65-88019123 / 65-88019180
PCI 安全标准协会是一个开放的全球论坛,致力于账户数据安全标准发展及完善。PCI 安全标准协会创始成员包括 American Express、Discover Financial Services、JCB International、MasterCard和 Visa Inc.。
PCI DSS合规性
PCI DSS适用于涉及存储,处理或传输支付卡信息的所有实体。PCI DSS适用性取决于在12月期间与各支付卡品牌的总交易量。根据各支付卡品牌的要求,商户可以被分别4个级别,需要满足不同合规验证要求。商户应根据各支付卡品牌的要求或与收单机构确定所对应的级别。PCI 安全标准协会已经建立了针对2级到4级的中小型商户的自我评估调查表(SAQ)机制,以验证PCI DSS的合规性。
根据业务类型,商户需要进一步确定使用的自我评估调查表(SAQ)类型,并根据说明和指南完成调查表填写。对于某些类型的业务,例如SAQ A-EP,SAQ B-IP,SAQ C,SAQ D-Merchant和SAQ D-Service Provider,需要由PCI 安全标准协会认可的授权扫描服务商(ASV)进行季度漏洞扫描。同时,商户必须完成遵从性证明书(AOC),声明其按照PCI DSS 要求和安全评估程序所做的自我评估的结果,并联系收单机构或支付卡品牌递交相关资料。
例如:
阿里云PCI DSS的合规性并不意味着其客户也直接符合PCI DSS的要求。阿里云的PCI DSS评估环境包含支持阿里云服务的底层基础架构,其中包括物理设备,分布式云操作系统,阿里巴巴骨干传输网络,虚拟化和阿里云平台和服务的管理和运营的控制环境。通过遵守PCI DSS要求,阿里云能够为客户提供高度安全的云服务平台,以帮助其满足PCI DSS的安全要求。
遵循共享安全责任模型,阿里云及其客户共同承担基于阿里云构建的客户应用的安全性。在12个PCI DSS要求中,物理安全相关要求仅适用于阿里云,持卡人数据环境和信息安全政策相关要求仅主要适用于客户,其余要求应该由阿里云与其客户共同承担安全责任。
阿里云为客户提供了《阿里云国际服务PCI DSS责任管理矩阵》,以帮助客户了解如何依赖阿里云的PCI 合规性证明(AOC)报告以及他们在每个PCI DSS要求之下应承担的责任。有关详细信息,请参阅左侧文档。
凡是在经营中会接触到持卡人信息的公司或组织,无论所属什么行业、交易规模大小,都适用于PCI认证。
如果你的连锁店使用同一个Tax ID,那么一般只需要做一次PCI认证就可以了。
有人会问:我们公司不会记录和存储客户的信用卡信息,还需要做PCI吗?
需要。只要你在店内或网上接收消费者的信用卡,就适用PCI的安全规范。
支付卡行业数据安全标准PCI DSS 适用于涉及存储、传输或者处理支付卡信息的所有实体,包括商户、处理商、收单机构、发卡机构和服务提供商。该标准为保护支付卡信息提供了技术基线和操作要求。PCI安全标准委员会负责对PCI DSS标准进行持续完善,支付卡品牌则直接或间接的对PCI DSS的合规提出强制性要求。
Microsoft 和 PCI DSS
Microsoft 由经认可的合格安全性评估师 (QSA) 完成 PCI DSS 年度评估。 审核员审查了 Microsoft Azure、Microsoft OneDrive for Business 和Microsoft Office SharePoint Online环境,其中包括验证基础结构、开发、运营、管理、支持和范围内服务。 PCI DSS 根据交易量指定了四个级别的合规性。 Azure、OneDrive for Business 和 SharePoint Online 被认证为符合 PCI DSS 3.2 版的 Service Provider Level 1(成交量最高,每年超过 600 万)。
通过该评估,我们获得了可向客户提供的合规性证明 (AoC) 和 QSA 颁发的合规性报告 (RoC)。 合规性的有效期开始于通过审核并收到评审员的 AoC,并于签署该 AoC 之日起一年后失效。
希望开发持卡人环境或卡处理服务的客户可以在许多底层部分中使用这些验证,从而减少获取自己的 PCI DSS 认证的相关工作和成本。
请务必了解,Azure、OneDrive for Business 和 SharePoint Online 的 PCI DSS 符合性状态不会自动转换为客户在这些平台上构建或托管的服务的 PCI DSS 认证。 客户负责确保他们自己符合 PCI DSS 要求。
自 2005 年以来,累计有超过 110 亿条消费者记录在 8,500 多次数据泄露中遭到泄露。这是来自隐私权信息交换所的最新数据,其中报告了自 2005 年以来对消费者造成重大影响的数据泄露和安全漏洞事件。
为了提高消费者数据的安全性和对支付系统的信任,相关组织设立了一个数据安全的最低标准。Visa、Mastercard、American Express、Discover 和 JCB 于 2006 年成立了支付卡行业安全标准委员会 (PCI SSC),负责管理信用卡数据处理公司的安全标准。在 PCI SSC 设立之前,这五家信用卡公司都有自己的安全标准程序,且都具有大致相似的要求和目标。他们通过 PCI SSC 联合起来,实施同一项标准政策,即 PCI 数据安全标准(简称 PCI DSS),在互联网时代为消费者和银行提供基线水平的保护。
如果您的商业模式使得您必须要处理卡数据,那么您可能需要满足 PCI DSS 中所有 300 多项安全控制标准。PCI 委员会发布的关于 PCI DSS 的官方文件有 1,800 多页,其中有超过 300 页只是为了说明使用哪种表单来达到合规。单纯是阅读这些内容就需要 72 个小时以上的时间。
为了减轻这一负担,我们在下面提供了关于 PCI 合规验证和维护的分步指南。
PCI DSS 是面向所有存储、处理或传输持卡人数据和/或敏感验证数据的所有实体的全球性安全标准。PCI DSS 为消费者设定了一个基准保护级别,能够帮助减少整个支付系统的欺诈和数据泄露问题。它适用于任何接受或处理支付卡的组织。
PCI DSS 合规性涉及三个主要组成部分:
1.处理来自客户的信用卡数据的准入,即安全地收集和传输敏感的信用卡信息2.安全地存储数据,这在 PCI 标准的 12 个安全域中有所概述,例如加密、持续监控和对支付卡数据的访问进行安全测试3.每年都要验证所需的安全控制措施是否到位,这可以包括表单、问卷、外部漏洞扫描服务及第三方审核(见下方的分步指南,表格中包含有四个级别的要求)
某些商业模式确实需要在接受付款时直接处理敏感的信用卡数据,而有些则不然。需要处理卡数据的公司(例如付款页面上接受未加密的 PAN)可能需要满足 PCI DSS 中的 300 多个安全控制项目。即使卡数据仅在短时间内通过其服务器,相关公司也需要购买、实施和维护安全软件和硬件。
如果一家公司并不需要处理敏感卡数据,则应没有这种要求。第三方解决方案(例如,Stripe Elements)可以安全地接受和存储数据,从而在很大程度上消除或降低复杂性、成本和风险。由于卡数据不接触其服务器,公司只需要符合 22 项安全控制措施,其中大部分都很简单直接,例如使用较为安全的强密码。
如果一家组织需要处理或存储信用卡数据,则需要确定其持卡人数据环境 (CDE) 的范围。PCI DSS 将 CDE 定义为存储、处理或传输信用卡数据的人员、流程和技术,或任何与其连接的系统。鉴于 PCI DSS 中的所有 300 多项安全要求都适用于 CDE,因此将支付环境与其他业务部门进行适当分割是非常重要的,这样可以限制 PCI 验证的范围。如果一家组织无法精细分割 CDE 范围,那么 PCI 安全控制措施就会适用于企业网络上的每个系统、笔记本电脑和设备,这可不太妙!
无论以何种方式接受银行卡数据,组织都需要每年完成一份 PCI 检验表。验证 PCI 合规的方式取决于许多因素,具体如下。以下是组织可能会被要求证明其符合 PCI 标准的 3 种情境:
最新的安全标准,PCI DSS 版本 3.2.1,包括 12 个主要要求,其中300 多个次级要求反映了最佳安全实践。
创建和维护安全的网络和系统
保护持卡人数据
维护一项漏洞管理程序
实施严格的访问控制措施
定期检测和测试网络
实施一套信息安全政策
为了使新企业更容易获得 PCI 合规验证,PCI 委员会创建了九种不同形式的自我评估问卷 (SAQ),这些内容包含在 PCI DSS 的整个要求中。其中的诀窍是要弄清楚哪些是适用的内容,或者是否有必要聘请经 PCI 委员会批准的审核人员来验证是否已满足每项 PCI DSS 安全要求。此外,PCI 委员会每三年修订一次规则,并且全年都会发布新增更新,这更增加了不断变化的复杂性。
实现 PCI 合规的第一步是了解哪些要求适用于您的公司。PCI 合规级别有 4 个,通常基于的是您的公司在 12 个月内处理的信用卡交易额。
针对 2-4 级别,根据您的支付集成方式可选择不同的 SAQ 类别。此处是一个简略的表格:
要想保护敏感的信用卡数据,您需要知道它的位置以及它是通过何种路径达到这里的。您需要针对与您整个公司的信用卡数据进行交互的系统、网络连接和应用创建一个完整的映射图。根据您的角色职能不同,您可能需要与您的 IT 及安全团队成员合作,来完成该任务。
一旦确定了整个公司内信用卡数据的所有潜在接触点,立即与 IT 和安全团队合作,确保部署了恰当的安全配置和协议(参见 PCI DSS 12 项安全要求列表)。这些协议旨在对数据传输提供保护,例如 Transport Layer Security (TLS)。
CI DSS v3.2.1 的 12 项安全要求源于保护任何企业敏感数据的最佳实践方式。其中有些与 GDPR、HIPAA 和其他隐私权要求有所重叠,因此其中一些可能已经在您的公司实施。
值得注意的是,PCI 合规并不是一次性事件。这是一个持续的过程,随着数据流和客户接触点的不断发展,同时也要确保业务的合规性。有些信用卡品牌可能会要求您提交季度或年度报告,或完成年度现场评估以持续验证合规性(尤其是如果您每年的交易量超过 600 万笔)。
全年(以及年复一年)管理 PCI 合规性通常需要跨部门支持和协作。在内部组建一个专门的团队来正确维护合规性是一个较为可行的方式(如果还没有设立此类团队的话)。当然,每家公司都有自身的独特性,但是,PCI 团队的最初构成通常包括:
有关 PCI 合规的更多复杂信息,请访问 PCI 安全标准委员会网站。如果您只阅读过本指南和少部分其他 PCI 文档,建议先从这些内容开始:PCI DSS 首选方法、SAQ 说明及指南、用 SAQ 资格标准确定现场评估要求,的常见问题,以及针对接受支付卡数据的消费者设备的开发应用程序的商家的义务的常见问题。
对于集成使用 Checkout、Elements、移动 SDK 和 Terminal SDK 的企业来说,Stripe 能够显著简化 PCI 负担。Stripe Checkout 和 Stripe Elements 使用托管的字符字段来处理所有支付卡信息,因此持卡人会在支付字段中输入所有敏感的付款信息,而该字段来自于我们经 PCI DSS 认证的服务器。Stripe 移动 SDK 和 Terminal SDK 还能让持卡人直接将敏感的付款信息发送到我们经过 PCI DSS 验证的服务器。
通过这些更安全的收款方式,我们会在 Stripe 管理平台填充 PCI 表单 (SAQ),这样可以一键完成 PCI 验证。对于规模较小的企业来说,这可以节省几百个小时的工作时间,而对于较大的企业,则可以节省数千个小时。
对于我们的所有用户(无论集成方式如何),Stripe 扮演着 PCI 推动者的角色,可以通过几个不同的方式提供帮助。
对 PCI 合规的评估和验证通常每年进行一次,但 PCI 合规并非一次性事件——它是持续进行的评估和补救工作。公司的发展会带来核心业务逻辑和流程的增长,这意味着合规性也要跟上。例如,线上企业可能决定开设实体店、进入新市场或设立客户支持中心。如果有任何新内容涉及支付卡数据,最好主动检查这是否会对您的 PCI 验证方式产生任何影响,并在必要时重新验证 PCI 合规性。
遵守 PCI DSS 指南是您公司的一项必要保护措施,但这还不够。PCI DSS 为处理和存储持卡人的数据设定了重要标准,但其本身并不能为每个支付环境都提供足够的保护。寻求更安全的接受银行卡支付的方式(如Stripe Checkout、Elements 和移动 SDK)则是一种更有效的方法。从长远利益来看,您不需要依赖行业基线标准或担心安全控制的潜在失败风险。这种方法为敏捷的公司提供了一种减轻潜在的数据泄露的方法,并避免了传统 PCI 验证方式所耗费的精力、时间和成本。更重要的是,更安全的集成方法能够提供全天候的可靠保护。
(每年估计值)
如何申请PCI DSS
We are a certified corporate secretary in Singapore. Our in-house corporate secretary and consulting team help clients build the most appropriate corporate structure efficiently to fit into the existing regulatory framework and industry practice to improve their long-term sustainability as well reduce potential risk to its business development.