PCI合规性定义 编辑

支付卡行业（PCI）合规性由信用卡帮助公司确保支付行业信用卡交易的安全。支付卡行业合规性是指业务部门为保护持卡人提供并通过卡处理交易传输的信用卡数据而遵循的技术和操作标准。PCI合规标准由PCI安全标准委员会 .

关键要点

• 遵循并达到支付卡行业数据安全标准（PCI DSS）的公司被认为是符合PCI的。
• PCI安全标准委员会负责开发PCI DSS。
• PCI DSS有12个关键需求、78个基本需求和400个测试程序，以确保组织符合PCI。
• PCI合规性可减少数据泄露，保护持卡人的数据，避免罚款，提高品牌声誉。
• PCI合规性不是法律要求的，但通过法院判例被认为是强制性的。

了解PCI法规遵从性

这个联邦贸易委员会（FTC）有责任监督信用卡处理，因为它属于消费者保护和监督的需要。虽然PCI合规性不一定有监管授权，但通过PCI合规性被视为强制性的审判程序惯例 .

一般来说，PCI合规性是任何信用卡公司安全协议的核心组成部分。它通常由信用卡公司授权，并在信用卡网络协议中讨论。

PCI标准委员会负责制定PCI合规性标准。这些标准适用于商户处理，并已扩展到概述对加密的互联网交易。其他关键实体与信用卡行业标准制定相关的还有信用卡协会网络和 国家自动信息交换所（NACHA）。

PCI合规性要求

PCI合规标准要求商户和其他业务部门以安全的方式处理信用卡信息，这有助于降低持卡人敏感金融账户信息被盗的可能性。如果商户不按照PCI标准处理信用卡信息，信用卡信息可能会被黑客入侵，并被用于多种欺诈行为。此外，有关持卡人的敏感信息可用于；身份欺诈 .

PCI合规性意味着始终遵守PCI标准委员会制定的一系列指南。PCI合规由PCI标准委员会管理，该组织成立于2006年，旨在管理信用卡的安全性。

该委员会制定的要求被称为支付卡行业数据安全标准（PCI DSS）。PCI DSS有12个关键需求、78个基本需求和400多个测试程序。 这些准则也被视为安全最佳做法。其12项主要要求包括：

1. 实施防火墙以保护数据
2. 适当的密码保护
3. 保护持卡人数据
4. 传输的持卡人数据加密
5. 使用防病毒软件
6. 更新软件和维护安全系统
7. 限制对持卡人数据的访问
8. 分配给有权访问数据的人的唯一ID
9. 限制对数据的物理访问
10. 创建和监视访问日志
11. 定期测试安全系统
12. 创建一个有文档记录并且可以遵循的策略

这个PCI DSS的最新版本 于2018年5月发布，称为3.2.1版。总的来说，这六个目标和12个要求概述了信用卡处理者必须持续遵循的一系列步骤。公司首先被要求评估他们的网络和系统，包括信息技术基础设施、业务流程和信用卡处理程序。

PCI合规性的好处

对任何安全漏洞的持续维护和评估对于避免敏感持卡人信息被盗也非常重要，例如；社会保障 和驾照号码。

公司必须定期提供合规报告，作为其卡处理协议的一部分。监测、评估和审计 支付卡行业的数据安全标准都是公司安全部门的重要组成部分。

所有处理信用卡信息的公司都必须按照其卡处理协议的指示保持PCI合规性。PCI合规性是行业标准，没有PCI合规性的业务可能会因违反协议和疏忽而受到巨额罚款。如果没有PCI法规遵从性，公司也极易遭受盗窃、欺诈和数据泄露。

95%

百分比网络安全人为错误造成的违规行为。

合规的好处包括降低数据泄露的风险，保护持卡人数据，从而避免身份被盗的机会。对公司来说，遵守法规是一个很好的做法，因为它可以减少与数据泄露相关的罚款，有助于公司的品牌名声 ，使客户感到高兴和自信，他们与一家负责任的公司开展业务，从而提高品牌忠诚度。

2020年上半年，有360亿条记录因数据泄露而暴露。86%的违规行为是出于财务原因，预计2020年全球信息安全市场规模将达到1700亿美元，财务风险更高。保护持卡人数据不仅有利于业务，而且也是正确的做法，确保人们不会受到负面伤害或遭受任何经济损失。

PCI合规性和数据泄露

PCI法规遵从性有助于避免欺诈活动并减少数据泄露。Verizon在其“Verizon payment security Report”中提供了支付安全的年度评估。2019年的报告用了一整节的篇幅介绍PCI DSS，称为“2019年PCI DSS合规状态：和12项关键要求”。一些PCI DSS重点来自“Verizon 2019支付安全报告” 包括以下内容：

• 2018年，36.7%的机构积极维护PCI DSS计划。
• 亚太地区的表现优于美洲、欧洲、中东和非洲。
• 从行业角度来看，酒店业在一定程度上落后于其他行业。

PCI法规遵从性常见问题

PCI兼容意味着什么？

PCI合规性是指接受、传输或存储持卡人私人数据的任何公司或组织均符合PCI安全标准委员会概述的各种安全措施，以确保数据安全和保密。

PCI合规性是否符合法律要求？

没有要求PCI合规的监管授权，但通过法院判例，它被视为强制性的。

如何获得PCI兼容？

要成为PCI合规者，您必须首先确定您需要遵循哪些自我评估问卷才能成为合规者。完成调查问卷后，您需要填写并持有PCI SSC批准的扫描供应商提供的通过漏洞扫描的证据。扫描只适用于部分商户。然后您需要完成合规性证明。最后一步是提交上述所有信息。

谁必须符合PCI？

接受、传输或存储持卡人私人数据的任何公司或组织。

底线

PCI合规性是指PCI安全标准委员会制定的组织需要实施和维护的技术和操作标准。PCI兼容的目标是保护持卡人数据，并适用于任何接受、传输或存储该数据的组织。遵从PCI是一种良好的商业实践，因为它将消费者数据的安全性放在首位，并通过正面的品牌声誉使组织受益。