如今,网上购物已成为大多数人的第二天性。人们点击、购买,个人信息也在不知不觉中被同步处理了,这一切都建立在人们对财务数据安全信任的基础上。然而,你是否想过,为了赢得这份信任,幕后究竟发生了什么?
答案就是一套名为PCI DSS的安全标准。接下来,本文将带你了解这个缩写背后的要求,以及它对在线卖家和客户的意义。
什么是PCI DSS(支付卡行业数据安全标准)?
PCI DSS是Payment Card Industry Data Security Standard的缩写,意为支付卡行业数据安全标准。这是由主要信用卡品牌(Visa、万事达卡、美国运通、Discover和JCB)制定的一系列安全要求,确保处理持卡人数据的企业能够安全地进行操作。PCI DSS可以视为保护敏感的客户支付信息的规则手册。
PCI DSS由独立的专家组织——PCI安全标准委员会(PCI SSC)监督。该委员会成立于2006年。这些标准适用于任何接受、传输或存储信用卡信息的组织,无论规模大小或交易量多少,包括商店和服务提供商等企业,也延伸到可能会处理卡片支付的非营利组织和其他机构。
需要注意的是,即使你将支付处理外包,仍有责任遵守PCI DSS,确保客户信用卡数据得到保护。
PCI DSS的目的是什么?
PCI DSS的主要目标是保护持卡人敏感信息的安全,包括借记卡和信用卡号码、有效期和安全码。PCI DSS通过强有力的支付安全措施,帮助企业减少数据泄露、身份盗用和信用卡欺诈。这一套标准还为组织如何处理敏感信息设定了明确的期望,为所有相关方创造了更安全的环境。
PCI DSS的6项原则
PCI DSS涵盖了12项关键要求,分为6个类别,称为控制目标。控制目标包括:
- 建立和维护安全的网络和系统
- 保护持卡人数据
- 维护漏洞管理程序
- 实施强有力的访问控制措施
- 定期监控和测试网络
- 维护信息安全政策
PCI DSS的12项要求
该标准的最新版本是2022年3月发布的PCI DSS 4.0,包括以下12项关键的合规要求:
- 安装和维护防火墙配置,以保护持卡人数据。
- 不使用供应商提供的系统密码和其他安全参数默认值。
- 保护存储的持卡人数据。
- 在开放的公共网络上对持卡人数据的传输加密。
- 保护所有系统免受恶意软件的攻击,并定期更新防病毒软件或程序。
- 开发安全的系统和应用程序并加以维护。
- 根据业务需要限制对持卡人数据的访问。
- 识别和验证对系统组件的访问。
- 限制对持卡人数据的物理访问。
- 跟踪和监控对网络资源和持卡人数据的所有访问。
- 定期测试安全系统和流程。
- 维护针对所有人员的信息安全政策。
PCI DSS合规等级
商家要确保PCI DSS合规。合规性的证明取决于商家的交易量和处理方法。对于企业或组织而言,PCI DSS合规等级主要有四个。
等级1
等级1的企业每年处理的卡片交易超过600万笔,且面临最严格的要求。这一等级的大型商家必须:
- 与第三方合格安全评估师(QSA)合作,完成年度合规报告(ROC)
- 进行季度网络漏洞扫描和年度渗透测试
- 完成合规证明(AOC),同时需要QSA签字确认
等级2
每年处理100万到600万笔卡片交易的商家属于等级2。在这个等级中,商家需要:
- 完成年度自评问卷(SAQ)
- 进行季度网络漏洞扫描
- 完成AOC
对于处于该等级的企业,可能需要第三方QSA公司对SAQ进行确认。你可能还需要提交季度网络漏洞扫描报告。
等级3
此等级适用于所有每年处理2万到100万笔卡片交易的企业和组织,以及所有电商商家。等级3要求商家:
- 完成年度SAQ
- 进行季度网络扫描
- 完成AOC
你可能还需要提交季度网络漏洞扫描报告。
等级4
等级4适用于每年交易少于2万笔的小型企业。等级4的商家需要:
- 完成年度SAQ
- 进行季度网络扫描(无需报告)
- 完成AOC
你可能还需要提交季度网络漏洞扫描报告。
PCI DSS合规的优缺点
虽然建立和维护PCI DSS需要一些成本,但这些成本远小于数据泄露可能造成的损失。更重要的是,PCI DSS合规能够建立客户信任,让这项投资物超所值。
PCI DSS的优势
- 减少安全隐患:数据安全措施增强,黑客窃取客户信息的难度就变大,这样,你的业务压力更小、受到的干扰更少。
- 加强客户联系:遵守PCI DSS向客户表明你致力于保护他们的财务信息,这有助于建立客户信任和忠诚度。
- 降低长期成本:主动保护敏感数据,可以避免与数据泄露相关的巨额罚款、昂贵的诉讼和声誉受损。
PCI DSS的缺点
- 设置成本:PCI DSS合规需要企业支付安全工具和员工培训等前期成本。
- 持续管理:保持PCI合规需要定期检查系统、升级安全保护措施,并确保员工了解最新的安全知识。
- 不断变化的环境:不断演变的威胁和技术进步意味着行业总是在变化,企业必须不断适应,以跟上时代的步伐。
- 复杂性:PCI DSS的具体要求比较复杂,你可能需要专业人士的帮助来正确设置。
PCI DSS合规的最佳做法
以下是一些让企业保持合规的最佳做法,帮助企业安全地处理客户支付信息:
- 限制访问:客户的私人数据必须限制在“知情需要”的范围内。只有岗位职责需要的员工才有权访问持卡人数据。
- 建立强大防御:购买防火墙和防病毒软件等安全工具来保护你的系统,并定期更新它们。
- 保持分离:安全的网络基础设施涉及网络分段,将持卡人数据与其他部分分开。
- 保持加密:在存储或传输客户数据时,使用加密来打乱信息,让未经授权的用户无法读取。
- 定期检查:保持系统和软件的安全补丁处于最新状态。
- 培训团队:对员工做数据安全最佳做法方面的培训,避免意外泄露。
- 强制使用强密码:设置复杂的密码和定期更改密码,并设置两步验证。
- 保留审计日志:保留详细的审计日志,用来持续监控系统活动。
- 制定计划:制定快速有效应对安全事件的计划。
- 正式化:在全公司范围内建立涵盖如何处理和保护持卡人数据的信息安全政策。
记住,PCI DSS合规是一个持续的过程。通过上述最佳做法,你可以显著降低数据泄露的风险,保护你的业务和客户。
使用Shopify Payments保持PCI DSS合规
对Shopify商家来说有个好消息:Shopify已经为你完成了这项工作。Shopify符合PCI DSS标准,也就是说,所有的Shopify商店都是合规的。
这意味着,Shopify在符合PCI标准的服务器上安全存储商家客户的账单和配送信息。Shopify通过年度评估验证合规性,并主动管理持续存在的风险。Shopify的合规涵盖了PCI标准的所有类别,适用于每个Shopify商店。
简而言之,当你选择Shopify来开设在线商店时,就不用担心PCI DSS合规的问题,因为Shopify已经投入了大量时间和资金来保护每笔交易,并维护等级1 的PCI认证。你的商店、购物车和网站托管都在保护范围内。
💡请注意:Shopify Payments仅适用于在特定国家和地区经营业务的在线商店。中国大陆的跨境商家可通过注册海外公司的方式开通此功能。
PCI DSS常见问题
PCI DSS是什么意思?
PCI DSS意为支付卡行业数据安全标准,是用于处理来自Visa、万事达卡、美国运通、Discover和JCB等主要品牌信用卡的信息安全标准。该标准罗列除了保障支付安全的最佳做法,帮助企业避免数据泄露、欺诈和身份盗用。虽然不是法律强制要求,但处理卡片支付的组织在合同上有义务满足这些要求。
PCI DSS涵盖哪4个方面?
PCI DSS涵盖四个主要领域:
- 使用卡片处理数字交易和支付
- 存储支付卡数据
- 传输持卡人信息
- 保护卡片处理环境,包括POS(销售点)设备、提供商和收单机构。
PCI DSS适用于什么?
PCI DSS适用于所有处理、传输和存储支付卡信息的组织,无论规模大小或交易数量多少都适用。它还包含对卡片处理环境的要求,包括POS设备、服务器、网络、服务提供商和第三方支付处理商。
