支付卡行業(yè)合規(guī)概念以及可用方案
術(shù)語(yǔ):
- PCI(Payment Card Industry):支付卡行業(yè)
- PCI compliance:支付卡行業(yè)合規(guī)
- PCI DSS(Payment Card Industry Data Security Standard):指支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)
- PA DSS(Payment Application Data Security Standard):支付應(yīng)用程序數(shù)據(jù)安全標(biāo)準(zhǔn)
- PCI SSC(PCI Security Standards Council):支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)
此迷你系列文章的目的是讓中小型商戶(hù)理解支付卡行業(yè)合規(guī)的概念和允許他們縮小支付卡行業(yè)合規(guī)范圍的可用方案。
1. 什么是支付卡行業(yè)合規(guī)?
隨著信用卡支付處理技術(shù)的發(fā)展,信用卡欺詐率和信用卡欺詐類(lèi)型都逐漸增多。在信用卡支付處理過(guò)程,為了阻止信用卡數(shù)據(jù)被不法分子利用,支付卡行業(yè)合規(guī)需求應(yīng)然而生。
盡管存在多種業(yè)務(wù)接受和使用信用卡支付,相對(duì)較少配備完善必要的工具和資源,以滿(mǎn)足嚴(yán)格的支付卡行業(yè)合規(guī)認(rèn)證法規(guī)。結(jié)果,對(duì)于中小型商戶(hù)有一些可替代方案,允許他們跳出支付卡行業(yè)合規(guī)范圍或簡(jiǎn)化他們的支付卡行業(yè)合規(guī)審計(jì)(減少其支付卡行業(yè)合規(guī)范圍)。
在討論這些方案的細(xì)節(jié)之前,我們先梳理安全標(biāo)準(zhǔn)委員會(huì)定義和維護(hù)的關(guān)鍵支付卡行業(yè)合規(guī)需求。
2. 支付卡行業(yè)合規(guī)標(biāo)準(zhǔn)
PCI DSS指支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn),該標(biāo)準(zhǔn)規(guī)定了一個(gè)組織遵循的支付卡支付處理的要求。這些要求主要是為了確保信用卡數(shù)據(jù)安全并防止泄露。任何企業(yè)希望達(dá)到支付卡行業(yè)合規(guī)必須遵循PCI DSS標(biāo)準(zhǔn)。根據(jù)PCI DSS的要求,企業(yè)應(yīng)該遵循的需求和目標(biāo)可以在這里找到。
除了PCI DSS標(biāo)準(zhǔn),對(duì)于使用支付卡的企業(yè)為了滿(mǎn)足支付卡行業(yè)合規(guī),有一個(gè)更簡(jiǎn)潔的標(biāo)準(zhǔn)支付卡處理軟件,稱(chēng)為PA DSS,中文為支付應(yīng)用程序數(shù)據(jù)安全標(biāo)準(zhǔn)。PA DSS列出了為了保護(hù)持卡人的數(shù)據(jù),支付處理應(yīng)用程序應(yīng)該滿(mǎn)足的要求。PA DSS要求的完整列表可以在這里找到。
要跟蹤所有滿(mǎn)足PA DSS標(biāo)準(zhǔn)的應(yīng)用程序,PCI SSC維護(hù)一個(gè)認(rèn)證的應(yīng)用程序列表。
簡(jiǎn)而言之,PCI DSS是針對(duì)接受信用卡(如零售店、健身俱樂(lè)部、收藏公司及其他)支付的商家和那些提供托管模式的支付應(yīng)用程序(如付款處理器、支付網(wǎng)關(guān)和電子錢(qián)包公司)。
另一方面,PA DSS針對(duì)軟件生產(chǎn)的企業(yè),他們本身不一定使用支付卡數(shù)據(jù),但是這些公司的軟件產(chǎn)品分發(fā)給最終用戶(hù)(使用信用卡支付)和安裝在用戶(hù)的機(jī)器上(或網(wǎng)絡(luò)上)。一般來(lái)說(shuō),PA DSS要求這些產(chǎn)品確保支付卡數(shù)據(jù)處理的安全性。
關(guān)于標(biāo)準(zhǔn)和其他PCI SSC文檔的更多信息可以在這里找到。
3. 支付卡行業(yè)合規(guī)的兩個(gè)模塊
宏觀上來(lái)看,PCI合規(guī)企業(yè)面臨兩個(gè)問(wèn)題:
- 持卡人數(shù)據(jù)存儲(chǔ) - 如何存儲(chǔ)信用卡,誰(shuí)負(fù)責(zé)存儲(chǔ)信用卡?
- 持卡人數(shù)據(jù)流 - 信用卡是如何被接收的、刷卡的、鍵入密碼的,用哪一個(gè)軟件處理信用卡,如何重復(fù)使用卡?
雖然人們普遍認(rèn)為如果商戶(hù)存儲(chǔ)卡信息,則商戶(hù)在支付卡支付合規(guī)范圍內(nèi),人們往往會(huì)誤解卡處理流程的概念不在范圍內(nèi),而實(shí)際上它在范圍內(nèi)。
在后續(xù)的文章里,當(dāng)評(píng)估卡存儲(chǔ)策略和通用的卡數(shù)據(jù)處理流程的時(shí)候,我們會(huì)提供一些向?qū)Ш徒ㄗh,有助于滿(mǎn)足支付卡行業(yè)合規(guī)的實(shí)現(xiàn)和較小成本的對(duì)支付卡行業(yè)合規(guī)的審計(jì)。
點(diǎn)擊《支付卡行業(yè)合規(guī)》閱讀原文。
【本文為51CTO專(zhuān)欄作者“李艷鵬”的原創(chuàng)稿件,轉(zhuǎn)載可通過(guò)作者簡(jiǎn)書(shū)號(hào)(李艷鵬)或51CTO專(zhuān)欄獲取聯(lián)系】
