什么是PCI合规性和12个PCI要求?

大多数零售企业接受信用卡支付，这意味着他们需要满足PCI合规性要求。

接受信用卡支付可以让购物者通过多种支付方式来支付你的产品手机钱包而且无卡交易交易．

但是处理信用卡支付意味着处理持卡人数据，这就要求你采取特定的安全措施来保护你的客户和你的业务。

消费者使用不同的信用卡支付方式，特别是通过信用卡支付tap-to-pay而且非接触式支付在美国，小企业主往往难以理解如何满足PCI法规遵从性要求。

无论您是第一次接受信用卡，还是习惯了信用卡支付，理解和满足PCI合规要求都是很复杂的。在本文中，您将了解什么是PCI遵从性以及如何满足需求。

什么是PCI遵从性?

支付卡行业(PCI)合规性是处理借记卡和信用卡交易的组织的一组安全需求。支付卡行业合规包括企业必须满足的技术和操作要求，以保护持卡人共享的信用卡数据。

该标准是由PCI安全标准委员会加强对支付数据的控制，防止欺诈．

谁必须符合PCI标准?

如果您的企业接受信用卡作为支付形式，那么您的软件和主机必须符合PCI标准。

任何处理、接受、传输或存储支付卡数据的业务类型，无论其大小或处理量如何，都必须符合PCI标准。

即使你只处理两个信用卡交易每个月，您必须遵守PCI要求。

如果你经营第三方支付处理器您必须符合PCI标准。即使您不存储信用卡数据，但它通过您的服务器，您仍然需要遵守PCI要求。

由于不符合PCI标准，公司将其客户和业务置于风险之中。如果没有PCI标准的保护，您的业务可能面临代价高昂的数据攻击和泄露风险。

---

---

PCI遵从性要求

PCI合规性是一个持续的过程，需要定期评估当前的安全系统和实践。这是不一个“遵守一次，然后忘记它”的过程。相反，这是一种持续的长期努力，以确保客户数据的安全。

尽管对于零售企业来说，PCI合规性可能很复杂，但它并非必须如此。Shopify符合1级PCI DSS认证。如果您在Shopify上托管您的商店，则此合规性认证默认扩展到您的业务。

最新的安全标准，PCI DSS 4.0版本,包括12个关键要求有超过300个子需求。以下是企业必须遵循的主要PCI合规要求:

1. 使用防火墙
2. 安装密码保护
3. 保护持卡人资料
4. 加密传输的持卡人数据
5. 使用杀毒软件
6. 定期更新软件
7. 限制持卡人的数据访问
8. 访问数据的唯一id
9. 限制对数据的物理访问
10. 创建和维护访问日志
11. 定期测试安全系统
12. 创建并记录策略

1.使用防火墙

安装防火墙可以帮助您构建和维护安全的网络。PCI合规性要求商家安装和维护防火墙配置，以保护持卡人数据。

2.安装密码保护

商家需要使用强大的密码保护来保护敏感的信用卡数据。避免使用供应商提供的默认系统密码和其他安全措施。设置自己的唯一密码，攻击者很难猜到。

3.保护持卡人资料

企业主需要采取一切预防措施，保护持卡人的数据免遭盗窃或攻击。数据必须存储在安全的地方，不容易被破坏。向所有团队成员传授安全知识，以及如何保护持卡人的数据。

4.加密传输的持卡人数据

为了更好地防止数据盗窃和攻击，商家必须加密通过开放和公共网络传输持卡人数据。这样，如果攻击者掌握了您的数据，他们就不能使用它。

5.使用杀毒软件

在你的电脑上安装杀毒软件，并定期更新，以保护你的硬件免受病毒侵害。定期测试防病毒软件是否处于活动状态。

6.定期更新软件

软件供应商经常更新他们的软件以包括新的安全功能。使用最新的软件更新有助于确保您尽最大努力保护敏感数据。

7.限制持卡人的数据访问

只有真正需要的人才能访问持卡人的数据。不要授予整个团队对持卡人数据的访问权限，只给财务部门的人员访问权限。

8.访问数据的唯一id

为每个有权访问数据的人提供唯一的ID。员工离职后，请及时修改用户名和密码，防止数据泄露。为您的员工设置复杂的密码，以防止人们猜测访问凭证。

9.限制对数据的物理访问

将数据的物理访问权限限制给那些工作需要访问权限的团队成员。避免在电脑或纸张上存储敏感的持卡人数据。

10.创建和维护访问日志

通过最新的访问日志跟踪和监控所有对网络资源和持卡人数据的访问。这样，如果你遭遇数据泄露，追踪数据来源可能会更容易。

11.定期测试安全系统

在你遭遇数据泄露或盗窃之前，要知道你的安全系统有多强或多弱，以便在为时已晚之前做出必要的更改。定期与网络安全专业人员测试您的安全系统，以评估它们是否能够抵御企图攻击。

12.创建并记录策略

维护一套完整的政策，为员工和承包商解释您的信息安全业务方法。经常更新策略，以便所有团队成员了解和理解数据安全方面的期望。

PCI兼容的重要性

• 维护安全系统
• 保护客户数据和信任
• 为额外的规定做好准备
• 减少数据泄露和罚款

虽然PCI合规性不是法律，但不符合要求可能导致昂贵的罚款、声誉损失和客户关系受损。

55％的消费者表示，一旦一家公司辜负了他们的信任，他们就再也不会和它做生意了。

符合PCI标准在一开始可能会产生一些成本，但它将使您避免支付罚款或因缺乏信任而失去客户。

以下是PCI兼容的主要原因。

维护安全系统

在其最新数据安全报告法国科技公司泰利斯(Thales)表示，71%的受访零售企业表示，他们曾遭遇过数据泄露，39%的企业在过去12个月内遭到过攻击。

大多数商家都不是网络安全专家，当涉及到创建和维护安全系统时，他们可能不确定从哪里开始。遵循PCI合规性要求可以帮助企业建立坚实的安全基础，并减少数据泄露的威胁。

保护客户数据和信任

如果你知道你的信用卡信息可能会被盗，你还会去商店购物吗?可能不会。客户的信任和信心会影响企业的盈利能力。如果人们对你保护他们数据的能力没有信心，他们就不太可能和你一起购物。

如果你遭遇数据泄露，或者你的客户对你的安全没有信心，你可能会失去销售。事实上,66%的客户如果公司遭遇数据泄露，将停止购买。

符合PCI标准，并与客户共享，这表明您对安全性非常重视，并且您正在采取措施保护他们的支付数据。这会让你俩都安心。

为额外的规定做好准备

如果您已经符合PCI标准，将更容易满足未来的数据安全要求。下次出现额外的规则时，将对当前的安全框架进行调整，而不是从头开始。OB欧宝娱乐APP

减少数据泄露和罚款

遵循12个PCI遵从性要求中的每一个都可以帮助您在第一时间防止数据泄露。但如果你是合规的，而你的业务仍然遭受数据泄露，通常与泄露相关的罚款和处罚将会低得多。

数据泄露可能会让你的企业在金钱和客户信任方面损失很多。

在更换信用卡、支付罚款、赔偿客户损失和调查等成本之间，数据泄露给零售企业造成的平均损失327万美元在2021年。

这足以让大多数小型零售企业破产。

如何满足PCI DSS要求

当需要满足PCI DSS要求时，您可以从三个选项中进行选择:

• 完整的自我评估问卷
• 合格证券评估员
• 内部安全评估员

在选择三个选项之一之前，请考虑企业的预算和安全目标。

完整的自我评估问卷

自我评估问卷(SAQ)通常比较便宜和耗时比其他的选择。对于那些有信心检查他们的安全系统并进行必要更新的零售企业主来说，自我评估可能是正确的选择。

根据你的业务规模和类型，你必须选择正确的SAQ．

David Lee是在线镜子业务的创始人Neutypechic他更喜欢使用SAQ，因为这让他放心，他的客户的数据没有泄露。

我经常检查我的防火墙是否安全，所以我的客户的财务信息不会泄露。这使我能够有效地满足安全协议和监控我的在线服务器。

类似地，乔恩·林恩，的创始人我的办公豆荚他们更喜欢使用saq，因为saq可以让他们更容易了解当前的协议，并采取正确的步骤来改进它们。因此，他们不完全依赖于自己的评估，企业还与合规专家合作。

我们评估我们所有的安全协议，并相应地填写调查问卷。我们还有一名合规专家负责所有评估、SAQs和报告。我们选择使用saq，因为它允许我们对安全协议有自我意识。把它留给评估者就像忽视我们的责任。

合格证券评估员

合格的证券评估员是否有外部第三方专家他接受过评估你公司安全的培训。他们将提供一份关于调查结果的详细报告，并提出改进建议。

对于希望对其安全系统进行独立评估或操作复杂系统的零售企业，合格安全评估员可能是正确的选择。

内部安全评估员

内部安全评估员是您企业的员工谁负责评估和降低安全风险。对于希望在组织中有专人负责PCI遵从性的企业来说，此选项是最佳选择。

拥有成熟系统和安全流程的大型零售企业可能更倾向于使用内部安全评估员。通过内部安全评估人员满足PCI合规性的好处是，他们已经了解您的业务系统和安全程序。

通过聘请内部安全评估员，您可以更频繁地评估企业的安全系统，这将帮助您防止数据泄露。

确保您的零售业务符合PCI标准

不管你是在打开一个实体店或者建立一个弹出式商店在某种程度上，你会遇到想用信用卡付款的客户。要接受信用卡支付，您需要符合PCI标准。要使PCI遵从性更容易，请选择已经符合PCI遵从性的POS供应商。