PCI合規性

信用卡   |   2022年7月1日

什麼是 PCI 合規性?

信用卡公司強制要求支付卡行業 (PCI) 合規性,以幫助確保支付行業中信用卡交易的安全性。支付卡行業合規性是指企業為保護持卡人提供並通過卡處理交易傳輸的信用卡數據而遵循的技術和運營標準。 PCI 合規標準由PCI 安全標準委員會制定和管理。

關鍵點

  • 遵循並實現支付卡行業數據安全標準 (PCI DSS) 的公司被視為符合 PCI 標準。
  • PCI 安全標準委員會負責制定 PCI DSS。
  • PCI DSS 有 12 個關鍵要求、78 個基本要求和 400 個測試程序,以確保組織符合 PCI。
  • 符合 PCI 標準可減少數據洩露、保護持卡人數據、避免罰款並提高品牌聲譽。
  • PCI 合規不是法律要求的,但在法院判例中被認為是強制性的。

了解 PCI 合規性

聯邦貿易委員會 (FTC)負責監督信用卡處理,因為它需要消費者保護和監督。雖然 PCI 合規性不一定有監管要求,但通過法院判例它被認為是強制性的。

一般來說,PCI 合規性是任何信用卡公司安全協議的核心組成部分。它通常由信用卡公司強制執行,並在信用卡網絡協議中進行討論。

PCI 標準委員會負責制定 PCI 合規性標準。這些標準適用於商戶處理,也已擴展到概述加密互聯網交易的要求。與信用卡行業標準制定相關的其他關鍵實體包括 The Card Association Network 和 國家自動票據交換所 (NACHA)。

PCI 合規性要求

PCI 合規標準要求商家和其他企業以安全的方式處理信用卡信息,這有助於降低持卡人的敏感金融賬戶信息被盜的可能性。如果商家不按照 PCI 標準處理信用卡信息,則信用卡信息可能會被黑客入侵並用於多種欺詐行為。此外,持卡人的敏感信息可能被用於身份欺詐

符合 PCI 意味著始終遵守 PCI 標準委員會制定的一系列指導方針。 PCI 合規性由 PCI 標準委員會管理,該組織成立於 2006 年,旨在管理信用卡的安全性。

理事會制定的要求被稱為支付卡行業數據安全標準 (PCI DSS)。 PCI DSS 有 12 個關鍵要求、78 個基本要求和 400 多個測試程序。這些準則也被認為是安全最佳實踐。其 12 項主要要求包括:

  1. 實施防火牆以保護數據
  2. 適當的密碼保護
  3. 保護持卡人數據
  4. 對傳輸的持卡人數據進行加密
  5. 使用防病毒軟件
  6. 更新軟件和維護安全系統
  7. 限制對持卡人數據的訪問
  8. 分配給有權訪問數據的人的唯一 ID
  9. 限制對數據的物理訪問
  10. 創建和監控訪問日誌
  11. 定期測試安全系統
  12. 創建記錄在案且可以遵循的政策

最新版本的 PCI DSS於 2018 年 5 月發布,稱為 3.2.1 版。總體而言,六個目標和 12 項要求概述了信用卡處理商必須持續遵循的一系列步驟。公司首先被要求評估他們的網絡和系統,其中涉及信息技術基礎設施、業務流程和信用卡處理程序。

PCI 合規性的好處

對任何安全漏洞的持續維護和評估對於盡可能避免敏感的持卡人信息(例如社會安全和駕駛執照號碼)被盜也非常重要。

作為卡片處理協議的一部分,公司必須定期提供合規報告。支付卡行業數據安全標準的監控、評估和審計都是公司安全部門的重要組成部分。

所有處理信用卡信息的公司都必須按照其信用卡處理協議的指示保持 PCI 合規性。 PCI 合規性是行業標準,沒有它的企業可能會因違反協議和疏忽而導致巨額罰款。如果沒有 PCI 合規性,公司也極易受到盜竊、欺詐和數據洩露的影響。

95%

由人為錯誤引起的網絡安全漏洞的百分比。

合規的好處包括降低數據洩露的風險,保護持卡人數據,從而避免身份盜用的機會。公司合規是一種很好的做法,因為它可以減少與數據洩露相關的任何罰款,有助於公司的品牌聲譽,讓客戶滿意並相信他們正在與負責任的公司開展業務,從而提高品牌忠誠度。

2020 年上半年,有 360 億條記錄因數據洩露而暴露。 86% 的違規行為是出於財務動機,預計 2020 年全球信息安全市場將達到 1700 億美元,財務風險甚至更高。保護持卡人數據不僅對企業有利,而且是正確的做法,確保人們不會受到負面傷害或遭受任何經濟損失。

PCI 合規性和數據洩露

PCI 合規性有助於避免欺詐活動並減少數據洩露。 Verizon 在其“Verizon 支付安全報告”中提供了支付安全年度評估。 2019 年報告用一整節來介紹 PCI DSS,稱為“2019 年 PCI DSS 合規性狀態:以及 12 項關鍵要求”。 “Verizon 2019 支付安全報告”中的一些 PCI DSS 亮點包括:

  • 36.7% 的組織在 2018 年積極維護 PCI DSS 計劃。
  • 亞太地區的表現優於美洲、歐洲、中東和非洲。
  • 從行業的角度來看,酒店業在一定程度上落後於其他行業。

PCI 合規性常見問題解答

PCI合規是什麼意思?

符合 PCI 意味著任何接受、傳輸或存儲持卡人私人數據的公司或組織都符合 PCI 安全標準委員會概述的各種安全措施,以確保數據的安全和私密。

法律要求 PCI 合規嗎?

沒有要求遵守 PCI 的監管要求,但通過法院判例它被認為是強制性的。

如何獲得 PCI 合規性?

要符合 PCI 標準,您必須首先確定您需要遵循哪份自我評估問卷才能符合要求。完成問卷後,您需要完成並持有通過 PCI SSC 批准的掃描供應商的漏洞掃描的證據。掃描僅適用於部分商戶。然後,您需要完成合規證明。最後一步是提交上述所有信息。

誰必須符合 PCI 標準?

任何接受、傳輸或存儲持卡人私人數據的公司或組織。

歸納總結

PCI 合規性是指組織需要實施和維護的 PCI 安全標準委員會制定的技術和操作標準。符合 PCI 標準的目標是保護持卡人數據,並適用於任何接受、傳輸或存儲該數據的組織。符合 PCI 標準是一種良好的商業實踐,因為它將消費者數據的安全放在首位,並通過積極的品牌聲譽使組織受益。

推薦閱讀

相關文章

羅斯 IRA 的最佳共同基金

在為Roth IRA (一種稅收優惠的個人退休賬戶)構建投資組合時,有多種投資選擇可供選擇。大多數為退休儲蓄並希望建立長期買入並持有投資組合的投資者都需要股票和債券的組合。投資單一的廣泛股票指數基金和單一的廣泛債券指數基金就足夠了。

指標排名前 10 位的最大保險公司

有多種方法可以對保險公司的規模進行排名。公司可以通過其市值(公司在證券交易所的價值)或使用銷售數據來衡量,例如一年內的淨保費或售出的保單數量。在這裡,我們按市值、市場份額和收入研究了前 10 家最大的保險公司。概要保險公司是全球金融經濟的重要參與者,儘管它們可能不像投資銀行或對沖基金那樣浮華。

什麼是外部轉賬?

外部轉賬是一種以電子方式將資金從一個金融機構的賬戶轉移到另一個金融機構的賬戶的方法。外部轉賬可用於在您在不同銀行持有的賬戶之間轉移資金;向朋友或家人的銀行賬戶匯款;甚至支付賬單或支付服務費用。外部轉賬只是您可以進行的不同類型的轉賬之一,您可以從普通銀行賬戶使用幾種不同類型的外部轉賬。

保險經紀人如何賺錢?

保險經紀人是一名專業人士,充當消費者和保險公司之間的中介,幫助前者找到最適合他們需求的保單。保險經紀人代表消費者,而不是保險公司;因此,他們不能代表保險公司約束保險範圍。這就是保險代理人的作用,他們代表保險公司,可以完成保險銷售。保險經紀人通過向個人或企業出售保險來賺取佣金。

拿現金還是再投資股息?優點和缺點

當您擁有的股票或基金支付股息時,您可以將現金收入囊中並像使用任何其他收入一樣使用它,或者您可以將股息再投資以購買更多股票。手頭有一點額外的現金可能很吸引人,但從長遠來看,將股息再投資確實可以獲得回報。重點摘要股息是公司或基金以每股為基礎給予其股東的獎勵(通常是現金)。

SWIFT 系統的工作原理

用於電子資金轉賬的 SWIFT需要匯款到海外嗎?今天,走進一家銀行並在全球任何地方匯款都很容易,但這是怎麼發生的呢?大多數國際貨幣和證券轉賬的背後是環球銀行金融電信協會 (SWIFT)系統。 SWIFT 是銀行和其他金融機構用來快速、準確、安全地發送和接收信息(例如匯款指令)的龐大信息網絡。

相關詞條

教師保險和年金協會 (TIAA)

什麼是教師保險年金協會(TIAA)?教師保險和年金協會 (TIAA) 是一家金融組織,為學術、研究、醫療、政府和文化領域的非營利行業組織工作的人員提供投資和保險服務。 TIAA 的歷史可以追溯到已故的Andrew Carnegie ,他的卡內基促進教學基金會創建了最初的組織,以滿足教授的養老金需求。

電匯 (TT) 定義

什麼是電匯 (TT)?電匯 (TT) 是一種電子轉賬方式,主要用於海外電匯交易。這些轉賬最常用於參考英國銀行系統中的清算所自動支付系統(CHAPS) 轉賬。電匯也稱為電傳。要點電匯是一種電子轉賬方式,主要用於海外電匯交易。電匯最常用於參考英國銀行系統中的票據交換所自動支付系統 (CHAPS) 轉賬。

電匯定義

什麼是電匯?電匯一詞是指通過由世界各地的銀行和轉賬服務機構管理的網絡進行的電子資金轉賬。電匯涉及發送和接收機構,需要發起轉賬的一方提供信息,例如收款人的姓名和帳號。這些轉賬實際上並不涉及現金的實物交換,而是以電子方式結算。電匯類型包括國內銀行和國際銀行之間的電匯。

環球銀行金融電信協會 (SWIFT)

什麼是環球銀行金融電信協會 (SWIFT)?環球銀行金融電信協會 (SWIFT) 是一個成員所有的合作社,為參與銀行之間的國際資金轉賬提供安全的信息傳遞。 SWIFT 於 1973 年由來自 15 個國家的 239 家銀行創辦,於 1977 年開始提供報文傳送服務。

全國期貨協會 (NFA)

什麼是美國國家期貨協會 (NFA)?美國全國期貨協會 (NFA) 是美國期貨和衍生品市場的獨立自律組織。 NFA 被商品期貨交易委員會 (CFTC) 指定為註冊期貨協會,其職責是維護衍生品市場的完整性,保護投資者,並確保會員履行其監管義務。關鍵要點美國全國期貨協會 (NFA) 是美國期貨和衍生品市場的獨立自律組織。

點對點加密 (P2PE)

什麼是點對點加密 (P2PE)?點對點加密 (P2PE) 是為保護電子金融交易而創建的技術標準。通過遵循這些指導方針,電子支付網絡中涉及的軟件和硬件開發人員可以確保他們的設計相互兼容並且能夠抵禦黑客的潛在攻擊。關鍵點P2PE 是一種旨在確保電子金融交易安全的技術標準。它是由主要支付處理公司組成的財團開發的。