支付卡行业数据安全标准 (PCI DSS) 合规性
所有存储、处理或传输持卡人信息的相关方都必须遵守支付卡行业数据安全标准 (PCI DSS) 的规定。其中包括12项基本要求,分为6个类别,旨在建立及维护安全可靠的支付处理环境。与您的收单方合作,使用PCI数据安全标准 (DSS),为所有客户提供安全交易。首先查阅指南,然后检查您是否符合相关要求。
-
- 1. 安装及维护防火墙配置,保护持卡人数据
- 2. 切勿使用供应商提供的系统密码和其它安全参数的默认设置。
-
- 3. 保护存储的持卡人数据
- 4. 在开放的公共网络上传输持卡人数据时应加密
-
- 5. 保护所有系统,防范恶意软件,定期更新防病毒软件或程序
- 6. 开发和维持安全系统与应用程序。
-
- 7. 根据业务需求,限制持卡人数据的访问权限
- 8. 识别和验证对系统组件的访问
- 9. 限制对持卡人数据的物理访问
-
- 10. 追踪并监控所有对网络资源与持卡人数据的访问
- 11. 定期测试安全系统与流程
-
- 12. 维持可满足所有人员的信息安全政策
合规性验证
花时间查看您是否已符合所有PCI DSS要求。这是确认持卡人数据得到安全处理,发现任何需加强的薄弱环节的最佳方法。您在12个月期间的Visa总交易量将决定您的商户级别以及需要满足的验证要求。
-
每年:
- 由合格安全评估公司 (QSA) 或内部稽查员(如公司主管已签章同意)提交一份合规报告 (ROC)。我们建议内部稽查员取得支付卡行业安全标准委员会 (PCI SSC) 内部安全评估员 (ISA) 证书。
- 提交合规声明 (AOC) 表
每个季度:
- 由经许可的扫描服务提供商 (ASV) 开展季度网络扫描
-
每年:
- 完成自我评估问卷 (SAQ)
- 提交合规声明 (AOC) 表
每个季度:
- 由经许可的扫描服务提供商 (ASV) 开展季度网络扫描
-
每年:
- 完成自我评估问卷 (SAQ)
- 提交合规声明 (AOC) 表
每个季度:
- 由经许可的扫描服务提供商 (ASV) 开展季度网络扫描
-
技术创新计划
投资安全技术,轻松实现合规
监管+评估
Visa核心规则 (VCR) 管理客户金融机构的活动,并延伸至监管作为Visa支付系统参与方的商户和服务提供商。
商户的收单银行负责确保商户及商户使用的任何服务提供商符合PCI DSS。作为商户,您必须确保始终完全合规。(VCR章节ID #0002228和#0008031)。
若商户不符合PCI DSS或无法纠正安全问题,Visa或对商户的收单方开展非议从评定。收单方须承担所有评定费用,且不得声称Visa已对商户开展任何评定。(VCR章节ID #0001054)
如果在取证调查期间发现,没有证据显示在数据泄露时点和此之前发生PCI DSS非依从,则可免予评定。
服务提供商+支付应用
只与经许可的服务提供商和支付应用合作,支持安全交易。
支付应用程序
仅使用通过验证的安全支付应用程序。
安全计划
密切关注最新安全标准
全球PIN安全计划
受理PIN交易及/或为自身履行主要管理服务的商户必须遵守Visa PIN安全要求。
访问以下链接,进一步了解Visa的全球PIN安全计划:
进一步了解如何加入合格集成商或经销商 (QIR) 计划。
PCI合格集成商或经销商 (QIR)™培训与资格计划提供相关培训和工具,确保您的商户能够安全安装通过PA-DSS验证的支付系统。成为QIR后,商户将能够使用您的服务来满足支付品牌规定的要求。
更多资源
进一步了解如何保护您的业务
使用集成商/经销商最大程度降低商户的支付风险 (PDF,1.2MB)
针对销售点集成商的网络犯罪 (PDF,984KB)
有效管理数据泄露 (PDF,984KB)
商户必知5大重要Visa规则 (PDF,587KB)
识别和降低电子商务支付处理面临的威胁 (PDF,1.0MB)
支付应用安全强制要求(PDF,61K)