Se você armazenar, transmitir ou processar "Dados da conta", você deve estar em conformidade com PCI. No PCI DSS 2.0 , "Dados da conta" consiste em " Dados do titular do cartão "mais" Dados de autenticação confidenciais ".
Dados do titular do cartão incluem:
- Número da conta principal (PAN)
- Nome do titular do cartão
- Data de expiração
- Código de serviço
Dados de autenticação confidenciais incluem:
- Dados completos de tarja magnética ou equivalente em um chip
- CAV2 / CVC2 / CID / CVV2
- PINs / PIN bloqueados
Quando a definição exata está em questão, o glossário ajuda.
A maneira como esses dados são tratados determina o Questionário de autoavaliação (SAQ) do PCI aplicável à sua empresa . Infelizmente, você não fornece informações suficientes para identificar com segurança qual é o SAQ aplicável à sua empresa. Um trecho do guia do SAQ deve ajudar:
Comerciantes SAQ A - Cartão não presente (e-commerce ou correio / telefone), todas as funções de dados do portador do cartão são terceirizadas. Isso nunca se aplica a comerciantes cara a cara.
SAQ B - Comerciantes somente para impressão sem armazenamento de dados do titular do cartão eletrônico ou discagem independente
comerciantes de terminais sem armazenamento de dados do titular do cartão eletrônico
SAQ C-VT - comerciantes que usam apenas terminais virtuais baseados na Web, nenhum dado do titular do cartão eletrônico
armazenamento
SAQ C - Comerciantes com sistemas de aplicativos de pagamento conectados à Internet, sem eletrônicos
armazenamento de dados do portador de cartão
SAQ D - Todos os outros comerciantes não incluídos nas descrições dos tipos de SAQ de A a C acima e
todos os provedores de serviços definidos por uma marca de pagamento como qualificados para concluir um SAQ.
Além disso, o volume de transações processadas determina o nível de PCI aplicável ao seu negócio. Embora isso varie ligeiramente entre as empresas de cartão, elas geralmente são muito semelhantes. Além disso, os requisitos para níveis variam entre provedores de serviços e comerciantes. Todos os níveis exigem varreduras trimestrais. A maioria requer autoavaliações anuais. Finalmente, no nível 1, você deve ter um Assessor de Segurança Qualificado (QSA / auditor) para concluir seu Relatório de Conformidade. (ROC)
Embora se você se enquadre nas qualificações identificadas acima, você terá que ser oficialmente compatível com PCI em algum nível. No entanto, seu banco ou adquirente determinará, em última instância, seus requisitos de relatório do PCI. Faça sua lição de casa e entre em contato com seu banco, eles são sua melhor aposta para determinar as expectativas finais.