支付卡行业数据安全标准（DSS）审核

当您接受刷卡支付时，您依赖客户对您保护其财务数据能力的信任。支付卡行业数据安全标准（PCI DSS）由主要信用卡品牌制定，帮助您的企业展示对严格安全措施的遵守。该标准的规范旨在保护交易数据、防范身份欺诈并防止代价高昂的安全漏洞，从而提升您作为值得信赖企业的声誉。

我们的经认可的PCI DSS审核服务能够确认您符合12项关键PCI DSS要求，助力您有效应对持续的安全挑战。

支付卡行业数据安全标准（PCI DSS）是什么？

PCI DSS是一套规范，说明在接受刷卡支付时如何保护您和您的客户的安全。该标准适用于整个行业，因此所有涉及支付的供应商都应高度重视PCI DSS的合规性。PCI DSS 是由Visa、MasterCard、Discover Financial Services、JCB International 和 American Express 于2004年共同制定的。

PCI DSS的12项要求有哪些？

1. 安全的网络环境

● 必须安装并维护防火墙

● 系统密码必须是原创的，不能使用供应商默认密码

2. 保护持卡人数据

● 必须保护存储的持卡人数据

● 通过公共网络传输持卡人数据时必须加密

3. 漏洞管理

● 必须采用并定期更新杀毒软件

● 必须开发并维护安全的系统和应用程序

4. 访问控制

● 持卡人数据的访问必须限制在“必须知道”范围内

● 所有有计算机访问权限的人员必须拥有唯一的身份标识

● 必须限制对持卡人数据的物理访问

5. 网络监控与测试

● 必须跟踪和监控对持卡人数据及网络资源的访问

● 必须定期测试安全系统和流程

6. 信息安全政策

● 必须维护信息安全政策

PCI DSS合规等级有哪些？

企业合规等级取决于贵企业每年处理的信用卡/借记卡交易数量。不同等级对应不同的合规要求。

● 等级1：每年处理600万笔及以上交易

● 等级2：每年处理100万至600万笔交易

● 等级3：每年处理2万至100万笔交易

● 等级4：每年处理少于2万笔交易

PCI DSS合规的第一步是什么？

开始接受刷卡支付的组织需在90天内满足PCI DSS要求。此后，必须持续保持合规状态，并至少每年进行一次合规验证。

不合规的处罚有哪些？

如果您无法证明已保护客户的持卡人数据，可能会对双方造成严重后果，包括：

● 诉讼

● 财务处罚

● 声誉受损

● 客户失望与信任流失

● 客户资金和身份被盗

如何进行DSS评估？

每个组织在规模、类型以及信息安全和网络安全措施方面均有所不同。因此，评估时会对每个组织进行单独判断。您需要采取的合规措施取决于您所面临的潜在安全风险。

借助SGS的DSS审核提升您的数据保护标准

☑ 降低风险，增强意识

显著减少安全事件的风险。

☑ 建立信任和关系

培养客户、合作伙伴和供应商之间的信任。

☑ 节省时间、资金和精力

提高运营效率，避免因不合规产生的罚款。

☑ 提升您的市场地位

提升品牌认知度，获得竞争优势，进入国际市场。

☑ 实现持续改进

追求持续改进，实现企业的长期可持续发展。

1. 了解要求：熟悉12项认证要求。

2. 确定组织需求：根据四个合规等级，确定适用于您的具体要求。

3. 定位并绘制支付卡数据流向图：创建数据地图，概述您的安全系统、对网络资源的物理访问以及与持卡人数据交互的应用程序。识别所有面向客户的支付环节及其路径和潜在漏洞。

4. 完成自我评估问卷（SAQ）或合规报告（ROC）：SAQ帮助您核对自评答案；ROC适用于进行安全审核的等级1的企业，有效期为一年。

5. 检查安全控制和协议：确保正确设置安全配置和协议。

6. 进行季度扫描：定期检查运营和方法，保持合规并遵循最佳实践。由经认可的扫描供应商（ASV）确保扫描的可靠性及符合PCI标准。

7. 风险/审核/安全评估： 对支付环境进行详细风险评估，评估复杂的支付流程。

8. 进行差距分析：审查PCI DSS要求，识别差距，制定并快速实施整改计划。

9. 进行内部DSS审核：由内部专家或第三方审核员检查安全功能，审阅文档，确定不合规项。

10. 持续监控您的系统：由于PCI DSS是一个持续的过程，您必须定期审查计划和体系，考虑其他报告，并协调相关人员参与。

11. 准备PCI DSS认证：选择外部合格安全评估员（QSA）及其评估范围。审核将根据您数据环境中的适用要求评估您的安全控制措施，包括设备、公共网络以及处理持卡人信息的应用程序。同时，评估员还会审查您的整体安全需求，并出具详细报告。

 作为国际公认的测试、检验和认证机构，SGS可以为您的业务运营提供深入的数据安全专业支持。

 SGS全面的PCI DSS审核流程，依据贵组织的规模和行业需求量身定制。

 SGS将全程支持您——从初步差距分析到持续合规维护。

 凭借全球布局与丰富经验，我们确保您的数据安全措施符合国际标准，助力您应对不断演变的网络威胁环境。