我只是想知道如果您存储加密的信用卡号码以进行定期计费,那么 PCI 认证级别是多少。
我计划每年进行少于 20,000 笔交易,但是,我不确定存储的信用卡号。
问问题
435 次
1 回答
5
如果您真的(真的)需要存储卡号,那么您就属于最严格的 PCI 合规级别。这需要年度现场审核、季度网络扫描,而且(您可能已经知道)成本非常高。这与交易数量无关。(旧的 PCI 初稿根据处理的卡数量给出了不同的级别。现在不是这样了)
如果您可以使用第 3 方来存储/处理定期计费,那么您将进入较低级别,只需要您每年完成一份自我评估问卷 (SAQ)。如果您与他们讨论您的要求,大多数支付服务提供商将能够帮助您进行定期计费。定期计费(如您所知)具有额外的复杂性,因为卡可能会在周期中过期/停止/更换
如果您有任何疑问,那么现在是开始与 QSA(合格安全评估员)交谈的最佳时机。如果您通过电话讨论您的情况,他们将能够准确地建议您的立场。最终,除非您与第三方支付服务提供商合作,否则您将需要一个 QSA 来帮助您的组织实现 PCI 合规性。
于 2011-04-26T10:26:21.990 回答