一文带你了解全球支付行业的PCI认证
对于中国出海企业来说,是否通过支付卡行业数据安全标准(PCI DSS)认证是消费者能否信赖其数据保护和支付平台安全性的关键。
一
什么是PCI DSS安全标准?
PCI-DSS全称Payment Card Industry(PCI) Data Security Standard(DSS),由包含Visa、MasterCard、American Express、Discover Financial Services和JCB五大国际卡组织在内的PCI安全标准委员会共同制定,其信息安全标准分6大项12小项的要求,是目前全球最严格、级别最高的金融机构安全认证标准之一。
同时,PCI-DSS的审核过程极其严苛,企业提交PCI-DSS认证申请后,PCI-DSS会授权独立审查公司,对申请企业进行全方位、彻底的审核。而审核内容分含6大领域、12项规范、200余项审核指标,审核包括自我安全检测、漏洞分析、安全调查三大阶段,考察范围涉及硬件、软件、员工和公司管理等多项指标,并且每年至少接受一次重检。
现行标准为2022年3月31日正式发布的PCI DSS v4.0。2024年3月31日老版本PCI DSS v3.2.1将正式退出使用。
二
PCI DSS安全标准有什么用?
◆更安全
PCI-DSS在信息安全管理体系、网络安全等多方面均提出了要求。如果能够获得PCI-DSS安全认证并按要求严格实施,安全事件发生的可能性将大大降低。
◆更便捷
原先的网站支付页面通常需要填写3个页面交易信息(商家-网关-银行)。通过PCI-DSS认证后,可以将网关-银行合并为一个页面,消费者只需要填写2个页面信息,缩减了支付流程。
三
PCI DSS标准有哪些?
PCI DSS 认证标准非常严格,内容涵盖6大领域、12项规范、包含网络安全、信息安全、持卡人信息保护等近300个项目监测。
01建立并维护安全的网络
·安装于维护防火墙设定以保护持卡人资料。
·对于系统密码及其他安全参数,不能使用供应商提供的预设值(默认密码)。
02保护持卡人信息
·保护存储的持卡人资料。
·加密通过开放的公用网络传输的持卡人资料。
03维护漏洞管理程序
·使用并定期更新杀毒软件或程序。
·开发并维护安全系统和应用程序。
04实施严格的存储控制措施
·限制为只有业务需要的人才能存取持卡人资料。
·为具有电脑存取权的每个人指定唯一的ID。
·限制对持卡人资料的实际存储。
05定期监控并测试网络
·追踪并监控对网络资源及持卡人资料的所有存取。
·定期测试安全系统和程序。
06维护信息安全政策
·维护满足所有人员信息安全需求的政策。
作为行业内领先的跨境支付服务提供商,凭借严谨的风控体系和先进信息数据安全管理水平,光子易PhotonPay连续多年获得国际卡支付行业PCI-DSS Level1最高级别安全认证,在处理付款和存储数据两方面均严格遵守最严苛的数据保护PCI合规要求,在数据安全、资金安全、隐私安全等方面致力于打造可信赖的数字支付安全生态,力所能及地为出海企业保驾护航!
内容来源参考:PCI DSS、国旅运通服务号等