Kauppiaan ohjeet

Jokaisen korttitietoja käsittelevän työntekijän on noudatettava PCI DSS -standardin vaatimuksia. Vaatimukset kuitenkin vaihtelevat sen osalta, mitä asiakirjoja kauppiaan on toimitettava tietoturvastandardin vaatimukset täyttääkseen. Kauppiaiden on liikevaihdosta riippuen toimitettava eri asiakirjoja, jotta PCI DSS -vaatimukset täyttyvät. Säännöt koskevat kaikentyyppisiä sopimuksia. Nets ottaa sinuun yhteyttä, jos saavutat tason 1, 2 tai 3.

Eri tasot ja asiakirjoja koskevat säännöt

Vuosittain yli 6 miljoonaa tapahtumaa käsittelevät kauppiaat (taso 1)

Jos sinulla on korttitietojen käyttöoikeus, tarvitset vuosittaisen, valtuutetun tietoturva-arvioijan (QSA, Qualified Security Assessor) tekemän arvion ja neljännesvuosittaisen, hyväksytyn tietoturvatarkastajan (ASV, Approved Scanning Vendor) tekemän verkkotarkastuksen. Jos sinulla ei ole korttitietojen käyttöoikeutta, täytä PCI-kysely.

Vuosittain 1–6 miljoonaa tapahtumaa käsittelevät kauppiaat (taso 2)

Täytä PCI-kysely kerran vuodessa. Jos sinulla on korttitietojen käyttöoikeus, tarvitset neljännesvuosittain hyväksytyn tietoturvatarkastajan tekemän verkkotarkastuksen.

Vuosittain 20 000 – 1 miljoonaa tapahtumaa käsittelevät verkkokaupat (taso 3)

Samat vaatimukset kuin tasolla 2.

Kaikki muut kauppiaat (taso 4)

Teller suosittelee, että teet verkkotarkastuksen ja täytät PCI-kyselyn joka vuosi. Kaikkien korttitietoja käyttävien tason 4 kauppiaiden on täytettävä PCI DSS -standardin vaatimukset. Suurin osa tietovarkauksista tapahtuu pienissä ja keskisuurissa liikeyrityksissä, joilla ei ole riittävää tietoturvajärjestelmää.

Valtuutettujen tietoturva-arvioijien (QSA) luettelo – eli yritykset, jotka on sertifioitu suorittamaan PCI DSS -vaatimukset täyttäviä järjestelmätarkistuksia.

Hyväksyttyjen tietoturvatarkastajien (ASV) luettelo – eli yritykset, jotka on hyväksytty tarkistamaan IT-järjestelmiä.