Li muito sobre o PCI DSS e seus requisitos, mas não tenho certeza sobre o que exatamente determina se uma organização precisa se preocupar com a conformidade com o PCI DSS.
Aceitamos pagamentos usando um terminal POS básico HiSpeed 6200 que está conectado à internet através da LAN do nosso escritório. Nós não estamos usando VLANs. O terminal não está integrado a nenhum aplicativo de processamento de pagamentos, apenas imprime recibos em papel.
Preciso me preocupar com a conformidade com o PCI DSS?
Geralmente, se você armazenar dados de cartão de pagamento em algum lugar, será auditado pela polícia PCI-DSS ( AMEX, VISA, MASTERCARD). Se você estiver usando uma terceira parte para as transações e o armazenamento dos dados do cartão de pagamento, eles devem ser capazes de fornecer a você o relatório / certificação de auditoria do PCI-DSS. Eles também podem exigir que você cumpra suas regras, por meio de contrato / contrato de serviço.
Se você armazenar, transmitir ou processar "Dados da conta", você deve estar em conformidade com PCI. No PCI DSS 2.0 , "Dados da conta" consiste em " Dados do titular do cartão "mais" Dados de autenticação confidenciais ".
Dados do titular do cartão incluem:
Dados de autenticação confidenciais incluem:
Quando a definição exata está em questão, o glossário ajuda.
A maneira como esses dados são tratados determina o Questionário de autoavaliação (SAQ) do PCI aplicável à sua empresa . Infelizmente, você não fornece informações suficientes para identificar com segurança qual é o SAQ aplicável à sua empresa. Um trecho do guia do SAQ deve ajudar:
Comerciantes SAQ A - Cartão não presente (e-commerce ou correio / telefone), todas as funções de dados do portador do cartão são terceirizadas. Isso nunca se aplica a comerciantes cara a cara.
SAQ B - Comerciantes somente para impressão sem armazenamento de dados do titular do cartão eletrônico ou discagem independente comerciantes de terminais sem armazenamento de dados do titular do cartão eletrônico
SAQ C-VT - comerciantes que usam apenas terminais virtuais baseados na Web, nenhum dado do titular do cartão eletrônico armazenamento
SAQ C - Comerciantes com sistemas de aplicativos de pagamento conectados à Internet, sem eletrônicos armazenamento de dados do portador de cartão
SAQ D - Todos os outros comerciantes não incluídos nas descrições dos tipos de SAQ de A a C acima e todos os provedores de serviços definidos por uma marca de pagamento como qualificados para concluir um SAQ.
Além disso, o volume de transações processadas determina o nível de PCI aplicável ao seu negócio. Embora isso varie ligeiramente entre as empresas de cartão, elas geralmente são muito semelhantes. Além disso, os requisitos para níveis variam entre provedores de serviços e comerciantes. Todos os níveis exigem varreduras trimestrais. A maioria requer autoavaliações anuais. Finalmente, no nível 1, você deve ter um Assessor de Segurança Qualificado (QSA / auditor) para concluir seu Relatório de Conformidade. (ROC)
Embora se você se enquadre nas qualificações identificadas acima, você terá que ser oficialmente compatível com PCI em algum nível. No entanto, seu banco ou adquirente determinará, em última instância, seus requisitos de relatório do PCI. Faça sua lição de casa e entre em contato com seu banco, eles são sua melhor aposta para determinar as expectativas finais.
Sim, quem aceitar o pagamento Visa deve ser compatível com PCI DSS.
All merchants who are involved in the Visa payment process are required to be compliant with the PCI Data Security Standard. The standard is the foundation for the Account Information Security Program.
No entanto, a Visa não requer que os comerciantes de nível 4 validem sua conformidade.
Level 4 Merchants: Completion of the Annual PCI Questionnaire and the PCI Security Scans are optional, but highly recommended. Based on Acquires discretion, certain Level 4 merchants may need to validate compliance with the PCI DSS. Although Level 4 merchants are not required to validate compliance at this time, their network must be PCI-DSS compliant.
Source: Fraud Prevention & Security, Merchant Resources | Visa.ca
Seu banco estará em melhor posição para aconselhá-lo sobre isso.
No entanto, do que você detalhou na sua pergunta, você está aceitando pagamentos por um terminal portátil. Isso será imprimir recibos para o titular do cartão e um recibo do comerciante para seus registros.
Esses recibos de comerciante são chamados de "mídia de papel" no DSS e você tem a obrigação de armazenar esses recibos de forma segura e somente o pessoal autorizado deve ter acesso a eles. O DSS até mesmo determina como a mídia, física ou eletrônica, é manipulada, registrada e descartada.
Se você tiver alguma dúvida, ligue para o seu banco, que poderá esclarecer a posição, mas, do que você detalhou aqui, é necessário que você esteja em conformidade com o PCI DSS.
Tags pci-dss point-of-sale