PCI DSS 支付卡行业数据安全标准
Payment Card Industry Data Security Standard —— 金融行业主要组织制定的安全标准集。当前主版本 PCI DSS 4.0(2024 年 4 月起全面替代 3.2.1)。
谁定的、谁管
PCI SSC(Security Standards Council)制定,创始五家:
- Visa、Mastercard、American Express、Discover、JCB
注意: 不是政府法规,是行业合同。但违规后果不比政府轻——罚款、失去收单资格、出事后无限连带责任。
谁要合规
任何存储、处理、传输持卡人数据(CHD)的实体:
- 商户(在线/线下都算)
- 收单机构、支付网关
- 服务商(包括外包数据中心、SaaS)
12 大要求(高层概览)
| # | 内容 |
|---|---|
| 1-2 | 网络与系统安全配置 |
| 3-4 | 保护持卡人数据(at rest + in transit,加密) |
| 5-6 | 维护漏洞管理(杀软、安全开发) |
| 7-9 | 访问控制 —— 按需、唯一 ID、物理访问 |
| 10-11 | 监控与测试 —— 日志、渗透测试、漏洞扫描 |
| 12 | 信息安全策略 |
4 个合规等级
按年交易量分:
| 等级 | 商户年交易量 | 评估方式 |
|---|---|---|
| Level 1 | > 600 万笔 | 独立 QSA 现场审计 + ROC |
| Level 2 | 100-600 万 | SAQ + 季度扫描 |
| Level 3 | 2-100 万(电商) | SAQ + 季度扫描 |
| Level 4 | < 2 万电商 / < 100 万其他 | SAQ |
关键 don’t
- 不能存 CVV / CVC2 / track data —— 授权完必须删
- PAN(卡号)如果要存,必须 加密 或 tokenize
- 不能用默认密码、共享账号