Βάσει το προτύπου PCI DSS, οποιαδήποτε επιχείρηση επεξεργάζεται , αποθηκεύει η μεταδίδει δεδομένα πιστωτικών καρτών οφείλει να συμμορφώνεται με το πρότυπο. Ο γενικός κανόνας είναι οτι όταν μια επιχείρηση δέχεται κάρτες με οποιονδήποτε τρόπο, τότε είναι υποχρεωμένη να είναι πιστοποιημένη. Οι προδιαγραφές ορίζονται βάσει του τρόπου που η επιχείρηση λαμβάνει πιστωτικές κάρτες. Έτσι ένα φυσικό κατάστημα που διαθέτει POS δεν έχει τις ίδιες απαιτήσεις ασφαλείας με μια επιχείρηση που πραγματοποιεί για παράδειγμα ηλεκτρονικές πληρωμές με redirect στο περιβάλλον της τράπεζας ή σε κάποιον Service Provider.
Ο πρώτη βασική κατηγοριοποίηση εχει να κανει με το πλήθος των ηλεκτρονικών συναλλαγών που πραγματοποιεί ένας έμπορος με χρήση πιστωτικών καρτών ανα έτος. Έτσι υπαρχουν 4 συνολικά επίπεδα με χαμηλότερο το 4 και υψηλότερο το 1. Η μεγαλύτερη διαφορά στα 4 level έχει να κάνει με το Level 1 στο οποίο το AOC εκδίδεται αποκλειστικά απο qualified security accessors (QSA's) και ονομάζεται ROC ( Report of compliance )
Merchant Level |
Συναλλαγές ανά έτος |
Redirect | IFRAME | Direct Post | JavaScript | XML |
---|---|---|---|---|---|---|
1 | Πάνω από 6 εκατομμύρια | RoC A | RoC A | RoC A-EP | RoC A-EP | RoC D |
2 | 1–6 εκατομμύρια | SAQ-A | SAQ A | SAQ A-EP | SAQ A-EP | SAQ D |
3 | 20.000-1 εκατομμύριο | SAQ-A | SAQ A | SAQ A-EP | SAQ A-EP | SAQ D |
4 | Εώς 20.000 | SAQ-A | SAQ A | SAQ A-EP | SAQ A-EP | SAQ D |
Η πρώτη επαφή της πλειοψηφίας των επιχειρήσεων με το PCI DSS θα είναι όταν απαιτηθεί να ενσωματώσουν ηλεκτρονικές πληρωμές όπως για παράδειγμα σε ένα website. Η ηλεκτρονική μετάδοση, επεξεργασία και αποθήκευση στοιχείων πιστωτικών καρτών αποτελεί και τον μεγαλύτερο κίνδυνο σε σχέση με τις συναλλαγές με φυσική παρουσία της πιστωτικής κάρτας για προφανείς λόγους. Ένας κοινός μύθος που πιστεύει ο πολύ κόσμος είναι ότι εάν μια επιχείρηση κάνει Redirect στο περιβάλλον της τράπεζας δεν χρειάζεται να συμμορφωθεί με το PCI DSS. Για τις ηλεκτρονικές συναλλαγές υπάρχουν 3 βασικά ερωτηματολόγια που καθορίζουν πρακτικά και τις προδιαγραφές που θα αναλύσουμε στη συνέχεια.
Για εμπόρους χωρίς τη φυσική παρουσία κάρτας, Όλα τα δεδομένα πιστωτικών κάρτών επεξεργάζονται πλήρως με ανακατεύθυνση με τη μέθοδο του redirection η iframe απο καποιον 3rd party PCI validated service provider
Για τους εμπόρους, οι οποίοι έχουν αναθέσει τμήμα της διαδικασίας πληρωμής σε τράπεζες ή επικυρωμένους εξωτερικούς παρόχους, παρόλα αυτά ο τελικός πελάτης εισάγει τα στοιχεία της κάρτας στο περιβάλλον του εμπόρου
Για τους εμπόρους, οι οποίοι λαμβάνουν άμεσα στο συστήματά τους πιστωτικές κάρτες και είτε τις αποθηκεύουν, είτε τις επεξεργάζονται, είτε απλά τις μεταδίδουν.
Αν και οι περισσότεροι δεν το γνωρίζουν, οι συναλλαγές πιστωτικών καρτών που πραγματοποιούνται σε φυσικούς χώρους επιχειρήσεων με τις γνωστές τερματικές συσκευές ή αλλιώς POS, υπόκεινται στις προδιαγραφές του PCI DSS και με συγκεκριμένα μάλιστα κριτήρια που έχουν να κάνουν με τον τύπο του POS.
Για την κατηγορία των παλαιότερης τεχνολογίας POS τα οποία ολοκληρώνουν την συναλλαγή μέσω κλήσης πάνω απο το συμβατικό τηλεφωνικό δίκτυο PSTN ή ISDN
Τα σύγχρονα και πιο διαδεδομένα πλέον τερματικά POS ολοκληρώνουν τις συναλλαγές μέσω διαδικτύου, είτε μέσω wifi, είτε καλωδιακής σύνδεσης data, είτε μέσω ενσωματωμένης κάρτας sim (3G - 4G - 5G)
Η συγκεκριμένη κατηγορία αφορά συναλλαγές οπου ο πελάτης δεν βρίσκεται στον φυσικό χώρο της επιχείρησης ώστε να χρησιμοποιήσει την κάρτα του, αλλα συναλλάσσεται μέσω τηλεφώνου. Στην περίπτωση αυτή ο merchant λαμβάνει την κάρτα τηλεφωνικά και την πληκτρολογει κατα κανόνα σε κάποιο Virtual POS που του παρέχει κάποιος PCI Validated service provider
Ο έμπορος ολοκληρώνει την συναλλαγή εισάγοντας τα στοιχεία της κάρτας του πελάτη σε ενα Virtual Terminal από τον υπολογιστή του ή οποιαδήποτε άλλη εγκεκριμένη συσκευή
Δικτυακές συσκευές ή εφαρμογές συνδεδεμένες στο τοπικό δίκτυο του εμπόρου όπως ERP συστήματα κ.α.