قوانین ، مقررات و قوانین پردازش کارت اعتباری 2022

ما یک تیم اختصاصی از ویراستاران داخلی ، نویسندگان و محققان هستیم که علاقه مند به کمک به مشاغل برای یافتن پاسخ های مورد نیاز خود هستند.

بیایید چاپ کوچک را با هم بخوانیم ...

پذیرش پرداخت کارت اعتباری در تجارت شما درهای زیادی را باز می کند. با انجام این کار ، شما می خواهید از پرداخت سریعتر ، ایمن تر ، یک روند فروش ساده تر و خدمات بهتر مشتری بهره مند شوید. شما حتی نسل کاملاً جدیدی از مشتریان فزاینده نقدی را به خود جلب خواهید کرد.

بنابراین برای آشنایی با قوانین کارت اعتباری که کسب و کار شما باید در مورد آن آشنا شود ، آماده شوید. این که آیا شما در پذیرش پرداخت کارت های اعتباری تازه وارد هستید ، یا یک جانباز که فقط به دنبال مسواک زدن به اصول اولیه است ، راهنمای ما مسیری بدون استرس و بدون استرس برای تکمیل رعایت کارت اعتباری است. برای شروع کار حرکت کنید ، یا به لیست زیر شیرجه بزنید تا مستقیم به یک بخش خاص پرش کنید.

چه چیزی میخواهید بدانید:

• PCI DSS: داده های نگهدارنده کارت را هنگام پرداخت بصورت آنلاین انجام می دهد
• اصلاحیه دوربین: تغییر هزینه بازرگانان باید در یک معامله آنلاین بپردازند
• دستورالعمل IRS (بخش 6050W): گزارش فروش فروش با کارت اعتباری یا بدهی به IRS را الزامی می کند
• PA-DSS: تضمین می کند سیستم های بازرگان POS (نقطه فروش) سازگار هستند

انطباق PCI

اگر قبلاً کمی وقت خود را صرف تحقیق در ارائه دهندگان خدمات تجاری مختلف کرده اید ، این سه نامه را مشاهده کرده اید که زیاد ظاهر می شوند. اما منظور آنها چیست؟

PCI: اصول اولیه

PCI برای "صنعت کارت پرداخت" کوتاه است. PCI مسئول اجرای مجموعه ای دقیق از قوانین ، معروف به PCI DSS (استانداردهای امنیتی داده های صنعت کارت پرداخت) است. این یک گروه از رهنمودهای گسترده صنعت برای جلوگیری از کلاهبرداری است.

PCI DSS توسط شورای امنیت داده ها ، بدنی متشکل از مارک های بزرگ کارت اعتباری ، از جمله MasterCard ، Visa ، American Express و Discover ، تنظیم شده است.

قوانین پردازش کارت اعتباری PCI DSS به محافظت از داده های دارنده کارت در هنگام انجام معامله کمک می کند ، و کلیه بازرگانان ، موسسات مالی ، پردازنده های پرداخت و ارائه دهندگان خدمات بازرگان مسئولیت حمایت از آنها را دارند.

این به عنوان انطباق PCI شناخته می شود.

انطباق PCI فقط از مشتریان شما محافظت نمی کند - این کار شما را از نقض داده ها محافظت می کند و به شما کمک می کند تا هزینه فلج کننده معاملات کلاهبرداری را تغییر دهید. بعلاوه ، مطابق با استانداردهای PCI با جریمه های بزرگی همراه است - به این معنی که بهتر است زودتر از موعد با آنها عاقلانه شوید.

بنابراین چگونه می توانید به انطباق برسید؟

جریمه های مربوط به عدم رعایت PCI می تواند تا 100000 دلار در ماه هزینه کسب و کار شما باشد-و حدود 80 ٪ سازمان ها هنوز سازگار نیستند. یکی از آنها نباشید!

چگونه اطمینان می دهید که تجارت شما از PCI سازگار است؟

چگونگی مطابق با PCI ، تا حد زیادی به نوع شرکتی که برای پردازش پرداخت کارت اعتباری خود انتخاب کرده اید بستگی دارد.

حساب های تجاری اختصاصی (یا سنتی) که با یک بانک یا یک شرکت مستقل تنظیم شده اند ممکن است شما را ملزم به انطباق PCI به دست خود کنید. این شامل اعتبارسنجی استانداردهای امنیتی داده های فعلی شما با پر کردن پرسشنامه خود ارزیابی (SAQ) است.

PCI نه شکل مختلف دارد. کدام یک را که باید پر کنید براساس حجم معامله شما و روشی است که برای پذیرش پرداخت کارت اعتباری استفاده می کنید. این وظیفه شماست که بفهمید (یا کسی را استخدام کنید تا بفهمد کدام فرم برای شما مرتبط است و اطمینان حاصل کنید که سالانه به اتمام می رسد.

بر اساس میزان پردازش ، شما در یکی از چهار سطح "انطباق" طبقه بندی می شوید. بیا یک نگاهی بیندازیم:

چهار سطح انطباق PCI

PCI سطح 1

• برای مشاغلی که بیش از شش میلیون پرداخت در سال پردازش می کنند
• گرانترین
• همراه با هزینه های سخت افزار و نرم افزار ، به علاوه هزینه های مربوط به آموزش یک حسابرس داخلی

الزامات اعتبار سنجی

• گزارش سالانه مربوط به انطباق (ROC) توسط یک ارزیابی کننده امنیتی واجد شرایط (QSA) یا حسابرس داخلی
• اسکن شبکه سه ماهه توسط ASV
• تأیید فرم انطباق

PCI سطح 2

• برای مشاغلی که بین یک میلیون تا شش میلیون پرداخت در سال پردازش می کنند.

الزامات اعتبار سنجی

• پرسشنامه سالانه ارزیابی خود (SAQ)
• اسکن شبکه سه ماهه توسط ASV
• تأیید فرم انطباق

PCI سطح 3

• برای مشاغلی که سالانه بین 20،000 تا یک میلیون پرداخت تجارت الکترونیک انجام می شود.

الزامات اعتبار سنجی

• سان سالانه
• اسکن شبکه سه ماهه توسط ASV
• تأیید فرم انطباق

PCI سطح 4

• برای مشاغلی که حداکثر 20،000 پرداخت در سال از طریق تجارت الکترونیک پردازش می کنند ...
• … یا حداکثر یک میلیون پرداخت از طریق کانال های دیگر

الزامات اعتبار سنجی

• سان سالانه توصیه می شود
• اسکن شبکه سه ماهه توسط ASV ، در صورت وجود
• الزامات اعتبار سنجی انطباق تعیین شده توسط بازرگان بانک

PCI: فرآیند 3 مرحله ای

یک دسته دیگر از مطالب دیگر نیز با سازگار با هم درگیر هستند.

PCI لیستی از 12 استاندارد ، از نقشه برداری از جریان داده های شما و اجرای فایروال ها ، رمزگذاری (و نشانه گذاری) انتقال اطلاعات حساس کارت را دارد.

همچنین مهم است که توجه داشته باشید که انطباق با PCI یک فرآیند مداوم است. رعایت کردن یک کار یکباره نیست، بلکه یک چرخه ثابت ارزیابی و گزارش است.

"فرآیند 3 مرحله ای" PCI به عنوان یک راهنمای خوب برای ادامه کار عمل می کند:

ارزیابی: شناسایی داده‌های دارنده کارت، فهرست‌بندی دارایی‌های فناوری اطلاعات و فرآیندهای تجاری برای پردازش کارت پرداخت، و تجزیه و تحلیل آنها از نظر آسیب‌پذیری.

REMEDIATE: رفع آسیب‌پذیری‌ها و حذف ذخیره‌سازی داده‌های دارنده کارت مگر اینکه کاملاً ضروری باشد.

گزارش: تدوين و ارسال گزارشات مورد نياز به بانكهاي ذيربط و برندهاي كارت.

اساسا، همه چیز بسیار پیچیده است - به ویژه برای مشاغل کوچک که تازه شروع به کار کرده اند. به‌علاوه، اگرچه PCI DSS استانداردهای مهمی را برای بازرگانان تعیین می‌کند، اما لزوماً کافی نیست - یعنی محافظت کافی برای همه محیط‌های پرداخت فراهم نمی‌کند. راه ساده تری وجود دارد؟

بله وجود دارد. به همین دلیل است که توصیه می‌کنیم یک ارائه‌دهنده خدمات پرداخت را انتخاب کنید که کاملاً مطابق با PCI باشد.

ارائه‌دهندگانی مانند Square، Zettle (iZettle سابق) و سیستم‌های پرداخت Heartland زیرساخت‌های پرداختی را در اختیار شما قرار می‌دهند که از قبل استانداردهای سختگیرانه PCI را برآورده می‌کنند و به کاهش بار انطباق کمک می‌کنند. مطمئناً، برخی از ارائه دهندگان حساب تجاری ممکن است برای امتیاز راه حل سازگار با PCI هزینه کنند، اما به ما اعتماد کنید - در دراز مدت، ارزش آن را دارد. و این بهتر از جریمه سنگین است!

همانطور که مایک دان، متخصص PCI از Stripe می گوید:

«حرکت به روش ایمن‌تر پذیرش کارت، راه بسیار مؤثرتری برای محافظت از سازمان شما است. مزیت طولانی مدت این است که شما نیازی به تکیه بر استانداردهای پایه صنعت یا نگرانی در مورد شکست احتمالی کنترل های امنیتی ندارید.

این رویکرد راهی برای کاهش نقض احتمالی داده‌ها و اجتناب از رویکرد تاریخی احساسی، زمان‌بر و پرهزینه برای اعتبارسنجی PCI برای کسب‌وکارهای چابک فراهم می‌کند.»

نتیجه نهایی؟قبل از امضای قرارداد با یک ارائه دهنده خدمات بازرگان، مطمئن شوید که دقیقاً تعهدات خود را درک کرده اید. ارائه‌دهنده خدمات پرداخت شما باید همیشه بتواند با شما صحبت کند که از طریق چه عناصری از انطباق با PCI توسط آن‌ها مدیریت می‌شود، و چه کاری (اگر کاری) باید انجام دهید.

چگونه مارک های پردازش کارت اعتباری مطابق با PCI باقی می مانند؟

قبل از انتخاب یک شرکت پردازش کارت اعتباری، ابتدا باید مطمئن شوید که دقیقاً متوجه شده‌اید که چه مسئولیت‌هایی برای انطباق با PCI از شما خواسته می‌شود و چه چیزی توسط ارائه‌دهنده انجام می‌شود.

نگاهی بیندازید که چگونه سه ارائه دهنده پرداخت آنلاین به رعایت PCI در زیر نزدیک می شوند.

مربع

خوانندگان کارت Square مجهز به رمزگذاری پایان به پایان هستند ، در حالی که Square از PCI برای همه نرم افزارهای خود به طور مداوم استفاده می کند. Square همچنین از طرف شما با بانک ها و موسسات پردازش کارت اعتباری سروکار دارد و در صورت بروز اختلافات از مشاغل شما حمایت می کند. از همه مهمتر ، شبکه ها ، خط مشی ها و فرآیندهای Square همه به مقررات PCI رعایت می کنند - به این معنی که معاملات تجارت شما همیشه تحت پوشش قرار می گیرد و بدون هزینه اضافی برای شما نیست.

عکسبرداری

Sage Pay دارای بالاترین سطح انطباق PCI (سطح 1) است. در حالی که این می تواند الزامات مربوط به انطباق شما را کاهش دهد ، این بدان معنا نیست که پرداخت SAGE از PCI برای شما مراقبت می کند. در عوض ، Sage Pay توصیه می کند با ارائه دهنده حساب بازرگان خود (همچنین به عنوان یک خریدار نیز شناخته می شود) که به QSA مراجعه کنید. حداقل ، شما باید یک SAQ را برای ارزیابی نیازهای PCI مشاغل خود پر کنید.

هلیمیم

مانند مربع ، پلت فرم Helcim کاملاً سازگار با PCI است. شما هیچ هزینه PCI و هیچ چیز برای عدم رعایت نیز پرداخت نخواهید کرد. با این وجود ، HELCIM به شما امکان می دهد بدون هیچ هزینه ای گواهی انطباق PCI خود را تولید کنید و به شما کمک می کند تا از نظر قانون (پردازش کارت اعتباری) ایمن و ایمن باشید.

اصلاحیه دوربین

اصلاحیه دوربین ، بخشی از قانون Dodd-Frank در سال 2010 ، مبلغی را که انجمن های کارت به طور قانونی مجاز به پرداخت هزینه های مبادله در معاملات کارت بدهی بودند ، کاهش داد.

ایده این بود که هزینه های خرده فروشی را کاهش دهیم و در نهایت هزینه های مصرف کننده را نیز کاهش دهیم.

هزینه های مبادله ای که به طور متوسط در هر معامله در حدود 0. 44 دلار بود ، کم و بیش به نصف کاهش یافت و در هر فروش 0. 22 + 5 ٪ در آن قرار گرفت. عالی ، درست است؟

خوب ... دقیقاًدر حالی که هزینه های خود را کاهش می داد ، اصلاحیه دوربین عواقب ناخواسته ای برای مشاغل کوچک داشت. زیرا ، در حالی که نرخ مبادله نصف شده بود ، هزینه معامله بیش از دو برابر بود. نتیجه؟بازرگانان با میانگین فروش 15 دلار یا کمتر در واقع هزینه های بیشتری را نسبت به آنچه قبل از شروع اصلاحات دوربین انجام داد ، پرداخت کردند.

اصولاً آنچه اصلاحیه دوربین برای بازرگانان به معنای این است که در صورت پردازش معاملات زیادی کارت ، یا به طور عمده در فروش با ارزش بالاتر ، در واقع پس انداز خواهید کرد. برای مشاغل با ارزش معامله کارت بدهی متوسط پایین تر ، ممکن است هزینه بیشتری برای شما داشته باشد.

با این وجود ، خوب است که اصلاحیه دوربین روی بانکهای کوچکتر و اتحادیه های اعتباری تأثیر نمی گذارد ، که از دست دادن درآمد بانکهای بزرگ با آن روبرو شدند. این امر به بانکهای کوچکتر اجازه می دهد تا هزینه ها را پایین نگه دارند - ایده آل برای بازرگانان جدید که به دنبال شروع کار خود با نرخ پردازش کارت اعتباری پایین هستند.

بنابراین ، پذیرش پرداخت کارت اعتباری و بدهی چقدر هزینه دارد؟راهنمای کامل ما برای هزینه های پردازش کارت اعتباری در ایالات متحده را کشف کنید.

دستورالعمل IRS (بخش 6050W)

ما نمی توانیم بدون ذکر IRS (سرویس درآمد داخلی) مقاله ای در مورد قوانین و مقررات دریافت کنیم ، اکنون می توانیم؟

جواب منفی. و اینجاست که بخش 6050W وارد می شود. طبق IRS ...

"بخش 6050W مستلزم بازده اطلاعاتی برای هر سال تقویم توسط بازرگانان به دست آوردن اشخاص و سازمان های تسویه حساب شخص ثالث با توجه به پرداخت های انجام شده در تسویه معاملات کارت پرداخت و معاملات شبکه پرداخت شخص ثالث است که در آن سال تقویم اتفاق می افتد."

به زبان انگلیسی ساده ، این بدان معناست که بازرگانان باید معاملات ناخالص سالانه خود را با کارت اعتباری ، بدهی یا مارک تجاری به ارائه دهنده خدمات بازرگان خود گزارش دهند.

این سپس به IRS منتقل می شود. این نوع مانند اظهارنامه مالیاتی است ، اما برای بازرگانان که پرداخت کارت اعتباری را می پذیرند.

PA-DSS

PA-DSS (استانداردهای امنیت داده های برنامه پرداخت) یکی دیگر از قانون پردازش کارت اعتباری است که می خواهید در مورد آن بدانید.

این یک قاعده است که هر تجهیزات یا پایانه های PO (نقطه فروش) باید مجموعه استانداردهای PCI را رعایت کند.

دو دلیل وجود دارد که PA-DSS خبر خوبی برای بازرگانان است. اول ، تجهیزات POS سازگار با PA-DSS به شما کمک می کند تا مطابق PCI باشید. دومین؟ملاقات با استانداردهای PA-DSS کاملاً مسئولیت تأمین کننده فناوری سیستم POS است-نه بازرگانان.

مراحل بعدی

مانند بسیاری از بهترین موارد زندگی ، پردازش کارت اعتباری با قوانین ، مقررات و قوانین همراه است. اما شما نباید اینها را به عنوان موانعی برای تجارت خود ببینید ، یا به عنوان محدودیت هایی که شما را به سمت پایین می کشاند. در عوض ، آنها در آنجا هستند تا تجارت و مشتریان خود را ایمن نگه دارند - برای جلوگیری از کلاهبرداری ، اطمینان به مشتریان خود و کمک به شما در جلوگیری از جریمه های بزرگ.

همچنین مهم است که به یاد داشته باشید که مقررات و قوانین پردازش کارت اعتباری فقط جعبه ای نیست که باید تیک داده شود ، پس شما تمام شد. نه - کلاهبرداران دائماً در حال تحول هستند ، بنابراین قوانین نیز باید. این بدان معناست که شما باید به طور مداوم شیوه های داده های دارنده کارت خود را بررسی کنید تا اطمینان حاصل کنید که درست توسط مشتریان انجام می دهید.

با ارائه دهنده خدمات پرداخت خود در مورد آنچه که الزامات PCI - در صورت وجود - تحت مسئولیت مشاغل خود قرار دهید ، صحبت کنید. و باز هم ، اگر در حال انتخاب ارائه دهنده خدمات بازرگان هستید ، مطمئن شوید که دقیقاً می دانید که انطباق PCI چگونه انجام می شود و هزینه های مربوط به آن چه خواهد بود.

جارگون

خوب ، بنابراین راهنمای ما کاملاً عاری از اصطلاحات نبود. مهم نیست - شما همه مهمترین (و حیرت انگیز ترین!) نام های زیر را در زیر پیدا خواهید کرد.

ASV (فروشنده اسکن تأیید شده): سازمانی که الزامات DSS را تأیید می کند.

PA-QSA (درخواست پرداخت ارزیابی کننده امنیتی واجد شرایط): سازمان هایی که از طرف شورا واجد شرایط هستند تا کارمندان خود را ارزیابی کنند.

PCI (استاندارد امنیت صنعت کارت پرداخت): لیستی دقیق از استانداردهای حاکم بر ذخیره و استفاده از داده های دارنده کارت. همه بازرگانان - یعنی مشاغل پذیرش کارتهای اعتباری و بدهی - باید بدانند که چگونه باید پیروی کنند.

PFI (محقق پزشکی قانونی PCI): سپس قوانین و الزامات مربوط به واجد شرایط بودن PCI را حفظ می کند.

QIRS (مجتمع های واجد شرایط و فروشندگان): فرصتی برای متخصصان واجد شرایط سازمان های واجد شرایط برای دریافت آموزش و صلاحیت در امنیت نصب ایمن فراهم کنید.

QSA (ارزیابی کننده امنیتی واجد شرایط): کارمندان یک سازمان واجد شرایط شورا.

SAQ (پرسشنامه خود ارزیابی): یک لیست چک ارائه شده توسط شورای استانداردهای امنیتی PCI برای اعتبارسنجی پیروی خود به الزامات PCI.

راب عمدتاً در مورد صنعت پرداخت می نویسد ، اما همچنین دانش خاص صنعت از نرم افزار CRM ، وام های تجاری ، تحقق و تأمین مالی فاکتور را به میز می آورد. هنگامی که ویرایشگر خود را با ضربات بد عصبانی نمی کند ، می توان در گوشه ای آفتابی (از نظر اجتماعی) ، با یک آبجو و یک نسخه مورد ضرب و شتم از داستایوسکی ، آرامش پیدا کرد.