什么是 PCI 合规性，我需要符合 PCI 吗？

PCI 合规性：它是什么？

信用卡业务必须遵守 PCI 合规性，以帮助保护金融系统中信用卡交易的安全。 支付卡行业合规性是指公司的技术和运营要求，以保护和保存在卡处理操作期间提供的持卡人数据。 PCI 安全标准委员会制定和管理 PCI 合规标准。

了解 PCI 合规性

信用卡处理受联邦贸易委员会 (FTC) 监管，因为它受到消费者保护和监管。 虽然没有强制要求遵守 PCI 的立法，但它被视为法院判例所要求的。

一般来说，PCI 合规性是每个信用卡公司安全流程的关键组成部分。 信用卡公司经常需要它，信用卡网络协议中也提到了它。

PCI 要求委员会负责制定 PCI 合规标准。 这些标准适用于商户处理，并已得到增强，包括对加密互联网交易的要求。 参与信用卡行业标准制定过程的其他重要机构是卡协会网络和国家自动票据交换所 (NACHA)。

如果我不符合 PCI 怎么办？

虽然 PCI 合规性是强制性的，但一些公司所有者质疑他们是否可以避免这些标准——这是一个不道德的并且可能是灾难性的想法。 如果您不符合 PCI 标准，您将面临消费者和公司安全的风险。 如果没有 PCI 合规性提供的保护措施，您的公司可能会面临代价高昂的攻击和数据泄露。

如果发生数据泄露并且您的组织不符合 PCI 标准，您可能会受到 5,000 至 500,000 美元的罚款和罚款。 然而，处罚只是违规行为所造成伤害的开始。 如果您不符合 PCI 标准，则可能会丢失您的商家帐户，这将阻止您完全接受信用卡付款。 此外，您的公司可能会被列入控制高风险商家 (MATCH) 列表的成员警报，使您多年没有资格建立新的商家帐户。

此外，数据泄露可能会导致数千美元的损失、消费者尊重和信心的丧失以及您的品牌损失。 由于与非 PCI 合规相关的处罚范围很广，因此尽可能完全合规以避免代价高昂的罚款和其他损失始终是明智之举。

PCI DSS 合规性的 12 项要求是什么？

安装和维护防火墙

防火墙有效地拒绝外部或未知组织访问私人数据。 这些预防措施通常是抵御黑客（恶意或其他方式）的第一道防线。 由于它们能够防止未经授权的访问，因此防火墙对于 PCI DSS 合规性是必要的。

有效的密码保护

路由器、调制解调器、销售点 (POS) 系统和其他第三方商品通常包括一般公众可以轻松访问的通用密码和安全机制。 企业通常无法保护这些漏洞。 维护该领域的合规性涉及维护所有受密码保护的设备和应用程序（或其他安全访问）的列表。 使用设备/密码清单，应实施必要的保护和设置（例如，更改密码）。

保护持卡人的数据

第三项 PCI DSS 合规义务是以两种方式保护持卡人数据。 持卡人数据必须使用特定算法加密。 这些加密是使用加密密钥实现的——出于合规目的，同样必须对其进行加密。 有必要定期维护和扫描主帐号 (PAN)，以验证不存在未加密的数据。

加密传输的数据

持卡人数据通过各种传统途径（即支付处理器、本地商店的家庭办公室等）发送。 当此数据传输到这些已知目的地时，必须对其进行加密。 此外，永远不应将帐号提供给未知站点。

使用和维护防病毒软件

在 PCI DSS 合规性之外，使用防病毒软件是一种明智的做法。 但是，所有与 PAN 交互并存储 PAN 的设备都必须安装防病毒软件。 该软件应定期修补和更新。 此外，您的销售点供应商应在无法直接部署的区域使用防病毒保护。

更新的软件

防火墙和防病毒软件需要定期更新。 此外，明智的做法是让公司中的所有软件保持最新状态。 大多数软件程序都包含安全措施，例如解决新发现的漏洞的补丁，作为其更新的一部分，提供了额外的保护层。 这些升级对于在与持卡人数据交互或存储持卡人数据的设备上运行的任何软件都具有重要意义。

限制对数据的访问

持卡人信息必须严格“需知”。 所有不需要这些信息的员工、高管和第三方都应该被拒绝访问。 根据 PCI DSS 的要求，需要详细记录和定期更新需要敏感数据的职责。

唯一访问代码

应该识别有权访问持卡人数据的员工，并且每个员工都有各自的凭证。 例如，不应通过单一登录访问加密数据，多个工作人员知道用户名和密码。 唯一标识符可降低易感性，并在数据受损时提供更快的反应时间。

限制物理级别的访问

有关持卡人的任何数据都必须物理存储在安全区域。 物理写入或键入的数据和以数字方式存储的数据（例如，在硬盘驱动器上）应妥善保存在安全的房间、抽屉或柜子中。 不仅应该限制访问，而且每当访问敏感数据时，都应该保留记录以确保合规性。

管理访问日志

必须记录所有涉及持卡人数据和主帐号 (PAN) 的交易。 也许最普遍的不合规问题是缺乏足够的记录保存和敏感数据访问的文档。 合规性要求跟踪进入公司的数据流以及需要访问的频率。 此外，跟踪访问的软件工具对于确保准确性是必要的。

漏洞扫描和测试

上述十项合规标准中的每一项都需要使用许多软件产品、物理位置和人员。 许多项目可能无法正确运行、过时或出现人为错误。 我们可以通过遵守 PCI DSS 标准进行定期扫描和漏洞测试来降低这些风险。

关于文件的政策

合规性需要记录设备、软件和有权访问的工人。 此外，持卡人数据访问记录将需要文件。 还需要记录信息如何进入您的业务、在哪里保存以及在销售点之外使用。

PCI合规的优势

合规优势包括降低数据泄露风险、保护持卡人数据和避免身份盗用。 合规是企业的最佳实践，因为它可以最大限度地减少与数据泄露相关的处罚，有利于公司的品牌声誉，并确保消费者对他们与负责任的公司开展业务感到满意和自信，从而提高品牌忠诚度。

根据信用卡处理协议，所有接受信用卡信息的企业都有义务保持 PCI 合规性。 PCI 合规性是行业标准，不遵守它的企业可能会因合同违约和粗心大意而受到重大处罚。 不符合 PCI 的公司也很容易受到盗窃、欺诈和数据泄露的影响。

在 Fixed.net，我们强烈建议您不要接触卡片数据。 这意味着，使用像 Stripe 或 Braintree 这样的提供商，其中卡数据被标记化。 卡数据不由您存储，您甚至看不到。 客户使用支付提供商网站上的嵌入式小部件输入详细信息。

PCI 合规性和 WordPress

WordPress 是开源软件，没有内置支付系统。相反，支付系统与 WooCommerce 等插件捆绑在一起。 这些插件通常能够关联第三方网关，如 Stripe。 如果您选择不接触卡数据的网关，那么您不需要符合 PCI 标准。

PCI 合规性和 WooCommerce

WooCommerce 带有许多捆绑的付款选项，您可以使用第三方插件对其进行扩展。 我们在此博客的其他各种指南中介绍了付款方式。 然而，绝大多数固定用户倾向于使用 Stripe 和 PayPal 的组合。