Bevor een Acquirer een Handelaar voor de Kartenakzeptanz aktiviert, fordert Het PCI DSS-nalevingsdokumentation naar. DePCI DSS Handelaar-Onboarding-Proces variiert in zijn Komplexität u na erwartetem Transaktionsvolumen en Art de Technische Integratie. Wanneer man in het Voraus weiß, Wat vereist is, laat zich de Documentatie snel vorbereiten en Aktivierungsverzögerungen kunnen vermieden worden.
Wat de Acquirer beim PCI-Onboarding verlangt
De Eerste Stap beim PCI-Onboarding is de Klassifizierung van de Handelaar op Basis dePCI DSS Handelaar-Stufen. De Stufen reichen vanLevel 1(über 6 Millionen Jahrestransaktionen) totLevel 4(Minder als 20.000 jaarlijkse E-Commerce-Transacties of Minder als 1 Million Gesamttransaktionen). De Stufe bestimmt de Dokumentationsanforderungen: Level-1-Handelaar moeten een van een QSA erstellten Report on Naleving (RoC) einreichen, tijdens Level-2-, 3- en 4-Handelaar in de Regel een Self-Assessment Questionnaire (SAQ) ausfüllen kunnen.
De Acquirer verlangt typischerweise: De ausgefüllten en unterzeichneten SAQ (of RoC voor Level 1), de Attestation of Naleving (AOC), de De Abschluss van de Prozesses bestätigt, Ergebnisse een vierteljährlichen Schwachstellenscans via een Approved Scanning Vendor (ASV) voor Handelaar, de über het Internet zugängliche Netzwerkkomponenten verwalten, alsmede de Documentatie interner Sicherheitsrichtlinien. Sommige Acquirer vereisen voor Handelaar op höheren Stufen ook een jährlichen Penetratietest.
Dokumente en SAQ: Hoe lange dauert?
De Zeitaufwand voor het PCI-Onboarding hängt in erster Linie van de Art van de anwendbarenSAQab. DeSAQ A, de voor Handelaar geldt, de nooit Kaartgegevens berühren (omdat u een gecertificeerde Aanbieder voor de Erfassung en Verwerking gebruiken), umfasst22 Vereistenen kan in wenigen Uren ausgefüllt worden. DeSAQ D, de voor Handelaar geldt, de de CDE intern verwalten, heeft über300 Vereistenen vereist wekenlange Arbeit met externer Beratungsunterstützung.
Identitäts- en Unternehmensregistrierungsdokumente, Technische Architekturinformationen en het Kartendatenflussdiaagramm worden van fast allen Acquirern unabhängig van de Stufe verlangt. De Erstellung van de Datenflussdiaagramms, het tonen moet, Hoe de PAN in de Systemen van de Handelaar eintritt, u durchläuft en verlässt, is oft de zeitaufwändigste Stap, wanneer Het niet al gedocumenteerd werd.
Hoe het Onboarding via een reduzierten Perimeter beschleunigt wordt
Het Element, het de Geschwindigkeit van de PCI-Onboardings op het stärksten beeinflusst, is de Komplexität van de te deklarierenden Perimeters. Een Handelaar, de PCI Proxy EU voor de Erfassung en Verwerking van Kaartgegevens gebruikt, kan een minimierteCDEdeklarieren: Seine Systemen verwerken nooit PANs in het Klartext en fallen daarom niet in de Perimeter. Dies maakt het mogelijk, anstelle een SAQ D een SAQ A auszufüllen en so wekenlange Arbeit beim Onboarding-Proces einzusparen.
Het Acquirer een Datenflussdiaagramm vorzulegen, het De Proxy als einzigen PAN-Verarbeitungspunkt ausweist, alsmede de AOC van PCI Proxy EU als zertifizierter Dienstverlener beschleunigt De Genehmigungsprozess erheblich. Viele Acquirer hebben vereinfachte Verfahren voor Handelaar, de gecertificeerde Dienstverlener voor de Kartendatenverarbeitung gebruiken, da u anerkennen, dat het Risico via een al kontrollierte Infrastructuur gemanagt wordt.
Veelgestelde vragen
Kan de Acquirer Betalingen sperren, wanneer ik geen SAQ einreiche?
Ja. De Acquirer heeft zowel het vertragliche Recht als ook de Verpflichtung tegenover De Kartennetzwerken, de PCI-Naleving zijn Handelaar te überprüfen. Wanneer Documentatie niet innerhalb de vorgeschriebenen Fristen eingereicht wordt, kan de Acquirer zusätzliche Gebühren erheben, Zahlungsfunktionalitäten einschränken of in het schwerwiegendsten Fall de Akzeptanzvereinbarung kündigen. De specifieke Bedingungen en Konsequenzen zijn in het Händlervertragsvertrag angegeben.
Hoe oft verlangt de Acquirer de Erneuerung de PCI-Naleving?
De PCI-Konformitätszyklus is jaarlijks. De SAQ of RoC moet elke Jaar erneuert worden, en ASV-Scans (voor Handelaar in het Bereik) moeten vierteljährlich durchgeführt worden. Sommige Acquirer sturen 60-90 Dagen voor Ablop de aktuellen AOC een automatische Erinnerung, maar liegt in de Verantwortung van de Handelaar, De Erneuerungsprozess rechtzeitig einzuleiten.
Moet ik de PCI-Bescheinigung ook naar het Netwerk (Visa/Mastercard) übermitteln?
Voor Level-1-Handelaar moet de AOC zowel direct naar de Netwerken (Visa, Mastercard) als ook naar De Acquirer übermittelt worden. Voor Level-2-, 3- en 4-Handelaar wordt de Documentatie in de Regel van het Acquirer beheert, de u op Basis interner Vereinbarungen naar de Netwerken weiterleitet. In beiden Fällen is de Acquirer de Hauptansprechpartner van de Handelaar tijdens van de gehele Konformitätsprozesses.
Möchten U het PCI-Onboarding bij Uw Acquirer via Vorlage een reduzierten CDE beschleunigen? Ontdek U, Hoe PCI Proxy EU De Proces vereinfacht.PCI Proxy EU Ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op