PCI 合規性清單：每個電子商務企業都需要了解的內容

似乎每天我們都會聽到新的數據洩露事件。 僅在 2020 年，J.Crew、雅詩蘭黛、T-Mobile、通用電氣、萬豪、雅芳和史泰博等大公司都經歷了數據洩露，損失了大量資金並損害了客戶信任。

很容易認為，“這只發生在大公司身上”，但事實是， 90%的違規行為會影響小企業。 出於這個原因，在線處理信用卡或借記卡支付的電子商務零售商——所以，幾乎所有的電子商務零售商！ – 應符合 PCI 標準。 那麼什麼是 PCI 合規性，它對您的業務有何幫助？ 讓我們潛入吧！

什麼是 PCI 合規性？

PCI 是“支付卡行業”的首字母縮寫詞。 您也可以將其視為 PCI DSS，代表“支付卡行業數據安全標準”。 無論哪種方式，PCI 合規性定義都是“旨在確保所有處理、存儲或傳輸信用卡信息的公司保持安全環境的一組要求。”

PCI 合規性由PCI 安全標準委員會 (PCI SSC)於 2006 年制定，這是一個由 Visa、MasterCard、American Express、Discover 和 JCB 的支付卡行業領導者組成的獨立機構（這就是為什麼有時被稱為“信用卡合規”）。 他們的目標是保護參與支付交易的所有各方，包括支付網絡、處理器、金融機構、客戶和企業。

為什麼 PCI 合規性很重要？

PCI 合規性不是法律要求。 但是，不遵守 PCI 協議可能會使電子商務零售商陷入法律困境。 如何？ 如果您的企業遭受數據洩露，並且由此產生的調查顯示您的流程不符合 PCI，您可能會受到政府和支付卡發行商數千美元的罰款和費用，並且可能會因失敗而對您提起訴訟和保險索賠符合 PCI 標準。 此外，您可能會失去客戶信心、失去有價值的員工、接受支付卡的能力（在線零售商的喪鐘），並承擔更高的合規成本。

因此，雖然您不能僅僅因為不符合 PCI 合規而受到處罰，但如果您不合規，您可能會對發生的任何違規行為負責。 而且，如前所述，90% 的違規行為會影響小型企業，因此安全總比後悔好。

您可能想知道為什麼網絡犯罪分子想要追捕小企業； 畢竟，還有更大的魚要炸！ 好吧，網絡犯罪分子認為小企業很容易成為獵物。 他們知道大多數大型零售商都符合 PCI 標準，因此不易受到攻擊。 然而，他們打賭許多小企業沒有採取必要的步驟來符合 PCI 標準，這使得它們成為一個容易的標記。

6 種類型的安全漏洞 PCI 合規性可防止

儘管網絡犯罪分子總是在尋找一種方法，儘管有保護措施（這正是他們所做的），但 PCI 合規性可以在很大程度上防止以下六種類型的安全災難。

1. 惡意軟件。 犯罪分子使用惡意軟件滲透計算機系統並竊取支付數據。 勒索軟件，其中黑客持有數據“人質”以換取比特幣的錢，是增長最快的惡意軟件形式之一。
2. 網絡釣魚。 作為惡意軟件的常見傳遞工具，網絡釣魚電子郵件（例如發票或來自最高管理層的信息請求）看起來是合法的，可以說服人們打開它們。 但是，它們包含可以感染計算機和整個系統的惡意鏈接或附件。
3. 遠程訪問。 薄弱的遠程訪問控制（例如，您的支付終端供應商使用的那些）允許網絡犯罪分子訪問您存儲、處理或傳輸支付數據的系統。
4. 弱密碼。 今天的密碼要求使用不同的大小寫字母、數字和特殊符號是有原因的：超過80%的數據洩露涉及被盜/或弱密碼。
5. 過時的軟件。 過時軟件中的缺陷通常“未修補”，這使網絡犯罪分子很容易滲透。
6. 略讀。 雖然這僅適用於實體店位置，但竊讀是指犯罪分子將小型硬件“竊讀設備”連接到讀卡器上，從而在他們使用支付卡時竊取客戶支付數據。 然後，可以創建假卡進行非法購買。

4 個 PCI 合規級別

認為您的小企業與像亞馬遜這樣價值數十億美元的公司遵守相同的 PCI 標準是不公平的嗎？ 好消息是它不是！ 有四個 PCI 合規級別，由企業每年處理的交易數量決定。

• 級別 1：每年處理超過 600 萬筆卡交易的商戶。
• 2 級：每年處理 1 到 600 萬筆交易的商家。
• 3 級：每年處理 20,000 到 100 萬筆交易的商家。
• 第 4 級：每年處理少於 20,000 筆交易的商家。

PCI SSC 還在其網站上提供了一份簡單的自我評估問卷，可幫助您確定哪些 PCI 數據安全標準要求適用於您的業務。

初創公司和小型電子商務企業如何準備使用此 PCI 合規性清單

以下是您可以提高 PCI 合規級別以保護您的業務和客戶的方法。 將此視為您的“PCI 合規性檢查表”。 所有 12 項 PCI 合規性要求都與一個原則有關，這些原則是：

• 建立和維護一個安全的網絡
• 保護持卡人數據
• 維護漏洞管理計劃
• 實施強有力的訪問控制措施
• 定期監控和測試網絡
• 維護信息安全政策

1. 使用和維護防火牆

當網絡犯罪分子或其他未知行為者（惡意或其他方式）試圖訪問您系統中的私人數據時，防火牆基本上會阻止他們進入。 當然，防火牆不是不可穿透的，並且可以發現漏洞（這就是為什麼通過更新來維護它們很重要），但它們是很好的第一道防線。

2.使用適當的密碼保護

第三方軟件和硬件通常帶有通用密碼和默認安全措施，網絡犯罪分子可以輕鬆訪問。 要符合 PCI 標準，您需要更改這些密碼並調整基本配置，並保留需要密碼或其他訪問方式的每個設備的列表。

3. 保護存儲的持卡人數據

除非法律、監管或業務需要，否則持卡人數據的存儲時間不應超過完成交易所需的時間。 如果需要存儲，企業必須將存儲和保留時間限制在最低限度，至少每季度清除一次數據。 PCI 合規性還涉及應如何顯示主帳號 (PAN)，例如僅顯示前六位和後四位數字。

4. 加密傳輸的數據

當持卡人數據通過公共網絡傳輸時，這是網絡犯罪分子攔截數據的絕佳機會。 此 PCI 要求規定，無論何時將持卡人數據發送到這些已知位置，都必須對其進行加密，並且永遠不應將其發送到未知位置。

5. 使用和維護殺毒軟件

任何與 PAN 交互或存儲 PAN 的設備都需要 McAfee 或 Norton 等防病毒軟件。 就像您的防火牆一樣，該軟件需要定期更新，以便修補漏洞。 查看PC 的 2021 年最佳防病毒軟件列表。

6. 維護安全的系統和應用程序

電子商務企業必須確保軟件安全，與軟件供應商合作以確保安全補丁是最新的並且易於訪問和執行。 除了及時部署關鍵補丁外，企業還需要創建一個流程來發現新漏洞並對其進行排名。 這些更新對於與持卡人數據交互或存儲持卡人數據的設備上的所有軟件尤其重要。

7. 限制持卡人數據訪問

持卡人數據是非常敏感的信息，只能由絕對需要知道它的代理人查看。 您的大多數員工和第三方都不需要訪問此信息，因此應該對其進行限制。 那些確實需要訪問這些數據的角色應該被高度記錄並定期更新。

8. 為訪問分配唯一 ID

需要訪問的個人必須擁有個人憑據和身份證明，而不是擁有用於持卡人數據的單一登錄用戶名和密碼。 這確保了每當有人訪問持卡人數據時，該活動都可以追溯到已知用戶或至少立即被識別為未經授權的訪問。 對於遠程訪問，需要雙重授權，這提供了額外的安全層。

9. 限制對數據的物理訪問

所有現場持卡人數據必須物理保存在安全位置、受監控並需要日誌。 必須制定快速識別不屬於該人的程序的程序。 備份也必須保存在安全的輔助站點。 最後，當業務不再需要數據時，必須將其銷毀。

10. 定期審核網絡

PCI 合規性要求電子商務企業定期監控和測試其網絡，以確保不存在物理或無線漏洞。 如果發生違規行為，則需要自動審計跟踪以及重建事件的能力。 審計數據必須得到保護和維護至少一年。

11. 掃描和測試漏洞

網絡犯罪活動、故障、人為錯誤和新代碼的引入導致漏洞發生。 這意味著必須每季度對所有內部和外部系統和流程進行測試，以確保維護安全性。 其他正在進行的 PCI DSS 要求包括滲透測試以及入侵檢測和預防系統的使用。 此外，PCI 合規性需要文件監控，以便在用戶以未經授權的方式修改內容、配置或系統文件時發出警報。

12. 文件安全政策

需要記錄有權訪問數據的設備、軟件和員工的清單以確保合規性。 訪問持卡人數據的日誌以及信息流入貴公司的方式、存儲位置以及售後使用方式也必須記錄在案。 此外，作為招聘過程的一部分，需要任命個人或團隊來創建安全意識計劃並篩選潛在員工、承包商等，以避免內部數據洩露。

PCI 合規性預算

實現和維護 PCI 合規性的 12 個步驟無疑會花錢。 當然，多少錢將取決於您的企業的合規程度、組織的規模、公司的安全文化、使用的技術類型以及您是否負擔得起專門的 IT/PCI 專業人員。

但是，由於一旦發生數據洩露，違規的成本可能會非常高（老實說，這不是是否發生的問題，而是何時發生的問題），即使這意味著在其他地方削減開支或增加開支，為它找到預算也是值得的為籌集資金而暫時對某些產品進行定價。 最後，您將擁有安全的電子商務業務，讓您和您的客戶高枕無憂。

通過 Fulfillment Lab 減少數據安全問題

技術為電子商務零售商提供了許多好處，從監控庫存到跟踪發貨、支付處理到客戶數據安全。 當然，購買這些系統需要大量的財務投資——而且總是有一條學習曲線！

當您將訂單履行工作交給擁有 14 家國際設施的電子商務營銷領導者 The Fulfillment Lab 時，您無需承擔運輸的負擔。 您還可以減少很多 PCI 合規問題，因為您可以訪問我們尖端的全球履行系統 (GFS)軟件。 這個安全的系統允許您監控庫存、跟踪發貨、定制包裝和處理付款。 請務必查看我們的博客，使用配送中心進行電子商務運輸的 10 個理由，了解更多信息，並隨時與我們聯繫以了解更多信息。