术语:PCI(PaymentCardIndustry):支付卡行业PCIcompliance:支付卡行业合规PCIDSS(PaymentCardIndustryDataSecurityStandard):指支付卡行业数据安全标准PADSS(PaymentApplicationDataSecurityStandard):支付应用数据安全标准PCISSC(PCISecurityStandardsCouncil):支付卡行业安全标准委员会这篇小系列文章的目的是让中小商户了解支付卡行业安全标准的概念支付卡行业合规性和可用选项,使他们能够缩小支付卡行业合规性的范围。1.什么是支付卡行业合规性?随着信用卡支付处理技术的发展,信用卡诈骗的发生率和信用卡诈骗的种类都在逐渐增多。在信用卡支付处理过程中,为了防止信用卡数据被不法分子利用,支付卡行业的合规要求应运而生。虽然接受和使用信用卡支付的企业种类繁多,但配备必要工具和资源来满足严格的支付卡行业合规认证规定的企业相对较少。因此,中小商户有一些选择可以让他们走出支付卡行业合规范围或简化他们的支付卡行业合规审计(减少他们的支付卡行业合规范围)。在讨论这些举措的细节之前,我们首先回顾安全标准委员会定义和维护的主要支付卡行业合规要求。2.支付卡行业合规标准PCIDSS是指支付卡行业数据安全标准,它规定了组织遵循的支付卡支付处理要求。这些要求主要是为了保证信用卡数据的安全,防止泄露。任何希望实现支付卡行业合规的企业都必须遵循PCIDSS标准。根据PCIDSS的要求,企业应该遵循的要求和目标可以在这里找到。除了PCIDSS标准之外,对于使用支付卡的企业来说,为了满足支付卡行业的合规性,还有一个更简洁的标准支付卡处理软件,叫做PADSS,中文为支付应用数据安全标准。PADSS列出了支付处理应用程序应满足的要求,以保护持卡人数据。可在此处找到完整的PADSS要求列表。为了跟踪所有符合PADSS的应用程序,PCISSC维护了一份经过认证的应用程序列表。简而言之,PCIDSS针对的是接受信用卡支付的商户(如零售店、健身俱乐部、收款公司等)和那些提供托管模式的支付应用程序(如支付处理器、支付网关和电子交易平台)。钱包公司)。另一方面,PADSS针对的是生产软件的公司,这些软件本身不一定使用支付卡数据,但其软件产品分发给最终用户(使用信用卡支付)并安装在用户的机器上(或网络上)).一般来说,PADSS需要这些产品来确保支付卡数据处理的安全性。有关标准和其他PCISSC文档的更多信息,请参见此处。3、支付卡行业合规的两大模块从宏观上看,PCI合规企业面临两个问题:持卡人数据存储——如何存储信用卡,谁负责存储信用卡?持卡人数据流——如何接收信用卡用什么软件处理信用卡,如何再利用卡?虽然人们普遍认为,如果商户存储卡信息,则商户属于支付卡支付合规范围,但人们往往会误解卡处理过程。这个概念超出了范围,但实际上它是。在后续文章中,在评估卡存储策略和通用卡数据处理流程时,我们将提供一些指导和建议,以帮助满足支付卡行业合规和低成本支付卡行业合规的实施。标准审核。点击《支付卡行业合规》阅读原文。【本文为专栏作家“李彦鹏”原创稿件。转载可通过作者简书号(李彦鹏)或专栏取得联系】点此查看该作者更多好文
