什麼是 PCI 合規性，我需要符合 PCI 嗎？

PCI 合規性：它是什麼？

信用卡業務必須遵守 PCI 合規性，以幫助保護金融系統中信用卡交易的安全。 支付卡行業合規性是指公司的技術和運營要求，以保護和保存在卡處理操作期間提供的持卡人數據。 PCI 安全標準委員會制定和管理 PCI 合規標準。

了解 PCI 合規性

信用卡處理受聯邦貿易委員會 (FTC) 監管，因為它受到消費者保護和監管。 雖然沒有強制要求遵守 PCI 的立法，但它被視為法院判例所要求的。

一般來說，PCI 合規性是每個信用卡公司安全流程的關鍵組成部分。 信用卡公司經常需要它，信用卡網絡協議中也提到了它。

PCI 要求委員會負責制定 PCI 合規標準。 這些標準適用於商戶處理，並已得到增強，包括對加密互聯網交易的要求。 參與信用卡行業標準制定過程的其他重要機構是卡協會網絡和國家自動票據交換所 (NACHA)。

如果我不符合 PCI 怎麼辦？

雖然 PCI 合規性是強制性的，但一些公司所有者質疑他們是否可以避免這些標準——這是一個不道德的並且可能是災難性的想法。 如果您不符合 PCI 標準，您將面臨消費者和公司安全的風險。 如果沒有 PCI 合規性提供的保護措施，您的公司可能會面臨代價高昂的攻擊和數據洩露。

如果發生數據洩露並且您的組織不符合 PCI 標準，您可能會受到 5,000 至 500,000 美元的罰款和罰款。 然而，處罰只是違規行為所造成傷害的開始。 如果您不符合 PCI 標準，則可能會丟失您的商家帳戶，這將阻止您完全接受信用卡付款。 此外，您的公司可能會被列入控制高風險商家 (MATCH) 列表的成員警報，使您多年沒有資格建立新的商家帳戶。

此外，數據洩露可能會導致數千美元的損失、消費者尊重和信心的喪失以及您的品牌損失。 由於與非 PCI 合規相關的處罰範圍很廣，因此盡可能完全合規以避免代價高昂的罰款和其他損失始終是明智之舉。

PCI DSS 合規性的 12 項要求是什麼？

安裝和維護防火牆

防火牆有效地拒絕外部或未知組織訪問私人數據。 這些預防措施通常是抵禦黑客（惡意或其他方式）的第一道防線。 由於它們能夠防止未經授權的訪問，因此防火牆對於 PCI DSS 合規性是必要的。

有效的密碼保護

路由器、調製解調器、銷售點 (POS) 系統和其他第三方商品通常包括一般公眾可以輕鬆訪問的通用密碼和安全機制。 企業通常無法保護這些漏洞。 維護該領域的合規性涉及維護所有受密碼保護的設備和應用程序（或其他安全訪問）的列表。 使用設備/密碼清單，應實施必要的保護和設置（例如，更改密碼）。

保護持卡人的數據

第三項 PCI DSS 合規義務是以兩種方式保護持卡人數據。 持卡人數據必須使用特定算法加密。 這些加密是使用加密密鑰實現的——出於合規目的，同樣必須對其進行加密。 有必要定期維護和掃描主帳號 (PAN)，以驗證不存在未加密的數據。

加密傳輸的數據

持卡人數據通過各種傳統途徑（即支付處理器、本地商店的家庭辦公室等）發送。 當此數據傳輸到這些已知目的地時，必須對其進行加密。 此外，永遠不應將帳號提供給未知站點。

使用和維護防病毒軟件

在 PCI DSS 合規性之外，使用防病毒軟件是一種明智的做法。 但是，所有與 PAN 交互並存儲 PAN 的設備都必須安裝防病毒軟件。 該軟件應定期修補和更新。 此外，您的銷售點供應商應在無法直接部署的區域使用防病毒保護。

更新的軟件

防火牆和防病毒軟件需要定期更新。 此外，明智的做法是讓公司中的所有軟件保持最新狀態。 大多數軟件程序都包含安全措施，例如解決新發現的漏洞的補丁，作為其更新的一部分，提供了額外的保護層。 這些升級對於在與持卡人數據交互或存儲持卡人數據的設備上運行的任何軟件都具有重要意義。

限制對數據的訪問

持卡人信息必須嚴格“需知”。 所有不需要這些信息的員工、高管和第三方都應該被拒絕訪問。 根據 PCI DSS 的要求，需要詳細記錄和定期更新需要敏感數據的職責。

唯一訪問代碼

應該識別有權訪問持卡人數據的員工，並且每個員工都有各自的憑證。 例如，不應通過單一登錄訪問加密數據，多個工作人員知道用戶名和密碼。 唯一標識符可降低易感性，並在數據受損時提供更快的反應時間。

限制物理級別的訪問

有關持卡人的任何數據都必須物理存儲在安全區域。 物理寫入或鍵入的數據和以數字方式存儲的數據（例如，在硬盤驅動器上）應妥善保存在安全的房間、抽屜或櫃子中。 不僅應該限制訪問，而且每當訪問敏感數據時，都應該保留記錄以確保合規性。

管理訪問日誌

必須記錄所有涉及持卡人數據和主帳號 (PAN) 的交易。 也許最普遍的不合規問題是缺乏足夠的記錄保存和敏感數據訪問的文檔。 合規性要求跟踪進入公司的數據流以及需要訪問的頻率。 此外，跟踪訪問的軟件工具對於確保准確性是必要的。

漏洞掃描和測試

上述十項合規標準中的每一項都需要使用許多軟件產品、物理位置和人員。 許多項目可能無法正確運行、過時或出現人為錯誤。 我們可以通過遵守 PCI DSS 標准進行定期掃描和漏洞測試來降低這些風險。

關於文件的政策

合規性需要記錄設備、軟件和有權訪問的工人。 此外，持卡人數據訪問記錄將需要文件。 還需要記錄信息如何進入您的業務、在哪裡保存以及在銷售點之外使用。

PCI合規的優勢

合規優勢包括降低數據洩露風險、保護持卡人數據和避免身份盜用。 合規是企業的最佳實踐，因為它可以最大限度地減少與數據洩露相關的處罰，有利於公司的品牌聲譽，並確保消費者對他們與負責任的公司開展業務感到滿意和自信，從而提高品牌忠誠度。

根據信用卡處理協議，所有接受信用卡信息的企業都有義務保持 PCI 合規性。 PCI 合規性是行業標準，不遵守它的企業可能會因合同違約和粗心大意而受到重大處罰。 不符合 PCI 的公司也很容易受到盜竊、欺詐和數據洩露的影響。

在 Fixed.net，我們強烈建議您不要接觸卡片數據。 這意味著，使用像 Stripe 或 Braintree 這樣的提供商，其中卡數據被標記化。 卡數據不由您存儲，您甚至看不到。 客戶使用支付提供商網站上的嵌入式小部件輸入詳細信息。

PCI 合規性和 WordPress

WordPress 是開源軟件，沒有內置支付系統。相反，支付系統與 WooCommerce 等插件捆綁在一起。 這些插件通常能夠關聯第三方網關，如 Stripe。 如果您選擇不接觸卡數據的網關，那麼您不需要符合 PCI 標準。

PCI 合規性和 WooCommerce

WooCommerce 帶有許多捆綁的付款選項，您可以使用第三方插件對其進行擴展。 我們在此博客的其他各種指南中介紹了付款方式。 然而，絕大多數固定用戶傾向於使用 Stripe 和 PayPal 的組合。