什么是 PCI 合规性?
信用卡公司强制要求支付卡行业 (PCI) 合规性,以帮助确保支付行业中信用卡交易的安全性。支付卡行业合规性是指企业为保护持卡人提供并通过卡处理交易传输的信用卡数据而遵循的技术和运营标准。 PCI 合规标准由PCI 安全标准委员会制定和管理。
要点
- 遵循并实现支付卡行业数据安全标准 (PCI DSS) 的公司被视为符合 PCI 标准。
- PCI 安全标准委员会负责制定 PCI DSS。
- PCI DSS 有 12 个关键要求、78 个基本要求和 400 个测试进程,以确保组织符合 PCI。
- 符合 PCI 标准可减少数据泄露、保护持卡人数据、避免罚款并提高品牌声誉。
- PCI 合规不是法律要求的,但在法院判例中被认为是强制性的。
了解 PCI 合规性
联邦贸易委员会 (FTC)负责监督信用卡处理,因为它需要消费者保护和监督。虽然 PCI 合规性不一定有监管要求,但通过法院判例它被认为是强制性的。
一般来说,PCI 合规性是任何信用卡公司安全协议的内核组成部分。它通常由信用卡公司强制运行,并在信用卡网络协议中进行讨论。
PCI 标准委员会负责制定 PCI 合规性标准。这些标准适用于商户处理,也已扩展到概述加密互联网交易的要求。与信用卡行业标准制定相关的其他关键实体包括 The Card Association Network 和 国家自动票据交换所 (NACHA)。
PCI 合规性要求
PCI 合规标准要求商家和其他企业以安全的方式处理信用卡信息,这有助于降低持卡人的敏感金融账户信息被盗的可能性。如果商家不按照 PCI 标准处理信用卡信息,则信用卡信息可能会被黑客入侵并用于多种欺诈行为。此外,持卡人的敏感信息可能被用于身份欺诈。
符合 PCI 意味着始终遵守 PCI 标准委员会制定的一系列指导方针。 PCI 合规性由 PCI 标准委员会管理,该组织成立于 2006 年,旨在管理信用卡的安全性。
理事会制定的要求被称为支付卡行业数据安全标准 (PCI DSS)。 PCI DSS 有 12 个关键要求、78 个基本要求和 400 多个测试进程。这些准则也被认为是安全最佳实践。其 12 项主要要求包括:
- 实施防火墙以保护数据
- 适当的密码保护
- 保护持卡人数据
- 对传输的持卡人数据进行加密
- 使用防病毒软件
- 更新软件和维护安全系统
- 限制对持卡人数据的访问
- 分配给有权访问数据的人的唯一 ID
- 限制对数据的物理访问
- 创建和监控访问日志
- 定期测试安全系统
- 创建记录在案且可以遵循的政策
最新版本的 PCI DSS于 2018 年 5 月发布,称为 3.2.1 版。总体而言,六个目标和 12 项要求概述了信用卡处理商必须持续遵循的一系列步骤。公司首先被要求评估他们的网络和系统,其中涉及信息技术基础设施、业务流程和信用卡处理进程。
PCI 合规性的好处
对任何安全漏洞的持续维护和评估对于尽可能避免敏感的持卡人信息(例如社会安全和驾驶执照号码)被盗也非常重要。
作为卡片处理协议的一部分,公司必须定期提供合规报告。支付卡行业数据安全标准的监控、评估和审计都是公司安全部门的重要组成部分。
所有处理信用卡信息的公司都必须按照其信用卡处理协议的指示保持 PCI 合规性。 PCI 合规性是行业标准,没有它的企业可能会因违反协议和疏忽而导致巨额罚款。如果没有 PCI 合规性,公司也极易受到盗窃、欺诈和数据泄露的影响。
95%
由人为错误引起的网络安全漏洞的百分比。
合规的好处包括降低数据泄露的风险,保护持卡人数据,从而避免身份盗用的机会。公司合规是一种很好的做法,因为它可以减少与数据泄露相关的任何罚款,有助于公司的品牌声誉,让客户满意并相信他们正在与负责任的公司开展业务,从而提高品牌忠诚度。
2020 年上半年,有 360 亿条记录因数据泄露而暴露。 86% 的违规行为是出于财务动机,预计 2020 年全球信息安全市场将达到 1700 亿美元,财务风险甚至更高。保护持卡人数据不仅对企业有利,而且是正确的做法,确保人们不会受到负面伤害或遭受任何经济损失。
PCI 合规性和数据泄露
PCI 合规性有助于避免欺诈活动并减少数据泄露。 Verizon 在其“Verizon 支付安全报告”中提供了支付安全年度评估。 2019 年报告用一整节来介绍 PCI DSS,称为“2019 年 PCI DSS 合规性状态:以及 12 项关键要求”。 “Verizon 2019 支付安全报告”中的一些 PCI DSS 亮点包括:
- 36.7% 的组织在 2018 年积极维护 PCI DSS 计划。
- 亚太地区的表现优于美洲、欧洲、中东和非洲。
- 从行业的角度来看,酒店业在一定程度上落后于其他行业。
PCI 合规性常见问题解答
PCI合规是什么意思?
符合 PCI 意味着任何接受、传输或存储持卡人私人数据的公司或组织都符合 PCI 安全标准委员会概述的各种安全措施,以确保数据的安全和私密。
法律要求 PCI 合规吗?
没有要求遵守 PCI 的监管要求,但通过法院判例它被认为是强制性的。
如何获得 PCI 合规性?
要符合 PCI 标准,您必须首先确定您需要遵循哪份自我评估问卷才能符合要求。完成问卷后,您需要完成并持有通过 PCI SSC 批准的扫描供应商的漏洞扫描的证据。扫描仅适用于部分商户。然后,您需要完成合规证明。最后一步是提交上述所有信息。
谁必须符合 PCI 标准?
任何接受、传输或存储持卡人私人数据的公司或组织。
结论
PCI 合规性是指组织需要实施和维护的 PCI 安全标准委员会制定的技术和操作标准。符合 PCI 标准的目标是保护持卡人数据,并适用于任何接受、传输或存储该数据的组织。符合 PCI 标准是一种良好的商业实践,因为它将消费者数据的安全放在首位,并通过积极的品牌声誉使组织受益。