使我们的小企业网络符合PCI-DSS标准

Question

我们被要求成为符合PCI-DSS，以便我们可以处理客户付款通过我们的网站和办公室。我们的网络由一个SBS 2008服务器和10个工作站组成，它们都连接到戴尔交换机上的一个局域网上。因特网路由器是一个DrayTek 2820n。

是否需要对我们现有的网络设置做些什么，使其符合PCI-DSS？

Answer 1

外包出去。说真的，如果你还不知道PCI，那么当你了解它的时候，你会讨厌它的。在一个规模很小的办公室里，没有理由在内部处理付款。使用第三方提供商(如PayPal，您的银行也可能有选择)。获得网络认证可能会花费你一条胳膊和一条腿。使用第三方服务将使您在每个事务上花费一些额外的费用，但盈亏平衡点将是数千个事务(或更多)。

Answer 2

是的，我们需要做很多事情。首先，安全标准列表如下：https://www.pcisecuritystandards.org/security_标准/标准

整个列表适用于所有大小的环境。根据您处理的信用卡号码以及您是否是其他零售店面的服务提供商，唯一变化的是必须定期执行的审计级别。

如果您以前从未经历过这个过程，并且您的环境不需要第三方审核，我建议您第一次至少进行一次审核，以确保您遵守了“安全标准文档”中列出的准则。

如果可能的话，我强烈建议使用第三方支付处理器来避免PCI遵从性要求。完全遵从是一项非常昂贵的努力。