什么是 PCI DSS 合规性？| PCI DSS定义

什么是 PCI DSS 合规性？

支付卡行业 (PCI) 合规性指需要遵守一系列针对持卡人数据的安全政策。所有使用信用卡、借记卡和/或预付卡处理交易的组织都必须遵守 PCI 合规要求。

信用卡数据需要保密才能确保安全，如果一个公司符合 PCI 合规要求，则表明可以信任该公司来保持此类数据的秘密性。就像房主不会把房子的钥匙借给他们不信任的人保管一样，如果商家不能保证数据的安全，信用卡品牌也不会把支付卡数据交给商家。

如果企业要存储、处理或传输信用卡持卡人数据 — 无论是通过互联网、电话、应用程序、纸质文件还是亲自到场，他们都必须遵循一系列规则来保护这些付款信息。

虽然美国联邦法律没有要求必须遵守 PCI 合规要求，但对未能适当保护持卡人数据的企业，信用卡公司可以征收不合规费用。更关键的是，如果不能保护持卡人数据，犯罪分子就能更容易窃取这些数据。这种盗窃是一个巨大的风险 — 根据尼尔森报告的预测，在未来 10 年，全球支付卡行业预计将因欺诈而累计损失 3970 亿美元。

什么是 PCI DSS？

PCI DSS 是指“支付卡行业数据安全标准”(PCI DSS)。PCI DSS 框架为企业提供指导，以确保持卡人交易数据和卡的身份验证信息的安全。其目的是通过制定要求来帮助预防、检测和应对安全事件，从而保护持卡人数据和身份验证数据

PCI 合规要求适用于全球范围内接受信用卡、借记卡或预付卡的每个商户。这意味着各种规模的企业 — 从街角的咖啡店到跨国设计师服装品牌 — 即使通过第三方来处理交易，都必须遵守 PCI 合规标准。

PCI DSS 覆盖的持卡人交易数据包括：

• 主账户号码：卡上的账户号码，一般为 16 位数
• 全名：持卡人姓名
• 过期日期：卡片到期的月份和年份
• 服务代码：当面交易时从卡的磁条或芯片中自动获取的数值

PCI DSS 所涵盖的敏感身份验证数据包括：

• 全程跟踪数据：卡的磁条数据或信用卡芯片上的等效数据数据
• 卡验证码：卡上的三位或四位安全代码，网上购物时几乎都会要求提供
• 过期日期：卡片到期的月份和年份
• 个人识别码 (PIN)：一个唯一的编号 — 通常是四位数 — 使自动取款机可以进行提款和其他交易

PCI DSS 框架

PCI DSS 框架包括 12 个基本要求（有 300 多个子要求）：

1. 安装和维护防火墙。
2. 不要在连网的设备上使用供应商提供的默认密码。
3. 通过加密或其他数据保护方法保护存储的持卡人数据。
4. 在开放的公共网络上对持卡人数据进行加密。
5. 防范恶意软件。
6. 维护系统和应用程序安全。
7. 限制对“需要知道”的信息以外的持卡人数据的访问。
8. 识别并验证系统组件的访问。
9. 控制并限制对持卡人数据的物理访问。
10. 监测对持卡人数据的访问。
11. 定期测试安全系统。
12. 保持信息安全政策。

注：这些只是标准的摘要版本，而不是实际的标准。更多详情请见官方 PCI 安全标准委员会网站。

PCI 标准起源于哪里？

PCI DSS 和相关安全标准由 PCI 安全标准委员会(PCI SSC) 管理，该委员会是由American Express、Discover Financial Services、JCB International、万事达卡公司和 Visa Inc. 成立的行业组织。该组织还包括商户、支付卡发行银行、刷卡服务供应商、开发商和其他供应商。

第一个版本，即 PCI DSS 1.0，于 2004 年推出。2006 年，PCI SSC 发布了 1.1 版本，该版本要求商家审查所有在线应用程序，并建立防火墙以提高安全性。

多年来，PCI DSS 不断发展，以应对数据泄露和整个卡片处理生态系统出现的漏洞。现有的 3.2.1 版本于 2018 年发布，目前与 4.0 版共存。

PCI DSS 第 4.0 版于 2022 年发布，目的是“应对新出现的威胁和技术，并使用创新方法来打击新的威胁”。各机构在 2025 年 3 月 31 日之前必须满足所有 PCI DSS 第 4.0 版的要求。

虽然 PCI DSS 的核心要求没有根本变化，但新的第 4.0 版对如何实施安全控制的关注程度有所提高。变化包括：

• 更新了网络安全控制的防火墙术语，以支持更广泛的技术
• 增加要求，对进入持卡人数据环境的所有访问实施多因素身份验证 (MFA)
• 增加企业的灵活性，演示他们如何使用不同的方法实现安全目标

这里概述了从 3.2.1 版到 4.0 版的主要变化。

如何强制执行 PCI 合规标准？

PCI 合规标准由负责进行支付处理的信用卡品牌强制执行。当商家（例如，接受支付卡作为商品和服务的支付方式的人）每年进行一定数量的支付卡交易时，需要填写一份完整的 PCI DSS 合规报告。如果不这样做，就会被罚款。

PCI DSS 的处罚基于多种因素，如违反要求严重程度、修复或补救问题所需的时间以及是否存在违规行为。如果一个公司一直不符合 PCI 合规标准，他们也有可能无法在其系统内使用信用卡进行任何支付。

PCI DSS 根据企业在 12 个月内处理的卡交易数量将企业（或按标准里称的“商户”）分为四个级别。

这四个级别*是：

• 1 级：每年在所有渠道的交易量超过六百万次
• 2 级：每年在所有渠道的交易量在一百万到六百万之间
• 3 级：每年的电子商务交易次数在 2 万至一百万之间
• 4 级：每年的电子商务交易次数少于 2 万次

商户获得 PCI 合规认证的方式因其级别而异。一般来说，他们处理的交易次数越多，合规审计的要求就越严格。

例如，2-4 级商户需要填写并提交年度自我评估问卷 (SAQ)。有不同的 SAQ 类型，具体取决于商家处理支付卡信息的方式。各企业应参考 SAQ 说明和指南来确定哪种（如果有）SAQ 适用于自己。

1 级商户（如 Cloudflare）每年处理超过六百万笔交易，每年接受一次审计。1 级商户必须收到 PCI SSC 合格安全评估师 (QSA) 或 PCI SSC 内部安全评估师 (ISA) 出具的合规报告。1 级商户需要每年或每季度进行一次这一程序，具体取决于银行卡公司。1 级商户也可能需要进行现场数据安全评估。

最后，所有商家都需要填写并提交一份“合规证明”(AOC) 表，该表可以算作是向信用卡公司说明商家符合 PCI 合规标准的声明。

*这些定义大部分是准确的，但每个信用卡品牌对合规性的定义和评估都有细微的差别，因此，必须确认每个信用卡公司的具体计划标准。

Cloudflare 能否帮助客户满足 PCI 要求？

Cloudflare 维持 PCI DSS 1 级合规性，且自 2014 年以来一直符合 PCI 规范。我们的许多客户还要求我们提供一份 AOC 的副本，这份合规证明可以向信用卡公司表明我们符合 PCI 规范。如果我们没有这一认证，我们就不能与某些客户合作，我们的收单银行也不会允许我们使用支付卡作为我们服务的支付方式。

我们还帮助客户通过他们自己的网站和应用程序维护安全。以下是说明 Cloudflare 可以如何帮助企业满足某些 PCI DSS 要求的一些例子：

• 使用 Cloudflare 网络应用程序防火墙、启用 OWASP 规则集并为其环境调整规则的客户，可以满足保护面向网络的应用程序的需要并满足 PCI 要求 6.6。
• Cloudflare 使商家能够使用最新版本的 TLS 加密，这是 PCI 合规标准的另一个重要部分。
• 许多公司依靠企业 VPN 和其他分割工具来缩小其持卡人数据环境的范围。Cloudflare Access 通过使用 Cloudflare 的全局网络作为 VPN 服务以访问内部资源，从而提供另一种分割手段。此外，这些会话可以被配置为处于不活动状态 15 分钟后超时，从而帮助客户满足第 8.1.8 点要求。
• The new requirements on client-side security, 6.4.3 and 11.6.1 in PCI DSS v4.0, specify the need to know and authorize JavaScript running on all payment pages, and the need to be alerted when any of this JavaScript is changed. Cloudflare Page Shield continuously monitors entire websites beyond just payment pages, and sends an alert when any script is changed and if it is deemed malicious.

进一步了解 Cloudflare 的网站和应用程序安全服务以及全球连通云的内置安全、隐私和合规功能。