支付卡行業合規概念以及可用方案
術語:
- PCI(Payment Card Industry):支付卡行業
- PCI compliance:支付卡行業合規
- PCI DSS(Payment Card Industry Data Security Standard):指支付卡行業數據安全標準
- PA DSS(Payment Application Data Security Standard):支付應用程序數據安全標準
- PCI SSC(PCI Security Standards Council):支付卡行業安全標準委員會
此迷你系列文章的目的是讓中小型商戶理解支付卡行業合規的概念和允許他們縮小支付卡行業合規范圍的可用方案。
1. 什么是支付卡行業合規?
隨著信用卡支付處理技術的發展,信用卡欺詐率和信用卡欺詐類型都逐漸增多。在信用卡支付處理過程,為了阻止信用卡數據被不法分子利用,支付卡行業合規需求應然而生。
盡管存在多種業務接受和使用信用卡支付,相對較少配備完善必要的工具和資源,以滿足嚴格的支付卡行業合規認證法規。結果,對于中小型商戶有一些可替代方案,允許他們跳出支付卡行業合規范圍或簡化他們的支付卡行業合規審計(減少其支付卡行業合規范圍)。
在討論這些方案的細節之前,我們先梳理安全標準委員會定義和維護的關鍵支付卡行業合規需求。
2. 支付卡行業合規標準
PCI DSS指支付卡行業數據安全標準,該標準規定了一個組織遵循的支付卡支付處理的要求。這些要求主要是為了確保信用卡數據安全并防止泄露。任何企業希望達到支付卡行業合規必須遵循PCI DSS標準。根據PCI DSS的要求,企業應該遵循的需求和目標可以在這里找到。
除了PCI DSS標準,對于使用支付卡的企業為了滿足支付卡行業合規,有一個更簡潔的標準支付卡處理軟件,稱為PA DSS,中文為支付應用程序數據安全標準。PA DSS列出了為了保護持卡人的數據,支付處理應用程序應該滿足的要求。PA DSS要求的完整列表可以在這里找到。
要跟蹤所有滿足PA DSS標準的應用程序,PCI SSC維護一個認證的應用程序列表。
簡而言之,PCI DSS是針對接受信用卡(如零售店、健身俱樂部、收藏公司及其他)支付的商家和那些提供托管模式的支付應用程序(如付款處理器、支付網關和電子錢包公司)。
另一方面,PA DSS針對軟件生產的企業,他們本身不一定使用支付卡數據,但是這些公司的軟件產品分發給最終用戶(使用信用卡支付)和安裝在用戶的機器上(或網絡上)。一般來說,PA DSS要求這些產品確保支付卡數據處理的安全性。
關于標準和其他PCI SSC文檔的更多信息可以在這里找到。
3. 支付卡行業合規的兩個模塊
宏觀上來看,PCI合規企業面臨兩個問題:
- 持卡人數據存儲 - 如何存儲信用卡,誰負責存儲信用卡?
- 持卡人數據流 - 信用卡是如何被接收的、刷卡的、鍵入密碼的,用哪一個軟件處理信用卡,如何重復使用卡?
雖然人們普遍認為如果商戶存儲卡信息,則商戶在支付卡支付合規范圍內,人們往往會誤解卡處理流程的概念不在范圍內,而實際上它在范圍內。
在后續的文章里,當評估卡存儲策略和通用的卡數據處理流程的時候,我們會提供一些向導和建議,有助于滿足支付卡行業合規的實現和較小成本的對支付卡行業合規的審計。
點擊《支付卡行業合規》閱讀原文。
【本文為51CTO專欄作者“李艷鵬”的原創稿件,轉載可通過作者簡書號(李艷鵬)或51CTO專欄獲取聯系】
