Dokumentation - forretninger
Afhængig af omsætningen skal din forretning på forskellig vis dokumentere, at den lever op til PCI DSS-kravene. Nets kontakter dig, hvis din forretning kommer på niveau 1, 2 eller 3.
De forskellige niveauer og reglerne for dokumentation
Niveau 1: Forretninger med mere end 6 mio. transaktioner årligt
Du skal årligt have foretaget en revision og lave en Report of Complicance (ROC), udført af en ekstern Qualified Security Assessor (QSA) eller en Internal Security Assessor (ISA)
Du skal have kvartalsmæssige netværksscanninger udført af en Approved Scanning Vendor (ASV).
Hvis du ikke har adgang til kortdata, skal du udfylde et PCI DSS-spørgeskema årligt, og det skal udfyldes af en ISA eller en QSA.
Niveau 2: Forretninger med mellem 1 og 6 mio. transaktioner om året
Du skal årligt udfylde et PCI DSS-spørgeskema, og det skal udfyldes af en Internal Security Assessor (ISA) eller en ekstern Qualified Security Assessor (QSA).
Hvis du har adgang til kortdata, skal du også have foretaget en netværksscanning en gang i kvartalet af en ASV.
Niveau 3: Internetforretninger med 20.000 - 1 mio. transaktioner årligt
Du skal årligt udfylde et PCI DSS-spørgeskema.
Hvis du har adgang til kortdata, skal du også have foretaget en netværksscanning en gang i kvartalet af en ASV.
Niveau 4: Alle øvrige forretninger
Hvis du har adgang til kortdata, skal du årligt udfylde et spørgeskema og gennemføre en netværksscanning.
Nets anbefaler alle at få foretaget en netværksscanning hvert år og udfylde et PCI DSS-spørgeskema.
Det er vigtigt, at niveau 4-forretninger, der har adgang til kortdata, opfylder kravene i PCI DSS. De fleste dataindbrud sker hos små og mellemstore forretninger, der ikke har tilstrækkeligt fokus på datasikkerhed.Liste over Qualified Security Assessors (QSA) - virksomheder der er certificeret til at udføre revisioner af systemer, der skal overholde PCI DSS-kravene.Liste over Approved Scanning Vendors (ASV) - virksomheder der er godkendt til at scanne IT-systemer