什么是pci合规性(pci compliance)？

支付卡行业（PCI）合规性是由信用卡公司授权的，以帮助确保支付行业中信用卡交易的安全。支付卡行业合规性是指企业为保障和保护持卡人提供并通过卡处理交易传输的信用卡数据而遵循的技术和操作标准。PCI合规标准由PCI安全标准委员会制定和管理。

关键要点

• 遵循并达到支付卡行业数据安全标准（PCI DSS）的公司被认为是符合PCI的。
• PCI安全标准委员会负责开发PCI DSS。
• PCI DSS有12个关键需求、78个基本需求和400个测试程序，以确保组织符合PCI。
• PCI合规性可减少数据泄露，保护持卡人的数据，避免罚款，提高品牌声誉。
• PCI合规性不是法律要求的，但通过**判例被认为是强制性的。

了解pci法规遵从性

联邦贸易委员会（FTC）有责任监督信用卡处理，因为它属于消费者保护和监督的需要。虽然PCI合规性不一定有监管授权，但通过**判例，它被视为强制性的。

一般来说，PCI合规性是任何信用卡公司安全协议的核心组成部分。它通常由信用卡公司授权，并在信用卡网络协议中讨论。

PCI标准委员会负责制定PCI合规性标准。这些标准适用于商户处理，并已扩展到概述加密互联网交易的要求。其他与信用卡行业标准制定相关的关键实体包括信用卡协会网络和国家自动清算所（NACHA）。

pci合规性要求

PCI合规标准要求商户和其他企业以安全的方式处理信用卡信息，这有助于降低持卡人敏感金融账户信息被盗的可能性。如果商家不按照PCI标准处理信用卡信息，信用卡信息可能被黑客入侵，并被用于多种欺诈行为。此外，有关持卡人的敏感信息可能用于身份欺诈。

PCI合规性意味着始终遵守PCI标准委员会制定的一系列指南。PCI合规由PCI标准委员会管理，该组织成立于2006年，旨在管理信用卡的安全性。

该委员会制定的要求被称为支付卡行业数据安全标准（PCI DSS）。PCI DSS有12个关键需求、78个基本需求和400多个测试程序。这些准则也被视为安全最佳做法。其12项主要要求包括：

1. 实施防火墙以保护数据
2. 适当的密码保护
3. 保护持卡人数据
4. 传输的持卡人数据加密
5. 使用防病毒软件
6. 更新软件和维护安全系统
7. 限制对持卡人数据的访问
8. 分配给有权访问数据的人的唯一ID
9. 限制对数据的物理访问
10. 创建和监视访问日志
11. 定期测试安全系统
12. 创建一个有文档记录并且可以遵循的策略

PCI DSS的最新版本于2018年5月发布，称为3.2.1版。总的来说，这六个目标和12个要求概述了信用卡处理者必须持续遵循的一系列步骤。公司首先被要求评估他们的网络和系统，包括信息技术基础设施、业务流程和信用卡处理程序。

pci合规性的好处

对任何安全漏洞的持续维护和评估对于尽可能避免敏感持卡人信息（如社保和驾照号码）被盗也非常重要。

公司必须定期提供合规报告，作为其卡处理协议的一部分。对支付卡行业数据安全标准的监控、评估和审计都是公司安全部门的重要组成部分。

所有处理信用卡信息的公司都必须按照其卡处理协议的指示维护PCI合规性。PCI合规性是行业标准，如果没有PCI，可能会对违反协议和疏忽行为处以实质性罚款。如果没有PCI法规遵从性，公司也极易遭受盗窃、欺诈和数据泄露的影响。

95%

百分比

合规的好处包括降低数据泄露的风险，保护持卡人数据，从而避免身份被盗的机会。对公司来说，遵守法规是一种良好的做法，因为它可以减少与数据泄露相关的罚款，有助于提高公司的品牌声誉，让客户感到高兴，并对他们与负责任的公司开展业务充满信心，从而提高品牌忠诚度。

2020年上半年，有360亿条记录因数据泄露而暴露。86%的违规行为是出于财务原因，预计2020年全球信息安全市场规模将达到1700亿美元，财务风险更高。保护持卡人数据不仅有利于业务，而且也是正确的做法，确保人们不会受到负面伤害或遭受任何经济损失。

pci合规性和数据泄露

PCI法规遵从性有助于避免欺诈活动并减少数据泄露。Verizon在其“Verizon支付安全报告”中提供了支付安全的年度评估。“2019年报告”将整个章节专门介绍PCI DSS，称为“2019年PCI DSS合规状态：和12项关键要求”。“Verizon 2019年支付安全报告”中的一些PCI DSS重点包括：

• 2018年，36.7%的组织积极维护PCI DSS计划。
• 亚太地区的表现优于美洲、欧洲、中东和非洲。
• 从行业角度看，酒店业的发展稍落后于其他行业。

pci法规遵从性常见问题

pci兼容意味着什么？

PCI合规性是指接受、传输或存储持卡人私人数据的任何公司或组织均符合PCI安全标准委员会概述的各种安全措施，以确保数据安全和保密。

pci合规性是否符合法律要求？

没有要求PCI合规的监管授权，但通过**判例，它被视为强制性的。

如何获得pci兼容？

要成为PCI合规者，您必须首先确定您需要遵循哪些自我评估问卷才能成为合规者。完成调查问卷后，您需要填写并持有PCI SSC批准的扫描供应商提供的通过漏洞扫描的证据。扫描只适用于部分商户。然后您需要完成合规性证明。最后一步是提交上述所有信息。

谁必须符合pci？

接受、传输或存储持卡人私人数据的任何公司或组织。

底线

PCI合规性是指PCI安全标准委员会制定的组织需要实施和维护的技术和操作标准。PCI兼容的目标是保护持卡人数据，并适用于任何接受、传输或存储该数据的组织。遵从PCI是一种良好的商业实践，因为它将消费者数据的安全性放在首位，并通过正面的品牌声誉使组织受益。