-
- 1. 安装及维护防火墙配置,保护持卡人数据
- 2. 切勿使用供应商提供的系统密码和其它安全参数的默认设置。
-
- 3. 保护存储的持卡人数据
- 4. 在开放的公共网络上传输持卡人数据时应加密
-
- 5. 保护所有系统,防范恶意软件,定期更新防病毒软件或程序
- 6. 开发和维持安全系统与应用程序。
-
- 7. 根据业务需求,限制持卡人数据的访问权限
- 8. 识别和验证对系统组件的访问
- 9. 限制对持卡人数据的物理访问
-
- 10. 追踪并监控所有对网络资源与持卡人数据的访问
- 11. 定期测试安全系统与流程
-
- 12. 维持可满足所有人员的信息安全政策
-
每年:
- 由合格安全评估公司 (QSA) 或内部稽查员(如公司主管已签章同意)提交一份合规报告 (ROC)。我们建议内部稽查员取得支付卡行业安全标准委员会 (PCI SSC) 内部安全评估员 (ISA) 证书。
- 提交合规声明 (AOC) 表
每个季度:
- 由经许可的扫描服务提供商 (ASV) 开展季度网络扫描
-
每年:
- 完成自我评估问卷 (SAQ)
- 提交合规声明 (AOC) 表
每个季度:
- 由经许可的扫描服务提供商 (ASV) 开展季度网络扫描
-
每年:
- 完成自我评估问卷 (SAQ)
- 提交合规声明 (AOC) 表
每个季度:
- 由经许可的扫描服务提供商 (ASV) 开展季度网络扫描
-
Visa核心规则 (VCR) 管理客户金融机构的活动,并延伸至监管作为Visa支付系统参与方的商户和服务提供商。
商户的收单银行负责确保商户及商户使用的任何服务提供商符合PCI DSS。作为商户,您必须确保始终完全合规。(VCR章节ID #0002228和#0008031)。
若商户不符合PCI DSS或无法纠正安全问题,Visa或对商户的收单方开展非议从评定。收单方须承担所有评定费用,且不得声称Visa已对商户开展任何评定。(VCR章节ID #0001054)
如果在取证调查期间发现,没有证据显示在数据泄露时点和此之前发生PCI DSS非依从,则可免予评定。


全球PIN安全计划
受理PIN交易及/或为自身履行主要管理服务的商户必须遵守Visa PIN安全要求。
访问以下链接,进一步了解Visa的全球PIN安全计划:
进一步了解如何加入合格集成商或经销商 (QIR) 计划。
PCI合格集成商或经销商 (QIR)™培训与资格计划提供相关培训和工具,确保您的商户能够安全安装通过PA-DSS验证的支付系统。成为QIR后,商户将能够使用您的服务来满足支付品牌规定的要求。

进一步了解如何保护您的业务
使用集成商/经销商最大程度降低商户的支付风险 (PDF,1.2MB)
针对销售点集成商的网络犯罪 (PDF,984KB)
有效管理数据泄露 (PDF,984KB)
商户必知5大重要Visa规则 (PDF,587KB)
识别和降低电子商务支付处理面临的威胁 (PDF,1.0MB)
支付应用安全强制要求(PDF,61K)