PCI合规性:处理信用卡的网站要点
如果你从事在线视频销售业务,或者想从事在线视频销售业务, 准备好审查从您的站点处理信用卡支付的要求. 支付卡行业(PCI)遵从性是信用卡公司要求商家帐户执行的一组安全命令. When you want to set up credit card payments on your site, 您的网站基础设施是支付处理管道的一部分, the more stringent the security rules will be.
PCI安全标准委员会于2006年由五家公司创立:美国运通, Discover Financial Services, JCB International, MasterCard, and Visa Inc. PCI DSS,即数据安全标准,从那以后一直在发展. Updates to the standard are made annually, 将信用卡支付纳入其网站的公司必须每年遵守新标准,否则将面临失去商户账户的风险. 需要明确的是,PCI是一项行业法规,而不是联邦政府法规. (PCI DSS documentation)
尽管涵盖PCI DSS的所有含义超出了本专栏的范围, 我将继续提供适合您组织中的涉众的概述. 根据自我评估问卷(SAQs)的定义,有不同程度的遵从性。. 最少涉及的法规遵循是SAQ A,而最复杂的法规遵循是SAQ D. (SAQ definitions)
Just as the term implies, a SAQ is typically performed by one or more employees of your company involved with the data exchange of credit card information; these include your web developers, database administrators, and IT network personnel. 授权员工通常会在SAQ上签字,并将文件发送给持有您商户账户的银行. Different SAQs require your company to have different degrees of documentation on hand in the event of a data breach and/or audit; PCI compliance is largely based on an honor system. 仅仅因为你签署了SAQ并将其提交给你的银行并不意味着你实际上是合规的, 就像提交你的税并不能保证你不会被审计. 随着PCI DSS的每次修订,要求变得越来越严格, 需要更多的时间和努力来保持合规.
如果你正在开始一项新的业务,涉及到通过在线信用卡购买视频的货币化, 您所需的PCI合规性很可能属于以下类别之一:
- 将支付信息完全重定向到经批准的第三方:您的网站或支付门户直接转到另一个网站, such as PayPal or Amazon Payments, for the end user to login and submit payment. In this scenario, 第三方向站点的服务层提供一个授权令牌,以确认支付已完成, and your site provides the product(s) to the end user. 您的网站及其服务不保留与购买相关的信用卡信息. This category falls under SAQ A.
- 在您的站点上部分输入数据或显示信用卡信息:您不希望最终用户完全离开您的站点来完成购买付款, 您的站点托管用户输入信用卡信息的表单. 该信息被直接发送到第三方处理器网关. 即使你没有存储关键的持卡人数据, 您的网站和付款表单仍然容易受到黑客攻击. This category falls under SAQ A-EP and requires, among other security mandates, 您的web服务器托管的形式和任何web服务(s)负责代币交换(s)与支付处理器被完全锁定.
- 在您的网站上完整输入和存储持卡人数据:您希望在您的网站上拥有整个购物和支付体验. 你仍然会使用第三方来处理付款, 但是,您正在将信用卡数据存储在自己的系统中,以便定期付款或将来进行交易. This category will most likely fall under SAQ D, the most stringent of all the SAQs, 考虑到你保留了黑客实施欺诈所必需的所有数据,这是合适的. If you’re hoping to have a “tight team” or garage startup, PCI DSS合规性的最新版本包括要求拥有专门的百家乐软件/人员来将实时更新推送到您的站点,而不是编写代码的软件开发人员.
对于希望将PCI遵从性的成本和工作量最小化的公司, 您需要确保您的服务属于前两类之一. 如果您正在寻求存储最终用户的信用卡信息, 准备好花费更多的时间和精力来完成SAQ D的要求.
本文发表于2016年1 / 2月刊 Streaming Media magazine as “PCI Compliance: A Consideration for Online Video.”
Related Articles
广告标签在这个版本中变得不那么复杂了, and publishers gain more precise ad scheduling.
28 Aug 2014
Targeting instructional video producers and publishers, Youreeeka提供了一种低成本的视频内容保护和货币化方法.
Thurs., June 11, by Troy Dreier
11 Jun 2009