Мне просто интересно, какой будет уровень сертификации PCI, если вы храните зашифрованные номера кредитных карт для повторяющихся платежей.
Я планирую иметь менее 20 000 транзакций в год, однако с сохранением номеров кредитных карт я не уверен.
Мне просто интересно, какой будет уровень сертификации PCI, если вы храните зашифрованные номера кредитных карт для повторяющихся платежей.
Я планирую иметь менее 20 000 транзакций в год, однако с сохранением номеров кредитных карт я не уверен.
Если вам действительно (действительно) нужно хранить номера карт, то вы попадаете на самый строгий уровень соответствия PCI. Это требует ежегодных проверок на месте, ежеквартального сканирования сети и (как вы, возможно, уже знаете) будет очень дорогостоящим. Это не зависит от количества транзакций. (Старые первые версии PCI давали разные уровни в зависимости от количества обрабатываемых карт. Это уже не так)
Если вы можете использовать третью сторону для хранения/обработки периодических счетов, вы переходите на более низкий уровень, который требует только ежегодного заполнения анкеты самооценки (SAQ). Большинство поставщиков платежных услуг смогут помочь с регулярным выставлением счетов, если вы обсудите с ними свои требования. Периодическое выставление счетов (как вы знаете) имеет дополнительные сложности, поскольку карты могут истечь / быть прекращены / заменены в середине цикла.
Если вы вообще сомневаетесь, то сейчас самое подходящее время, чтобы поговорить с QSA (квалифицированным оценщиком безопасности). Если вы обсудите свою ситуацию по телефону, они смогут точно посоветовать, где вы находитесь. В конечном счете, если вы не обратитесь к стороннему поставщику платежных услуг, вам потребуется QSA, чтобы помочь вашей организации в обеспечении соответствия требованиям PCI.