PCI 合规性清单：每个电子商务企业都需要了解的内容

似乎每天我们都会听到新的数据泄露事件。 仅在 2020 年，J.Crew、雅诗兰黛、T-Mobile、通用电气、万豪、雅芳和史泰博等大公司都经历了数据泄露，损失了大量资金并损害了客户信任。

很容易认为，“这只发生在大公司身上”，但事实是， 90%的违规行为会影响小企业。 出于这个原因，在线处理信用卡或借记卡支付的电子商务零售商——所以，几乎所有的电子商务零售商！ – 应符合 PCI 标准。 那么什么是 PCI 合规性，它对您的业务有何帮助？ 让我们潜入吧！

什么是 PCI 合规性？

PCI 是“支付卡行业”的首字母缩写词。 您也可以将其视为 PCI DSS，代表“支付卡行业数据安全标准”。 无论哪种方式，PCI 合规性定义都是“旨在确保所有处理、存储或传输信用卡信息的公司保持安全环境的一组要求。”

PCI 合规性由PCI 安全标准委员会 (PCI SSC)于 2006 年制定，这是一个由 Visa、MasterCard、American Express、Discover 和 JCB 的支付卡行业领导者组成的独立机构（这就是为什么有时被称为“信用卡合规”）。 他们的目标是保护参与支付交易的所有各方，包括支付网络、处理器、金融机构、客户和企业。

为什么 PCI 合规性很重要？

PCI 合规性不是法律要求。 但是，不遵守 PCI 协议可能会使电子商务零售商陷入法律困境。 如何？ 如果您的企业遭受数据泄露，并且由此产生的调查显示您的流程不符合 PCI，您可能会受到政府和支付卡发行商数千美元的罚款和费用，并且可能会因失败而对您提起诉讼和保险索赔符合 PCI 标准。 此外，您可能会失去客户信心、失去有价值的员工、接受支付卡的能力（在线零售商的丧钟），并承担更高的合规成本。

因此，虽然您不能仅仅因为不符合 PCI 合规而受到处罚，但如果您不合规，您可能会对发生的任何违规行为负责。 而且，如前所述，90% 的违规行为会影响小型企业，因此安全总比后悔好。

您可能想知道为什么网络犯罪分子想要追捕小企业； 毕竟，还有更大的鱼要炸！ 好吧，网络犯罪分子认为小企业很容易成为猎物。 他们知道大多数大型零售商都符合 PCI 标准，因此不易受到攻击。 然而，他们打赌许多小企业没有采取必要的步骤来符合 PCI 标准，这使得它们成为一个容易的标记。

6 种类型的安全漏洞 PCI 合规性可防止

尽管网络犯罪分子总是在寻找一种方法，尽管有保护措施（这正是他们所做的），但 PCI 合规性可以在很大程度上防止以下六种类型的安全灾难。

1. 恶意软件。 犯罪分子使用恶意软件渗透计算机系统并窃取支付数据。 勒索软件，其中黑客持有数据“人质”以换取比特币的钱，是增长最快的恶意软件形式之一。
2. 网络钓鱼。 作为恶意软件的常见传递工具，网络钓鱼电子邮件（例如发票或来自最高管理层的信息请求）看起来是合法的，可以说服人们打开它们。 但是，它们包含可以感染计算机和整个系统的恶意链接或附件。
3. 远程访问。 薄弱的远程访问控制（例如，您的支付终端供应商使用的那些）允许网络犯罪分子访问您存储、处理或传输支付数据的系统。
4. 弱密码。 今天的密码要求使用不同的大小写字母、数字和特殊符号是有原因的：超过80%的数据泄露涉及被盗/或弱密码。
5. 过时的软件。 过时软件中的缺陷通常“未修补”，这使网络犯罪分子很容易渗透。
6. 略读。 虽然这仅适用于实体店位置，但窃读是指犯罪分子将小型硬件“窃读设备”连接到读卡器上，从而在他们使用支付卡时窃取客户支付数据。 然后，可以创建假卡进行非法购买。

4 个 PCI 合规级别

认为您的小企业与像亚马逊这样价值数十亿美元的公司遵守相同的 PCI 标准是不公平的吗？ 好消息是它不是！ 有四个 PCI 合规级别，由企业每年处理的交易数量决定。

• 级别 1：每年处理超过 600 万笔卡交易的商户。
• 2 级：每年处理 1 到 600 万笔交易的商家。
• 3 级：每年处理 20,000 到 100 万笔交易的商家。
• 第 4 级：每年处理少于 20,000 笔交易的商家。

PCI SSC 还在其网站上提供了一份简单的自我评估问卷，可帮助您确定哪些 PCI 数据安全标准要求适用于您的业务。

初创公司和小型电子商务企业如何准备使用此 PCI 合规性清单

以下是您可以提高 PCI 合规级别以保护您的业务和客户的方法。 将此视为您的“PCI 合规性检查表”。 所有 12 项 PCI 合规性要求都与一个原则有关，这些原则是：

• 建立和维护一个安全的网络
• 保护持卡人数据
• 维护漏洞管理计划
• 实施强有力的访问控制措施
• 定期监控和测试网络
• 维护信息安全政策

1. 使用和维护防火墙

当网络犯罪分子或其他未知行为者（恶意或其他方式）试图访问您系统中的私人数据时，防火墙基本上会阻止他们进入。 当然，防火墙不是不可穿透的，并且可以发现漏洞（这就是为什么通过更新来维护它们很重要），但它们是很好的第一道防线。

2.使用适当的密码保护

第三方软件和硬件通常带有通用密码和默认安全措施，网络犯罪分子可以轻松访问。 要符合 PCI 标准，您需要更改这些密码并调整基本配置，并保留需要密码或其他访问方式的每个设备的列表。

3. 保护存储的持卡人数据

除非法律、监管或业务需要，否则持卡人数据的存储时间不应超过完成交易所需的时间。 如果需要存储，企业必须将存储和保留时间限制在最低限度，至少每季度清除一次数据。 PCI 合规性还涉及应如何显示主帐号 (PAN)，例如仅显示前六位和后四位数字。

4. 加密传输的数据

当持卡人数据通过公共网络传输时，这是网络犯罪分子拦截数据的绝佳机会。 此 PCI 要求规定，无论何时将持卡人数据发送到这些已知位置，都必须对其进行加密，并且永远不应将其发送到未知位置。

5. 使用和维护杀毒软件

任何与 PAN 交互或存储 PAN 的设备都需要 McAfee 或 Norton 等防病毒软件。 就像您的防火墙一样，该软件需要定期更新，以便修补漏洞。 查看PC 的 2021 年最佳防病毒软件列表。

6. 维护安全的系统和应用程序

电子商务企业必须确保软件安全，与软件供应商合作以确保安全补丁是最新的并且易于访问和执行。 除了及时部署关键补丁外，企业还需要创建一个流程来发现新漏洞并对其进行排名。 这些更新对于与持卡人数据交互或存储持卡人数据的设备上的所有软件尤其重要。

7. 限制持卡人数据访问

持卡人数据是非常敏感的信息，只能由绝对需要知道它的代理人查看。 您的大多数员工和第三方都不需要访问此信息，因此应该对其进行限制。 那些确实需要访问这些数据的角色应该被高度记录并定期更新。

8. 为访问分配唯一 ID

需要访问的个人必须拥有个人凭据和身份证明，而不是拥有用于持卡人数据的单一登录用户名和密码。 这确保了每当有人访问持卡人数据时，该活动都可以追溯到已知用户或至少立即被识别为未经授权的访问。 对于远程访问，需要双重授权，这提供了额外的安全层。

9. 限制对数据的物理访问

所有现场持卡人数据必须物理保存在安全位置、受监控并需要日志。 必须制定快速识别不属于该人的程序的程序。 备份也必须保存在安全的辅助站点。 最后，当业务不再需要数据时，必须将其销毁。

10. 定期审核网络

PCI 合规性要求电子商务企业定期监控和测试其网络，以确保不存在物理或无线漏洞。 如果发生违规行为，则需要自动审计跟踪以及重建事件的能力。 审计数据必须得到保护和维护至少一年。

11. 扫描和测试漏洞

网络犯罪活动、故障、人为错误和新代码的引入导致漏洞发生。 这意味着必须每季度对所有内部和外部系统和流程进行测试，以确保维护安全性。 其他正在进行的 PCI DSS 要求包括渗透测试以及入侵检测和预防系统的使用。 此外，PCI 合规性需要文件监控，以便在用户以未经授权的方式修改内容、配置或系统文件时发出警报。

12. 文件安全政策

需要记录有权访问数据的设备、软件和员工的清单以确保合规性。 访问持卡人数据的日志以及信息流入贵公司的方式、存储位置以及售后使用方式也必须记录在案。 此外，作为招聘过程的一部分，需要任命个人或团队来创建安全意识计划并筛选潜在员工、承包商等，以避免内部数据泄露。

PCI 合规性预算

实现和维护 PCI 合规性的 12 个步骤无疑会花钱。 当然，多少钱将取决于您的企业的合规程度、组织的规模、公司的安全文化、使用的技术类型以及您是否负担得起专门的 IT/PCI 专业人员。

但是，由于一旦发生数据泄露，违规的成本可能会非常高（老实说，这不是是否发生的问题，而是何时发生的问题），即使这意味着在其他地方削减开支或增加开支，为它找到预算也是值得的为筹集资金而暂时对某些产品进行定价。 最后，您将拥有安全的电子商务业务，让您和您的客户高枕无忧。

通过 Fulfillment Lab 减少数据安全问题

技术为电子商务零售商提供了许多好处，从监控库存到跟踪发货、支付处理到客户数据安全。 当然，购买这些系统需要大量的财务投资——而且总是有一条学习曲线！

当您将订单履行工作交给拥有 14 家国际设施的电子商务营销领导者 The Fulfillment Lab 时，您无需承担运输的负担。 您还可以减少很多 PCI 合规问题，因为您可以访问我们尖端的全球履行系统 (GFS)软件。 这个安全的系统允许您监控库存、跟踪发货、定制包装和处理付款。 请务必查看我们的博客，使用配送中心进行电子商务运输的 10 个理由，了解更多信息，并随时与我们联系以了解更多信息。