关于PCI合规性，您需要了解的一切

在线接受付款存在一定的风险。总会有欺诈者试图从不安全的网络窃取付款信息，这就是为什么PCI合规性比以往任何时候都更重要。

如果您通过网站接受付款，了解PCI合规性及其对您业务的意义非常重要。如果您不认真对待，可能会让您的客户和您的业务面临不必要的风险。

一份2017年Verizon数据泄露事件报告发现，当年发生了近42,068起数据安全事件。不要让您的企业成为其中之一。

您可能以前听说过PCI合规性，但您可能不知道它是什么以及为什么它很重要。在这篇文章中，我们将为您详细解析。

什么是PCI DSS？

PCI DSS是支付卡行业数据安全标准的缩写。它是由PCI安全标准委员会（PCI SSC）制定的一系列关于企业如何处理信用卡付款的标准。

PCI SSC由主要的信用卡公司：Visa、MasterCard、American Express、Discover和JCB发起。最初，它们都有自己独特的安全标准，但在2006年联合起来对所有标准进行了统一。

该计划的目的是保护敏感的消费者信息，包括信用卡号码。这对消费者有利，因为它降低了企业滥用其个人信息或黑客和诈骗者窃取信息的可能性。这也有利于支付处理行业，因为它降低了拒付和坏账的可能性。

虽然PCI合规性不是一项法律，但如果您想与这些公司中的任何一家合作，您就必须遵守这些标准（如果您想处理信用卡，几乎必须遵守）。

哪些信息被视为敏感信息？主账号、持卡人姓名、有效期、服务代码、磁条数据、芯片、CAV2、CVC2、CVV2、CID、PIN码、PIN块以及您用于处理交易的任何其他信息。

PCI DSS设定了12项要求，您需要遵守这些要求才能安全地接受、存储、处理和传输持卡人数据。如果您未能遵守其中任何一项，您就不合规。每项要求都解决了信息安全的一个重要组成部分。

1. 安装并维护防火墙配置以保护持卡人数据。
2. 不要使用供应商提供的默认系统密码和其他安全参数。
3. 保护已存储的持卡人数据。
4. 加密通过开放、公共网络传输的持卡人数据。
5. 保护所有系统免受恶意软件侵害，并定期更新防病毒软件或程序。
6. 开发并维护安全的系统和应用程序。
7. 根据业务需要限制对持卡人数据的访问。
8. 识别和验证对系统组件的访问。
9. 限制对持卡人数据的物理访问。
10. 跟踪和监控对网络资源和持卡人数据的所有访问。
11. 定期测试安全系统和流程。
12. 制定一项针对所有人员的信息安全政策。

如果您进行任何类型的财务交易，您有责任遵守 PCI 标准。这包括通过电话接受信用卡。

此外，您有责任确保任何为您提供软件或服务的供应商，或您雇用的任何公司或个人，都遵守 PCI 标准。

例如，如果您使用 Stripe 处理信用卡付款，如果其服务被发现不合规，您可能会承担责任。（幸运的是，Stripe 的风险不大，这就是我们推荐他们的原因。）

无论您的业务规模如何，即使您每年只处理一笔交易，也需要遵守 PCI 标准。否则，您可能会面临严厉的处罚。

如需获取最新信息，最好访问 PCI SSC 网站。他们的标准会定期更改，并且会根据您的业务而变化，因此您需要及时了解最新信息。请熟悉其 商户页面 的内容。

PCI 商户级别

您需要的安全级别取决于您每年处理的付款数量。您处理的交易越多，对黑客和恶意攻击者的吸引力就越大，因此 PCI 合规性分为 四个级别：

1 级适用于每年处理超过六百万笔交易的商户。他们需要接受经批准的扫描供应商进行的季度网络扫描和合格安全评估师进行的年度合规报告。他们还必须接受渗透测试。

2 级适用于每年处理一百万至六百万笔交易的商户。他们需要提交年度自我评估问卷 (SAQ)、由合格安全评估师 (QSA) 进行的一次现场评估、季度网络扫描和渗透测试。

3 级适用于每年处理两万至一百万笔交易的企业。4 级适用于每年处理少于两万笔交易的企业。两者都需要进行年度自我评估问卷、季度网络扫描以及其他一些要求。大多数企业属于 4 级，即最低类别。

在某些情况下，PCI SSC 会根据商户的业务类型（有些风险较高）或其过去是否遭受过数据泄露，将其提升到更高的级别。

不合规的处罚

如果您不遵守 PCI 标准，您将面临数据泄露的风险。如果恶意人员获取了您客户的付款信息并制造了虚假收费，信用卡公司将被迫承担非法费用，因此他们对不合规非常重视。

支付品牌（Visa、MasterCard、American Express、Discover 和 JCB）可自行决定对不合规的商户、银行或其他支付处理供应商处以罚款。这些罚款通常每月在 5,000 美元至 10,000 美元之间。

您还可能需要支付换卡费用（当信用卡用户因账户或卡被泄露而需要更改账户或卡时）以及昂贵的业务法证审计费用。

更糟糕的是，您可能需要对因粗心处理而给客户造成的金钱损失承担民事赔偿责任。这意味着，如果您的不合规行为泄露了他们的个人信息，人们可以起诉您赔偿他们损失的钱。

此外，支付品牌有权提高您业务的费用。如果他们认为您的风险过高，他们甚至可能完全停止与您合作。信用卡品牌并未公开其收费方式，但其处罚可能对小型企业造成相当大的损害。这就是为什么了解 PCI 合规的含义以及您是否合规如此重要的原因。

支付网关

大多数商户通过 支付网关 处理交易。您可能认识 Stripe、PayPal、Authorize.net 等名称。网关是连接信用卡银行的前端平台。

这意味着您无需与信用卡银行单独签订协议。当您与网关合作时，它们会接收您提供的信息（客户的支付信息）并将该数据路由到相应的银行。它们还提供许多 欺诈检测 工具来保护所有人。

这里有个好消息：如果您使用支付网关，您很可能已经符合 PCI 标准，因为网关确保您符合。它们的整个商业模式都依赖于与信用卡品牌的良好关系，因此它们不会承担任何风险。例如，Stripe 明确禁止某些企业 使用其平台，因为这些企业风险较高。

此外，使用网关意味着您可以利用它们的声誉。例如，如果您试图直接与万事达卡签订协议，那将是昂贵的，因为万事达卡没有多少理由信任您。

但是，如果您使用 像 Stripe 这样的网关，您就不是万事达卡的客户。Stripe 才是万事达卡的客户，万事达卡信任 Stripe，因为它们一起处理了数百万笔成功的交易。这意味着 Stripe 获得的费率比您自己能获得的要好。

使用支付网关是否意味着您可以忽略 PCI 合规？绝对不是。

有很多方法可能导致您违反 PCI 合规性，而这些方法与支付网关无关。例如，如果您将客户的信用卡信息写在纸上并贴在墙上，您就违反了 PCI 标准，但支付网关无法保护您。

PCI 合规性标准会发生变化

可悲的是，数据窃贼、黑客和恶意攻击者富有创造力且技术精湛。他们适应新技术的方法与我们保护自己的速度一样快。

因此，关于 PCI 合规性，您需要了解的最后一件事是：标准会不断变化。今天可以接受的做法明天可能就行不通了。如果您自己管理付款处理，那么及时了解这些变化就至关重要，以免让自己处于危险之中。

如果您使用支付处理商（如 Stripe、PayPal、Authorize.net 等），支付处理商会帮助您保持合规（如果这是他们的功能之一），但了解不断变化的环境仍然很有益。