我只是想知道如果您为经常性结算存储加密的信用卡号码,PCI认证级别是什么。
我计划每年少于20,000笔交易,但是,我不确定存储信用卡号码。
答案 0 :(得分:5)
如果你真的(真的)需要存储卡号,那么你就会陷入最严格的PCI合规水平。这需要每年的现场审核,季度网络扫描,以及(正如您可能已经知道的)将非常昂贵。这与交易数量无关。 (旧的PCI初稿根据处理的卡数量给出了不同的级别。现在不再是这种情况了)
如果您可以使用第三方来存储/处理定期结算,那么您将降低到较低级别,这只需要您每年完成自我评估问卷(SAQ)。如果您与他们讨论您的要求,大多数支付服务提供商将能够帮助重复计费。重复计费(如您所知)具有额外的复杂性,因为卡可以在周期中止/停止/替换
如果你有任何疑问,那么现在是开始与QSA(合格安全评估员)交谈的最佳时机。如果您通过电话讨论您的情况,他们将能够准确地告知您的位置。最终,除非您与第三方支付服务提供商合作,否则您将需要QSA来协助您的组织实现PCI合规性。