为了保护持卡人数据,符合 PCI 合规标准的公司需要遵循一系列信用卡数据安全标准,即 PCI DSS。探索为什么 PCI 合规性对所有处理银行卡支付的企业都很重要。
阅读本文后,您将能够:
复制文章链接
支付卡行业 (PCI) 合规性指需要遵守一系列针对持卡人数据的安全政策。所有使用信用卡、借记卡和/或预付卡处理交易的组织都必须遵守 PCI 合规要求。
信用卡数据需要保密才能确保安全,如果一个公司符合 PCI 合规要求,则表明可以信任该公司来保持此类数据的秘密性。就像房主不会把房子的钥匙借给他们不信任的人保管一样,如果商家不能保证数据的安全,信用卡品牌也不会把支付卡数据交给商家。
如果企业要存储、处理或传输信用卡持卡人数据 — 无论是通过互联网、电话、应用程序、纸质文件还是亲自到场,他们都必须遵循一系列规则来保护这些付款信息。
虽然美国联邦法律没有要求必须遵守 PCI 合规要求,但对未能适当保护持卡人数据的企业,信用卡公司可以征收不合规费用。更关键的是,如果不能保护持卡人数据,犯罪分子就能更容易窃取这些数据。这种盗窃是一个巨大的风险 — 根据尼尔森报告的预测,在未来 10 年,全球支付卡行业预计将因欺诈而累计损失 3970 亿美元。
PCI DSS 是指“支付卡行业数据安全标准”(PCI DSS)。PCI DSS 框架为企业提供指导,以确保持卡人交易数据和卡的身份验证信息的安全。其目的是通过制定要求来帮助预防、检测和应对安全事件,从而保护持卡人数据和身份验证数据
PCI 合规要求适用于全球范围内接受信用卡、借记卡或预付卡的每个商户。这意味着各种规模的企业 — 从街角的咖啡店到跨国设计师服装品牌 — 即使通过第三方来处理交易,都必须遵守 PCI 合规标准。
PCI DSS 覆盖的持卡人交易数据包括:
PCI DSS 所涵盖的敏感身份验证数据包括:
PCI DSS 框架包括 12 个基本要求(有 300 多个子要求):
PCI DSS 和相关安全标准由 PCI 安全标准委员会(PCI SSC) 管理,该委员会是由American Express、Discover Financial Services、JCB International、万事达卡公司和 Visa Inc. 成立的行业组织。该组织还包括商户、支付卡发行银行、刷卡服务供应商、开发商和其他供应商。
第一个版本,即 PCI DSS 1.0,于 2004 年推出。2006 年,PCI SSC 发布了 1.1 版本,该版本要求商家审查所有在线应用程序,并建立防火墙以提高安全性。
多年来,PCI DSS 不断发展,以应对整个卡片处理生态系统中出现的数据泄露和漏洞。截至 2024 年 3 月 31 日,现行的 4.0 版本成为唯一活跃版本,3.2.1 版本已存档。
PCI DSS 第 4.0 版于 2022 年发布,目的是“应对新出现的威胁和技术,并使用创新方法来打击新的威胁”。各机构在 2025 年 3 月 31 日之前必须满足所有 PCI DSS 第 4.0 版的要求。
虽然 PCI DSS 的核心要求没有根本变化,但新的第 4.0 版对如何实施安全控制的关注程度有所提高。变化包括:
这里概述了从 3.2.1 版到 4.0 版的主要变化。
PCI 合规标准由负责进行支付处理的信用卡品牌强制执行。当商家(例如,接受支付卡作为商品和服务的支付方式的人)每年进行一定数量的支付卡交易时,需要填写一份完整的 PCI DSS 合规报告。如果不这样做,就会被罚款。
PCI DSS 的处罚基于多种因素,如违反要求严重程度、修复或补救问题所需的时间以及是否存在违规行为。如果一个公司一直不符合 PCI 合规标准,他们也有可能无法在其系统内使用信用卡进行任何支付。
PCI DSS 根据企业在 12 个月内处理的卡交易数量将企业(或按标准里称的“商户”)分为四个级别。
这四个级别*是:
商户获得 PCI 合规认证的方式因其级别而异。一般来说,他们处理的交易次数越多,合规审计的要求就越严格。
例如,2-4 级商户需要填写并提交年度自我评估问卷 (SAQ)。有不同的 SAQ 类型,具体取决于商家处理支付卡信息的方式。各企业应参考 SAQ 说明和指南来确定哪种(如果有)SAQ 适用于自己。可在此处找到 v4.0 中 SAQ 要求差异的汇总。
1 级商户(如 Cloudflare)每年处理超过六百万笔交易,每年接受一次审计。1 级商户必须收到 PCI SSC 合格安全评估师 (QSA) 或 PCI SSC 内部安全评估师 (ISA) 出具的合规报告。1 级商户需要每年或每季度进行一次这一程序,具体取决于银行卡公司。1 级商户也可能需要进行现场数据安全评估。
最后,所有商家都需要填写并提交一份“合规证明”(AOC) 表,该表可以算作是向信用卡公司说明商家符合 PCI 合规标准的声明。
*这些定义大部分是准确的,但每个信用卡品牌对合规性的定义和评估都有细微的差别,因此,必须确认每个信用卡公司的具体计划标准。
Cloudflare 维持 PCI DSS 1 级合规性,且自 2014 年以来一直符合 PCI 规范。我们的许多客户还要求我们提供一份 AOC 的副本,这份合规证明可以向信用卡公司表明我们符合 PCI 规范。如果我们没有这一认证,我们就不能与某些客户合作,我们的收单银行也不会允许我们使用支付卡作为我们服务的支付方式。
我们还帮助客户通过他们自己的网站和应用程序维护安全。以下是说明 Cloudflare 可以如何帮助企业满足某些 PCI DSS 要求的一些例子:
进一步了解 Cloudflare 的网站和应用程序安全服务以及全球连通云的内置安全、隐私和合规功能。