一文带你读懂什么是全球支付行业的PCI认证
根据支付卡行业数据安全标准委员会(PCI SSC)的统计,平均每一次数据泄露会造成约380万美元的损失。
数据安全问题是全球商户的命门。一旦数据安全出现纰漏,损失无法估量。
对于中国出海商户来说,是否通过支付卡银行数据安全标准(PCI DSS)认证是消费者能否信赖其数据保护和支付平台安全性的关键。
本文将为你全方位的介绍PCI 合规事宜,并与您分享Adyen多年积累的经验,帮助您逐步完成PCI合规要求,从源头避免数据泄露问题确保企业可持续性发展。
*免责声明:本文仅供参考,不用作官方建议。如有相关问题请咨询您的收单行或PCI DSS官方评估员。
01
什么是全球PCI合规
全称:支付卡行业数据安全标准(PCI DSS)
设立机构:PCI安全标准委员会(PCI SSC)
目标:防止持卡人信息被盗
02
您需要做什么
要达到支付卡行业数据安全标准(PCI DSS),您必须满足PCI DSS标准中针对不同业务类型的要求,还要填写一到两张PCI安全标准委员会制定的表格。下面,我们将重点介绍最常见的表格:自查表A(英文简称SAQ A),这是一种为您评估PCI合规要求的工具,全球适用。
为了便于理解,可以把PCI DSS要求的基础部分划分为三个安全操作:
-
不要使用预设的用户名和密码,也不要使用任何出厂设置。
-
使用强密码和唯一用户ID,密码至少要有7个字符(包括数字、字母和特殊字符)。
-
新的软件补丁一经发布就及时更新。
03
PCI DSS简介
PCI DSS的全称:支付卡行业数据安全标准(Payment Card Industry Data Security Standards)
PCI DSS的目的:为了保护持卡人数据,减少欺诈,并最大程度降低将恶意攻击导致数据泄露的可能性降至最低
PCI DSS的适用对象:所有收集、处理、存储或传输持卡人(即消费者)数据的公司
每个接受信用卡付款的企业都必须遵守PCI DSS。即使PCI DSS不属于任何法律,该标准仍在全世界范围内广泛实施。
每家企业每年都必须通过完成一份正式的PCI SSC验证文件来确保其遵守了PCI DSS。不遵守这些要求的机构将面临相当严厉的罚款和惩处措施。
实现PCI合规可将恶意攻击导致数据泄露的可能性降到最低,但它不能完全消除这种风险。然而,如果遇到问题的公司已采取所有必要措施以符合PCI DSS的要求,则银行卡机构可能会大大降低或取消对它的PCI罚款。
04
商户实现PCI合规的七个步骤
1. 绘制持卡人的数据流向图
创建一个准确的数据流向图来展示持卡人的移动数据。这包括所有的应用程序、系统和处理信用卡数据的人员,人员包括内部员工和服务提供商。制图过程通常是在IT人员的协助下完成的。
2. 划定数据保护范围
数据保护的范围包括一切与持卡人数据有互动或可能影响持卡人数据安全的人员、流程和技术。
3. 进行评估
根据SAQ A自查表评估您当前的PCI合规水平。完成评估的人员应具备足够的知识才能进行相关测评。
4. 修改环节
你可能会发现你的企业至少有一项标准不达标。如果发生这种情况的话,您需要对您的业务进行必要的安全改进。
5. 填写自查表(SAQ) A
这份问卷应由具有签署安全相关事项的专业人员来填写和签署,这可以是公司的的首席安全官或首席技术官。
6. 将文件提交给您合作的支付服务商(譬如Adyen)
一旦您完成了您的表格,您可以将它们提交。
7. 进行定期监测
PCI DSS并不是一个一次性事件,您需要持续进行合规监测,才能确保您符合PCI合规。
05
如何完成PCI合规操作
一开始,您可能会对PCI合规操作毫无头绪,但其实步骤并没有那么复杂。
其中步骤之一是完成一份自查表SAQ A。所有商户需要自行填写,但支付服务商可以提供合规和表格填写方面的指导和协助。
一般来说,根据商户支付业务的不同,提交的文件也会有所不同。请注意:本文提到的SAQ问卷的适用对象是年交易量少于6百万美金的商户,对于更大型的商户,可以访问Adyen的文档页面了解完整的PCI DSS文件与表格分类(请扫下方二维码)。
对于出海商户的业务发展,数据安全与合规常常会被置于次要位置。但合规出海越来越重要了,也成为了跨境出海业务的先决条件之一。
遵循PCI标准并不像很多商户想象的那样困难,可以借助于支付服务商提供的加密解决方案以及PCI兼容平台,商户从而无法访问未加密的持卡人数据,PCI DSS合规所需的工作也减少了,为商户节省了大量处理PCI合规相关的时间与精力。
06
PCI的下一步安排是什么
目前,下一个版本的PCI(第4版)即将推出。第四版PCI颁布的时间表请见下图,我们会持续为您更新最新,让商户、消费者乃至整个世界拥有一个更安全的支付空间。
来源:
https://blog.pcisecuritystandards.org/pci-dss-v4-0-anticipated-timelines-and-latest-updates
— End —
点击“阅读原文”,浏览“PCI合规的更多相关信息”
更多阅读推荐
微信后台回复关键词
获取你想要的信息
解决方案、案例、白皮书、报告
招聘、客服
Adyen公司简介
作为全球众多领先企业首选的支付平台,Adyen (AMS ADYEN)为企业提供一站式支付平台服务,将商户连接至涵盖Visa、Mastercard及全球消费者偏好的付款方式,并可用于互联网、手机及门店POS机支付,提供快捷、可靠的付款体验。Adyen在全球设有多个分支机构。目前,Adyen的客户有国泰航空、微软、欧莱雅、丝芙兰、eBay、Uber、Facebook及阿里巴巴集团等。
