支付卡行业合规

本文为译文,阅读原文请点击Payment Concepts: PCI Compliance

行业合规

术语:

PCI(Payment Card Industry):支付卡行业 PCI compliance:支付卡行业合规 PCI DSS(Payment Card Industry Data Security Standard):指支付卡行业数据安全标准 PA DSS(Payment Application Data Security Standard):支付应用程序数据安全标准 PCI SSC(PCI Security Standards Council):支付卡行业安全标准委员会

此迷你系列文章的目的是让中小型商户理解支付卡行业合规的概念和允许他们缩小支付卡行业合规范围的可用方案。

1. 什么是支付卡行业合规?

随着信用卡支付处理技术的发展,信用卡欺诈率和信用卡欺诈类型都逐渐增多。在信用卡支付处理过程,为了阻止信用卡数据被不法分子利用,支付卡行业合规需求应然而生。

尽管存在多种业务接受和使用信用卡支付,相对较少配备完善必要的工具和资源,以满足严格的支付卡行业合规认证法规。结果,对于中小型商户有一些可替代方案,允许他们跳出支付卡行业合规范围或简化他们的支付卡行业合规审计(减少其支付卡行业合规范围)。

在讨论这些方案的细节之前,我们先梳理安全标准委员会定义和维护的关键支付卡行业合规需求。

2. 支付卡行业合规标准

PCI DSS指支付卡行业数据安全标准,该标准规定了一个组织遵循的支付卡支付处理的要求。这些要求主要是为了确保信用卡数据安全并防止泄露。任何企业希望达到支付卡行业合规必须遵循PCI DSS标准。根据PCI DSS的要求,企业应该遵循的需求和目标可以在这里找到。

除了PCI DSS标准,对于使用支付卡的企业为了满足支付卡行业合规,有一个更简洁的标准支付卡处理软件,称为PA DSS,中文为支付应用程序数据安全标准。PA DSS列出了为了保护持卡人的数据,支付处理应用程序应该满足的要求。PA DSS要求的完整列表可以在这里找到。

要跟踪所有满足PA DSS标准的应用程序,PCI SSC维护一个认证的应用程序列表。

简而言之,PCI DSS是针对接受信用卡(如零售店、健身俱乐部、收藏公司及其他)支付的商家和那些提供托管模式的支付应用程序(如付款处理器、支付网关和电子钱包公司)。

另一方面,PA DSS针对软件生产的企业,他们本身不一定使用支付卡数据,但是这些公司的软件产品分发给最终用户(使用信用卡支付)和安装在用户的机器上(或网络上)。一般来说,PA DSS要求这些产品确保支付卡数据处理的安全性。

关于标准和其他PCI SSC文档的更多信息可以在这里找到。

3. 支付卡行业合规的两个模块

宏观上来看,PCI合规企业面临两个问题:

  1. 持卡人数据存储 - 如何存储信用卡,谁负责存储信用卡?
  2. 持卡人数据流 - 信用卡是如何被接收的、刷卡的、键入密码的,用哪一个软件处理信用卡,如何重复使用卡?

虽然人们普遍认为如果商户存储卡信息,则商户在支付卡支付合规范围内,人们往往会误解卡处理流程的概念不在范围内,而实际上它在范围内。

在后续的文章里,当评估卡存储策略和通用的卡数据处理流程的时候,我们会提供一些向导和建议,有助于满足支付卡行业合规的实现和较小成本的对支付卡行业合规的审计。


《分布式服务架构:原理、设计与实战》是一本不可多得的理论与实践相结合的架构秘籍,京东购买请点这里或者扫描下方二维码。

《分布式服务架构:原理、设计与实战》京东主页


加入【云时代架构】技术社区,做互联网时代最适合的架构,回归架构的简洁之美。

作者简书博客

云时代架构

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

【FB TV】一周「BUF大事件」李彦宏语出惊人,道出国内隐私安全现状;WannaCry勒索病毒卷土重来

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,百度CEO李彦宏语出惊人,道出国内隐私安全现状;WannaCry勒索病毒卷土重来,波音工厂中招;iOS 11...

10530
来自专栏逍遥剑客的游戏开发

DIY一个VR小钢炮

25960
来自专栏FreeBuf

盘点21世纪以来最臭名昭著的15起数据安全事件

随着互联网的普及,人们的生活也越来越数字化。例如智能家居,联网的医疗设备,网络购物,网银转账等。但技术是把双刃剑,为我们带来方便的同时,也给我们带来了潜藏的安全...

32050
来自专栏企鹅号快讯

“商贸信”病毒重新活跃 四天狂发20万钓鱼邮件

12月上旬在全球范围大范围爆发的“商贸信”病毒近日再度复苏。根据腾讯安全御见情报中心检测发现,自12月11日起,“商贸信”病毒开始重新活跃,并在国内地区呈现爆发...

423100
来自专栏域名资讯

优信10万元秒“一成购”三拼域名

只要域名好,高于行情交易不是问题。这不,去年11月份以10万元被秒的三拼域名yichenggou.com,现已被启用建站,买家身份付出水面。

245100
来自专栏黑白安全

美国“中情局的全部黑客能力”这样曝光!嫌犯是内鬼,提供给维基揭秘网

据合众国际社5月15日报道,美国联邦检察官在1月的一场听证会上说,现年29岁的中情局前软件工程师乔舒亚·舒尔特据信已将中情局的绝密信息提供给维基揭秘网。

10530
来自专栏安智客

从Samsung KNOX 通过的安全认证来看三星手机有多牛!

最近火的一踏糊涂的华为手机盾,着实推广了一把安全手机概念,从安全认证上来说,华为Mate 10/Pro通过德国莱茵TUV安全认证,另外其麒麟Kirin 960(...

33170
来自专栏安恒信息

机场安检设备在黑客攻击面前不堪一击

大多数机场使用的X光行李扫描仪很容易受到内部人士或者外部攻击者的攻击,从而让武器或其他违禁物品顺利通过安检。 不久前,有媒体曾报道过世界各地发生...

35980
来自专栏龙行天下CSIEM

科学瞎想系列之三十六 船舶动力系统(2)

上一篇说到传统的动力推进系统是由柴油机、汽轮机或燃气轮机等动力机械,通过主轴系与变速箱、螺旋桨共同组成,这种推进系统已非常成熟,没有什么新鲜玩意可以讲了...

30340
来自专栏域名资讯

神速!一域名注册不到两个月就被启用

有句话这么说人不可貌相,海水不可斗量。域名圈内照样如此。有些域名其貌不扬,但爆发力很强,有一域名,注册一个多月,拍了七万多元,现在被海外终端启用了,...

35450

扫码关注云+社区

领取腾讯云代金券