支付卡行业合规

本文为译文,阅读原文请点击Payment Concepts: PCI Compliance

行业合规

术语:

PCI(Payment Card Industry):支付卡行业 PCI compliance:支付卡行业合规 PCI DSS(Payment Card Industry Data Security Standard):指支付卡行业数据安全标准 PA DSS(Payment Application Data Security Standard):支付应用程序数据安全标准 PCI SSC(PCI Security Standards Council):支付卡行业安全标准委员会

此迷你系列文章的目的是让中小型商户理解支付卡行业合规的概念和允许他们缩小支付卡行业合规范围的可用方案。

1. 什么是支付卡行业合规?

随着信用卡支付处理技术的发展,信用卡欺诈率和信用卡欺诈类型都逐渐增多。在信用卡支付处理过程,为了阻止信用卡数据被不法分子利用,支付卡行业合规需求应然而生。

尽管存在多种业务接受和使用信用卡支付,相对较少配备完善必要的工具和资源,以满足严格的支付卡行业合规认证法规。结果,对于中小型商户有一些可替代方案,允许他们跳出支付卡行业合规范围或简化他们的支付卡行业合规审计(减少其支付卡行业合规范围)。

在讨论这些方案的细节之前,我们先梳理安全标准委员会定义和维护的关键支付卡行业合规需求。

2. 支付卡行业合规标准

PCI DSS指支付卡行业数据安全标准,该标准规定了一个组织遵循的支付卡支付处理的要求。这些要求主要是为了确保信用卡数据安全并防止泄露。任何企业希望达到支付卡行业合规必须遵循PCI DSS标准。根据PCI DSS的要求,企业应该遵循的需求和目标可以在这里找到。

除了PCI DSS标准,对于使用支付卡的企业为了满足支付卡行业合规,有一个更简洁的标准支付卡处理软件,称为PA DSS,中文为支付应用程序数据安全标准。PA DSS列出了为了保护持卡人的数据,支付处理应用程序应该满足的要求。PA DSS要求的完整列表可以在这里找到。

要跟踪所有满足PA DSS标准的应用程序,PCI SSC维护一个认证的应用程序列表。

简而言之,PCI DSS是针对接受信用卡(如零售店、健身俱乐部、收藏公司及其他)支付的商家和那些提供托管模式的支付应用程序(如付款处理器、支付网关和电子钱包公司)。

另一方面,PA DSS针对软件生产的企业,他们本身不一定使用支付卡数据,但是这些公司的软件产品分发给最终用户(使用信用卡支付)和安装在用户的机器上(或网络上)。一般来说,PA DSS要求这些产品确保支付卡数据处理的安全性。

关于标准和其他PCI SSC文档的更多信息可以在这里找到。

3. 支付卡行业合规的两个模块

宏观上来看,PCI合规企业面临两个问题:

  1. 持卡人数据存储 - 如何存储信用卡,谁负责存储信用卡?
  2. 持卡人数据流 - 信用卡是如何被接收的、刷卡的、键入密码的,用哪一个软件处理信用卡,如何重复使用卡?

虽然人们普遍认为如果商户存储卡信息,则商户在支付卡支付合规范围内,人们往往会误解卡处理流程的概念不在范围内,而实际上它在范围内。

在后续的文章里,当评估卡存储策略和通用的卡数据处理流程的时候,我们会提供一些向导和建议,有助于满足支付卡行业合规的实现和较小成本的对支付卡行业合规的审计。


《分布式服务架构:原理、设计与实战》是一本不可多得的理论与实践相结合的架构秘籍,京东购买请点这里或者扫描下方二维码。

《分布式服务架构:原理、设计与实战》京东主页


加入【云时代架构】技术社区,做互联网时代最适合的架构,回归架构的简洁之美。

作者简书博客

云时代架构

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏BlockChain

[海豚区块链] 数字货币投资三原则

听着币圈疯狂的财富故事,令我们激动不已。朋友说,“要是我有一个亿,先去买个1000多万的别墅,再买辆2,3百万的车,剩下的钱放银行吃利息,天天游手好闲。”然后,...

1725
来自专栏机器人网

你无法想象,物联网对制造自动化的影响有多大

物联网不仅是将工业网络扩展到设备级架构,还包括将安全、运动、机器对机器智能、自动维护资源和企业连接性融入到目前难以企及的制造智能。从资源管理到智能机器设备再到预...

2754
来自专栏工科狗和生物喵

计算机(处理器)发展史 (PS:课程论文)

正文之前 写死写活的一篇课程论文,让我去探讨了下计算机的发展历史。很有趣,写了我好几天呢!! 正文 【摘要】 计算机的发展史,很大一部分是计算机处理器的发展史。...

3529
来自专栏「3306 Pai」社区

「3306π」成都站资料大放送

感受了成都的美食、美景、萌妹砸(某月表示不想走了)、 还有技术圈的同学热情同时,3306π成都站活动也结束了。让我们回顾一下,本次活动和演讲老师的精彩分享。

1484
来自专栏一名叫大蕉的程序员

我也要成为跟你一样厉害的人 No.112

无数次我们在平时闲得很的时候,都会想标题这么一个事情,就是我也要成为跟你一样厉害的人,在我眼里你就是很厉害很厉害很厉害。

611
来自专栏SDNLAB

100G产品两年实践大考:功耗与SDN演进成关键

编者按:2013年,中国三大运营商开展的规模庞大的100G集采计划,将100G商用提到了更高的层次;今年,全国各省本地网100G项目的全面铺开,100G市场也迎...

3135
来自专栏nimomeng的自我进阶

《结网》读书笔记

731
来自专栏码洞

《Redis深度历险》《深入理解RPC》答读者问

老钱,你好,不知道从哪个机缘巧合关注了公众号,看老钱的文章,收获很大,最近在读redis小册,对我做业务开发的帮助挺大的。我也买了好多书,看了很多博客,开了公众...

842
来自专栏源哥的专栏

程序开发的心理研究

本文只是根据本人的一些经验,还有外界的一些文章,总结出来的程序开发过程中程序员的心理的一些总结,并没有通过严格的验证。

603
来自专栏DevOps时代的专栏

台湾资深老专家:你是不是又在假敏捷?

敏捷开发的目的不是为了快速交付! 它是一种用来应付需求快速变化的软体开发方法。 – Wiki 许多IT主管或是工程师,都把敏捷开发误以为是一种快速交付的方法,...

2189

扫码关注云+社区