Πιστοποίηση PCI DSS για service providers

Ως service provider, χαρακτηρίζεται μία επιχείρηση που δεν λαμβάνει άμεσα από τον τελικό πελάτη δεδομένα πιστωτικών καρτών αλλα μεσολαβεί στην επεξεργασία, την αποθήκευση ή τη μετάδοση των δεδομένων πιστωτικών καρτών. Επίσης είναι επιχειρήσεις που παρέχουν υπηρεσίες που ελέγχουν ή επηρεάζουν την ασφάλεια των δεδομένων της κάρτας. Έτσι για παράδειγμα, service providers είναι τα payment channels όπως το Paypal και τα payment platforms των τραπεζών, οι μηχανές κρατήσεων ξενοδοχείων κ.α.

Οι service providers καλούνται να συμορφωθούν με τις προδιαγραφές του SAQ D SP το οποίο έχει εμπεριέχει όλες τις απαιτήσεις και τις σχετικές πολιτικές ασφαλείας που πρεπει να υλοποιηθούν απο τον οργανισμό. Πολλοί οργανισμοί για να καλύψουν τις προδιαγραφές του SAQ D SP θα χρειαστεί να επικυρώσουν τη συμμόρφωσή τους με το σύνολο των προδιαγραφών του PCI DSS, ενώ κάποιοι άλλοι οργανισμοί με πιο ειδικά μοντέλα λειτουργίας, μόνο με μέρος αυτού. Για παράδειγμα, μία εταιρεία που δε χρησιμοποιεί ασύρματη τεχνολογία στην υποδομή της, δε θα χρειαστεί να επικυρώσει τη συμμόρφωσή της με τις ενότητες του PCI DSS που αναφέρονται στη διαχείριση της ασύρματης τεχνολογίας.

Το SAQ D SP για service providers ισχύει για όλους τους παρόχους υπηρεσιών που ορίζονται και ως payment brand και είναι κατάλληλοι για τη συμπλήρωση ενός SAQ.

Οι service providers με βάση το πλήθος των συναλλαγών που έχουν ανα brand κάρτας ετησίως, υπάγονται σε ένα από τα δύο level που υπάρχουν τα οποία καθορίζουν και την μεθοδολογία πιστοποίησης.

Θέλετε να ενημερώθείτε για το PCI;

Level 2 Service Providers

Service Providers που πραγματοποιούν μέχρι 300.000 συναλλαγές ετησιώς

  • Ετήσια συμπλήρωση του Self-Assessment Questionnaire (SAQ D)
  • Τρίμηνιαία ASV Scans
  • Penetration Test
  • Εσωτερικά scans
  • Συμπλήρωση της φόρμας Attestation of Compliance (AoC)

Level 1 Service Providers

Service Providers που πραγματοποιούν περισσότερες απο 300.000 συναλλαγές ετησιώς ή εκτελούν υπηρεσίες πληρωμών (Payment Service Providers)

  • Ετήσιο Report on Compliance (RoC) από κάποιον Qualified Security Assessor (QSA)
  • Τρίμηνιαία ASV Scans από έναν Approved Scanning Vendor (ASV)
  • Penetration Test
  • Εσωτερικά scans
TOP