violazione) | Report on Compliance annuale (QSA) + scansioni ASV trimestrali |
| Level 2 | ~1–6 milioni di transazioni/anno | Self-Assessment Questionnaire annuale + scansioni trimestrali |
| Level 3 | ~20.000–1 milione di transazioni e-commerce/anno | Self-Assessment Questionnaire annuale + scansioni trimestrali |
| Level 4 | Sotto ~20.000 e-commerce / fino a 1 milione di altre transazioni/anno | Self-Assessment Questionnaire annuale (scansioni dove applicabile) |
Soglie indicative — i valori esatti variano per circuito. Conferma il tuo livello con la tua banca acquiring.
Il tuo livello resta — il tuo carico di lavoro si riduce
La tokenizzazione non cambia il livello che il tuo volume ti assegna, ma trasforma la quantità di cose che devi validare. Quando i dati delle carte non raggiungono mai i tuoi sistemi, la maggior parte dei merchant si qualifica per SAQ A — il questionario più breve — a qualsiasi livello. PCI Proxy è esso stesso un vault PCI DSS Level 1, quindi erediti il lavoro pesante.
Livelli PCI DSS: le domande più frequenti
01 Quali sono i livelli di conformità PCI DSS?
PCI DSS definisce quattro livelli merchant in base al volume annuo di transazioni con carta. Il Level 1 è il più grande (generalmente oltre 6 milioni di transazioni all'anno o qualsiasi merchant dopo una violazione), il Level 2 è circa 1–6 milioni, il Level 3 copre circa 20.000–1 milione di transazioni e-commerce, e il Level 4 è tutto il resto. I livelli più alti richiedono una validazione più rigorosa.
02 Come faccio a sapere quale livello PCI mi riguarda?
Il tuo livello viene assegnato dal tuo acquirer o dai circuiti carte in base al volume annuo di transazioni per circuito. Le soglie esatte variano leggermente per circuito, quindi conferma con la tua banca acquiring — ma il volume è il fattore principale e una violazione può portare qualsiasi merchant al Level 1.
03 Cosa deve fare ciascun livello PCI?
I merchant Level 1 necessitano di un Report on Compliance annuale da un Qualified Security Assessor più scansioni trimestrali. I Level 2–4 completano generalmente un Self-Assessment Questionnaire e, dove vengono gestiti dati delle carte, scansioni trimestrali. Ridurre i dati delle carte che tratti riduce il questionario che devi compilare.
04 La tokenizzazione cambia il mio livello PCI?
La tokenizzazione non cambia il livello che il tuo volume ti assegna, ma riduce drasticamente ciò che devi validare. Poiché i dati delle carte non raggiungono mai i tuoi sistemi, la maggior parte dei merchant si qualifica per il ben più breve SAQ A — indipendentemente dal livello — rendendo la conformità molto più semplice a qualsiasi volume.
Semplifica la conformità PCI a qualsiasi livello
Raccontaci il tuo volume e come gestisci le carte, e ti mostreremo come la tokenizzazione mantiene la tua validazione su SAQ A.