什么是PCI合规性,什么是12 PCI要求?

  • 9分钟阅读
PCI遵从性

阅读更多

大多数零售企业接受信用卡支付,这意味着他们需要满足PCI合规性要求。

接受信用卡付款可以让顾客通过多种付款方式为你的产品付款,比如手机钱包无卡交易交易

但是处理信用卡支付意味着处理持卡人的数据,这需要您采取特定的安全措施来保护您的客户和您的业务。

虽然消费者使用不同的信用卡支付方式,特别是通过tap-to-pay非接触式支付在美国,小企业主常常难以理解如何满足PCI遵从性要求。

无论您是第一次接受信用卡还是已经习惯使用信用卡支付,理解和满足PCI合规性要求都是很复杂的。在本文中,您将确切地了解什么是PCI遵从性以及如何满足需求。

目录表

什么是PCI合规性?

支付卡行业(PCI)遵从性是处理借记卡和信用卡交易的组织的一组安全需求。支付卡行业遵从性包括企业必须满足的技术和操作要求,以保护持卡人共享的信用卡数据。

这个标准是由安全标准委员会要加大对支付数据的控制,防止欺诈。你可以创建一个PCI合规性检查表来指导你和你的团队。

谁必须符合PCI标准?

如果您的企业接受信用卡作为一种支付方式,那么您的软件和主机必须是PCI兼容的。

处理、接受、传输或存储支付卡数据的任何类型的业务,无论大小或处理量如何,都必须符合PCI标准。

即使你只处理两个信用卡交易每个月,您必须遵守PCI要求。

如果你经营一家第三方支付处理商,你必须遵守PCI标准。即使您不存储信用卡数据,但它通过您的服务器,您仍然需要遵守PCI要求。

由于不符合PCI标准,公司将其客户和业务置于风险之中。没有PCI合规性的保护,您的企业可能面临昂贵的数据攻击和泄露风险。

使用Shopify进行在线和面对面销售

Shopify POS是统一电子商务和商店销售和数据的最简单方法。拥有管理库存、跟踪性能、了解客户以及在一个易于理解的后台办公室中到处销售所需的所有工具。

PCI遵从性要求

PCI遵从性是一个持续的过程,需要对当前的安全系统和实践进行定期评估。这是一个“遵守一次,然后忘记它”的过程。相反,它需要持续的长期努力来保证客户数据的安全。

尽管PCI遵从性对于零售企业来说可能很复杂,但这并非必须。Shopify符合1级PCI DSS认证。如果您在Shopify上托管您的商店,则默认情况下此合规性认证将扩展到您的业务。

最新的安全标准,PCI DSS版本4.0,包括12个关键要求有超过300个子要求。以下是企业必须遵循的主要PCI合规要求:

  1. 使用防火墙
  2. 安装密码保护
  3. 保护持卡人资料
  4. 加密传输的持卡人数据
  5. 使用杀毒软件
  6. 定期更新软件
  7. 限制持卡人存取资料
  8. 访问数据的唯一id
  9. 限制对数据的物理访问
  10. 创建和维护访问日志
  11. 定期测试保安系统
  12. 创建并记录策略

1.使用防火墙

安装防火墙可以帮助您构建和维护安全的网络。PCI合规性要求商家安装和维护防火墙配置,以保护持卡人的数据。

2.安装密码保护

商家需要用强大的密码保护来保护敏感的卡数据。避免使用供应商提供的默认系统密码和其他安全措施。设置自己独特的密码,让攻击者难以猜到。

3.保护持卡人资料

企业主需要采取一切预防措施来保护持卡人的数据不被盗窃或攻击。数据必须存储在安全的地方,不容易被破坏。向所有团队成员传授安全知识以及如何保护持卡人的数据。

4.加密传输的持卡人数据

为了更好地防止数据盗窃和攻击,商家必须加密通过开放和公共网络传输持卡人数据。这样,即使攻击者掌握了您的数据,他们也无法使用它。

5.使用杀毒软件

在电脑上安装防病毒软件,并定期更新,以保护硬件免受病毒侵害。定期测试杀毒软件是否处于激活状态。

6.定期更新软件

软件供应商经常更新他们的软件以包含新的安全特性。使用最新的软件更新有助于确保您尽最大努力保护敏感数据。

7.限制持卡人存取资料

限制对持卡人数据的访问权限,只允许真正需要的人访问。而不是授予整个团队访问持卡人数据的权限,只给那些在财务部门工作的人访问凭据。

专家提示:有了Shopify POS,你可以分配不同的角色和权限并为店员在没有经理批准的情况下可以在POS系统中做的事情设定界限,比如更改产品价格或在销售中应用定制折扣。

8.访问数据的唯一id

为每个具有数据访问权限的人员提供唯一的ID。当员工离开时,请确保立即更改用户名和密码,以防止数据泄露。为员工设置复杂的密码,以防止人们猜测访问凭据。

9.限制对数据的物理访问

将对数据的物理访问限制为那些需要访问其工作的团队成员。避免在电脑或纸张上储存敏感的持卡人资料。

10.创建和维护访问日志

跟踪和监控所有访问网络资源和持卡人数据与最新的访问日志。这样,如果你遭遇数据泄露,可能更容易追踪其来源。

11.定期测试保安系统

在经历数据泄露或盗窃之前,了解您的安全系统有多强或多弱,以便您可以在为时已晚之前进行必要的更改。定期与网络安全专业人员一起测试你的安全系统,以评估它们是否能够抵御攻击。

12.创建并记录策略

维护一套完整的策略,向员工和承包商解释您的信息安全业务方法。经常更新策略,以便所有团队成员都知道并理解数据安全方面的期望。

PCI合规的重要性

  • 维护系统安全
  • 保护客户数据和信任
  • 为额外的规定做好准备
  • 减少数据泄露和罚款

虽然PCI合规性不是法律,但不满足要求可能会导致昂贵的罚款、声誉损失和客户关系损害。

55%许多消费者说,一旦一家公司违背了他们的信任,他们就再也不会和这家公司做生意了。

PCI兼容可能会在开始时产生一些成本,但它将使您免于支付罚款或因缺乏信任而失去客户。

以下是PCI兼容的主要原因。

维护系统安全

在其最新数据安全报告法国科技公司泰雷兹(Thales)表示,71%的受访零售机构表示,他们在某个时候遭遇过数据泄露,39%的机构在过去12个月里遭遇过数据泄露。

大多数商家都不是网络安全专家,当涉及到创建和维护安全系统时,他们可能不确定从哪里开始。遵循PCI合规性要求可以帮助企业建立坚实的安全基础,并减少数据泄露的威胁。

保护客户数据和信任

如果你知道你的信用卡信息有可能被盗,你还会去购物吗?可能不会。客户的信任和信心会影响企业的盈利能力。如果人们对你保护他们数据的能力没有信心,他们就不太可能和你一起购物。

如果你遭遇了数据泄露,或者你的客户对你的安全没有信心,你可能会失去销售。事实上,66%的客户如果公司遭遇数据泄露,将停止购买。

数据失误成本图表

符合PCI标准,并与客户分享这一点,向消费者表明你是认真对待安全的,你正在采取措施保护他们的支付数据。这样你们俩都能安心。

专家提示:通过电子邮件发送电子收据是在结账和结账时有机地收集客户联系信息的好方法建立一个邮件列表推动你的留存率营销。ob欧宝娱乐app下载地址在给他们发送任何东西之前,确保他们选择听取你的意见。

为额外的规定做好准备

如果您已经符合PCI标准,则更容易满足未来的数据安全需求。下次出现额外的规则时,需要对当前的安全框架进行调整,而不是从头开始。OB欧宝娱乐APP

减少数据泄露和罚款

遵循12个PCI合规性要求中的每一个,可以帮助您首先防止数据泄露。但如果你遵守规定,而你的企业仍然遭受数据泄露,那么通常与泄露相关的罚款和处罚将会低得多。

数据泄露会让你的企业在金钱和客户信任方面付出巨大代价。

在更换信用卡、支付罚款、赔偿客户损失和调查等成本之间,数据泄露的平均成本使零售企业付出了代价327万美元在2021年。

这足以让大多数小型零售企业陷入困境。

如何满足PCI DSS的要求

当需要满足PCI DSS要求时,您可以从三个选项中进行选择:

  • 完整的自我评估问卷
  • 合资格保安评核员
  • 内部保安评税主任

在您选择这三个选项之一之前,请考虑您的企业的预算和安全目标。

完整的自我评估问卷

自我评估问卷(SAQ)通常更便宜和耗时比其他选项要好。对于有信心检查其安全系统并进行必要更新的零售企业主来说,自我评估可能是正确的选择。

根据你的业务规模和类型,你必须选择合适的SAQ

大卫·李,在线镜像业务的创始人Neutypechic他更喜欢使用SAQ,因为这让他放心,他的客户数据没有泄露。

我经常检查我的防火墙是否安全,所以我的客户的财务信息没有泄露。这使我能够有效地满足安全协议并监控我的在线服务器。

大卫·李,Neutypechic

同样的,创始人乔恩·林恩(Jon Lynn)我的办公舱更喜欢使用saq,因为这样更容易了解他们当前的协议,并采取正确的步骤来改进它们。因此,他们不完全依赖于自己的评估,企业也与合规专家合作。

我们会评估所有的安全协议,并相应地填写调查问卷。我们还有一名合规专家,负责所有评估、saq和报告。我们选择使用saq,因为它允许我们自我意识到我们的安全协议。把它留给评估者就像是忽视了我们的责任。

乔恩·林恩,我的办公室助手

合资格保安评核员

合格的安全评估员是外部第三方专家吗他接受过评估你公司安全的培训。他们将提供一份详细的调查结果报告,并提出改进建议。

对于希望对其安全系统进行独立评估或操作复杂系统的零售企业,合格的安全评估员可能是正确的选择。

内部保安评税主任

内部安全评估员是您企业的雇员谁负责评估和降低安全风险。此选项最适合希望在其组织中有专门从事PCI遵从性的人员的企业。

拥有已建立的系统和安全流程的大型零售企业可能更喜欢使用内部安全评估员。通过内部安全评估人员满足PCI合规性的好处是,他们已经了解您的企业的系统和安全过程。

通过雇用内部安全评估员,您可以更频繁地评估业务的安全系统,这将帮助您防止数据泄露。

确保您的零售业务符合PCI标准

不管你是开一家实体店或者建立一个弹出式商店在某种程度上,你会有客户想要用信用卡支付。要接受信用卡支付,您需要符合PCI标准。要简化PCI遵从性,请选择已经符合PCI的POS提供程序。

OB欧宝娱乐APP立即开始接受当面付款

每个Shopify计划都包括内置的支付处理,快速支付和低利率,从2.4% + 0美元起。OB欧宝娱乐APP跳过冗长的第三方激活,接受所有流行的支付方式,并开始更快地在线和面对面支付。OB欧宝娱乐APP

PCI合规性常见问题

PCI兼容是什么意思?

PCI兼容(支付卡行业数据安全标准兼容)是由支付卡行业安全标准委员会建立的一套安全标准,用于保护持卡人数据和防止欺诈。该标准旨在确保处理、存储或传输信用卡信息的企业保持安全的环境。遵从性涉及安全管理、策略、程序、网络架构、软件设计和其他关键保护措施的一组需求。

PCI兼容需要什么?

为了符合PCI标准,组织必须遵守支付卡行业数据安全标准(PCI DSS)。该标准旨在保护持卡人的数据,并确保支付交易的安全处理。要求包括维护一个安全的网络,保护持卡人的数据,定期监测和测试网络,并实施强有力的访问控制措施。

PCI合规性是法律所要求的吗?

不,PCI合规性不是法律要求的。然而,由于与支付卡处理商的合同协议,许多公司和组织有义务遵守支付卡行业数据安全标准(PCI DSS)。在大多数情况下,不遵守PCI DSS可能会导致罚款和/或终止支付卡处理服务。
主题:
存储管理