PCI 安全标准委员会是一个负责处理支付卡行业数据安全标准的全球论坛。制定这些标准是为了解决越来越多的银行卡支付欺诈案件,并保护商家和买家。对于商家来说,完全遵守他们的标准非常重要。即使他们将付款处理分包给第三方,他们仍然有责任遵守。即使涉及任何涉及卡交易的活动的软件开发商和服务提供商也必须完全符合标准。该标准通过严格的合规措施增强卡数据安全并减少欺诈。目前使用的版本是3.2,于年4月推出。 的范围 适用于从事卡交易的商户,也适用于该商户将该服务分包给组织的一部分或第三方服务提供商的情况。在这种情况下,商家和第三方服务提供商都必须符合 标准。
它适用于链条中
的每个人,包括技术和人员,除了记 英国号码数据 录包括持卡人数据的电话对话外,它还涵盖电子数据和纸质记录。下一个考虑因素是定义组织的持卡人数据环境。这包括数据流的文档和定义涉及存储持卡人数据的应用程序,然后是网络中的防火墙、交换机、接入点和其他设备的文档。如果组织外包其支付解决方案,那么托管服务提供商需要遵守,尤其是网络加密端点。还涵盖用于处理、传输或存储持卡人数据的应用程序。 符合 PCI 标准 为了合规,组织需要接受审核。审核取决于卡品牌,可能是万事达卡、美国运通卡或维萨卡,称为支付品牌,而这些品牌又必须获得收单银行和商户以及此类商户的服务提供商的合规性。通常,组织负责审核并发布合规报告。
作为替代方案
该组织的官员可以向 提交 执行人员名单 自我评估调查问卷。为了遵守规定,商家及其服务提供商必须满足最低要求,例如: 保护持卡人数据 安全的 IT 网络 漏洞管理程序 网络监控和测试 制定强有力的信息安全政策 安全访问控制过程。 一旦该过程启动,可能需要数周时间,具体取决于各种因素。 符合 PCI 标准是一回事,另一回事是另一回事。该组织还需要定期进行测试,以确保防止渗透。 对于外行来说,这个过程是复杂且令人畏惧的。最好由 PCI 咨询专家来确保合规性。典型的咨询公司会从范围和差距分析开始,以便找出需要做什么。接下来是实施以及对员工的培训。同一顾问通常会进行合规审计并报告合规情况。其次是支持,以确保商家始终合规,因为不合规的罚款很高。
