שאלוני PCIDSS

כול שאלון מכיל סדרה של שאלות של כן ולא על רמת האבטחה ,אכיפה וישום בארגונך.
השאלון מאפשר גמישות בהתאם לסוג בית העסק או ספק השירות אשר בו הינך משתמש ולכן סוג השאלון שעליך למלא נקבע בהתייחס לכך.

זכור, מילוי שאלון שאינו מתאים לבית העסק שלך עלול להעמיד אותך בסיכון במקרה של זליגה או גניבת כרטיסי אשראי,
אנו ממליצים להתיעץ עם בקר תקן PCI בחברת האשראי אשר מבצעת את הסליקה עבורך.

שאלון A
להורדת השאלון לחץ כאן

( מכיל 13 שאלות טכניות משני סעיפים 9,12 )

שאלון A פותח על מנת לענות על דרישות אשר חלות על סוחרים אשר מבצעים עיבוד של כרטיסי אשראי ושומרים רק עותק נייר של דוחות או קבלות עם נתוני אשראי ואינם שומרים פרטי אשראי בשום צורה אלקטרונית ואינם מעבדים או משדרים שום מידע על כרטיסי אשראי במערכות שלהם.

סוחרים אלו חייבים לודא כי הם עומדים בתנאי הסף הבאים לפני מילוי השאלון  :

  1. החברה מבצעת סליקה בתהליך של מסמך חסר בלבד ( Card not present ) מסחר אלקטרוני ,הזמנת דואר או טלפון.
  2. החברה אינה שומרת ,מעבדת או משדרת שום מידע על נתוני אשראי במערכות שלהן או במקומן הפיזי אלה נסמכת בשלמותה על חברת צד שלישי המוגדרים כספקי שירות ( Service Provider ) לטפל בכול הפעולות שתאורו קודם לכן.
  3. החברה ביצעה וידוי כי החברה צד שלישי אשר מטפלת בתהליכי הסליקה השונים (שמירה ,עיבוד ,שידור ) הינה מאושרת בתקן PCIDSS והוסמכה חברת אשראי מקומית לבצע פעולות אלו .
  4. החברה שומרת רק עותק נייר של דוחות או קבלות עם נתוני אשראי

חשוב להדגיש כי שאלון A אינו מתאים על סוחרים אשר מבצעים עיסקאות מסחר פנים מול פנים בלבד.

שאלון B
להורדת השאלון לחץ כאן

( מכיל 29 שאלות טכניות מחמישה סעיפים 3,4,7,9,12 )

שאלון B פותח על מנת לענות על דרישות אשר חלות על סוחרים אשר מבצעים עיבוד של כרטיסי אשראי ושומרים רק עותק נייר של דוחות או קבלות עם נתוני אשראי בעזרת מכונות גיהוץ ידניות ( הכוללות נייר קופי ) או לחליפין בעזרת עמדות מסופנים (POS ) אשר מחוברות לקו חיוג ואינם שומרים פרטי אשראי בשום צורה אלקטרונית ואינם מעבדים או משדרים שום מידע על כרטיסי אשראי במערכות שלהם

סוחרים אלו חייבים לודא כי הם עומדים בתנאי הסף הבאים לפני מילוי השאלון  :

  1. החברה מבצעת סליקה בעזרת מכונות גיהוץ ידנית או בעזרת מסופון בתקשורת טלפון אנלוגית (פנים מול פנים  או הזמנת דואר או טלפון )
  2. מערכת מסופון אינה מחוברת לאינטרנט.
  3. החברה אינה משדרת נתוני אשראי דרך רשת כולשהי ( פנימית או חיצונית )
  4. החברה אינה מחזיקה נתוני אשראי בפורמט אלקטרוני כלשהו.
  5. החברה שומרת רק עותק נייר של דוחות או קבלות עם נתוני אשראי.

שאלון C
להורדת השאלון לחץ כאן

( מכיל 80 שאלות טכניות מכל סעיפים התקן)

שאלון C פותח על מנת לענות על דרישות אשר חלות על סוחרים אשר מבצעים עיבוד של כרטיסי אשראי דרך אפליקציות תשלום ( לדוגמה POS ) ומחוברות לאינטרנט (לדוגמה DSL ) אך אשר אינם שומרים נתוני אשראי על שום מערכת מחשב.

אפליקציות תשלום אלו מחוברות לאינטרנט כי :

  1.  אפליקציות תשלום מותקנת על מחשב אישי המחובר לאינטרנט
  2. אפליקצית תשלום מחוברת לאינטרנט על מנת לשדר מידע על כרטיסי האשראי.

סוחרים המתאימים לשאלון זה מעבדים מידע על כרטיסי אשראי דרך POS או דרך מערכת תשלום אחרת המחוברת לאינטרנט,אשר אינה שומרים נתוני אשראי על אף מחשב ,תהליך הסליקה מתבצע בדרכים הבאות : פנים מול פנים  או מסחר אלקטרוני או הזמנת דואר או טלפון .

סוחרים אלו חייבים לודא כי הם עומדים בתנאי הסף הבאים לפני מילוי השאלון  :
  1. החברה מחזיקה באפליקצית סליקה אשר מחוברת לרשת האירגונית ולאינטרנט
  2. מערכת עליה מותקנת אפליקצית סליקה אינן מחוברת למערכות אחרות ברשת האירגונית(דבר זה יכול להתבצע על ידי חלוקה לוגית של הרשת )
  3. החברה אינה מחוברת לרשתות אחרות (לדוגמה סניפי משנה ).
  4. החברה מחזיקה רק דוחות מודפסים וכן קבלות מודפסות בלבד.
  5. החברה אינה מחזיקה נתוני אשראי בפורמט אלקטרוני כלשהו.
  6. תמיכה טכנית אשר מתבצעת מרחוק ע"י חברה צד שלישי לאפליקצית תשלום הינה מאובטחת.

שאלון D
להורדת השאלון לחץ כאן

( מכיל 220 שאלות טכניות מכל סעיפי התקן )

שאלון D פותח על מנת לענות על דרישות אשר חלות על סוחרים אשר אינם מתאימים למילוי שאלון A או C.

סוחרים אלו חייבים לודא כי הם עומדים בתנאי הסף הבאים לפני מילוי השאלון  :
  1. אין תנאי סף

הערה לשאלונים B,C,D

·        בעוד שאירגונים רבים באם אלו חברות שירות (Service Provider) או סוחרים חייבים לעמוד בכול סעיפי השאלון  חלק מהאירגונים בחלק מהמודולים העיסקיים יגלו כי חלק מהדרישות אינן חלות עליהן .
לדוגמה  חברה אשר אינה משתמשת בתקשורת אלחוטית בשום תצורה אינה חייבת לעמוד בדרישות תקן אשר מטפלות בנושא זה.
באם ואחד מסעיפי התשובה סומן ב-N/A 
( לא רלוונטי ) יש למלא את - Appendix D - Explanation of non Applicability  בכול שאלה יש למלא את סיבת האי רלוונטיות.