合规与框架
PCI DSS
别称: 支付卡行业数据安全标准, PCI
定义
适用于存储、处理或传输支付卡数据的组织的全球信息安全标准,由 PCI 安全标准委员会维护。
支付卡行业数据安全标准(PCI DSS)是行业强制的合同性标准,适用于任何存储、处理或传输主要卡组织(Visa、Mastercard、American Express、Discover、JCB)持卡人数据的组织。当前 4.0.1 版定义了 12 项高级别要求及数百项子要求,涵盖网络安全、数据加密、访问控制、漏洞管理、日志与策略。合规级别(1–4 级)依交易量而定,决定组织是填写自评问卷,还是由合格的安全评估师(QSA)出具合规报告(RoC)。
示例
- 1 级商户每年由 QSA 实地评估合规情况。
- 支付处理商通过点对点加密与令牌化减小合规范围。