PCI-DSS
支付卡行业数据安全标准
什么是PCI-DSS?
支付卡行业数据安全标准(PCI-DSS)规定了商家安全和妥善处理卡片支付的要求。这对于保护隐私、防止欺诈和数据泄露至关重要,它旨在在卡片支付生命周期内(从卡片受理到支付处理)提供对敏感信息的保护。
PCI合规是由PCI安全委员会和五大卡组织(VISA、Mastercard、Discover、American Express和JCB)实施的支付卡行业数据安全标准共同形成的结果,这些标准有助于在全球范围内确保持卡人保护措施的一致性。
有关PCI-DSS标准的信息,您可以访问: pcisecuritystandards.org
PCI-DSS合规义务层级
要开始了解您必须遵守的PCI-DSS合规层级之前,您需要根据以下内容确定您的合规"层级"。请注意,以下数据是基于过去52周的数据。
| PCI-DSS等级 | 描述 |
|---|---|
| 1级 |
每年处理超过600万次VISA或Mastercard交易的商家。或 被任何卡组织(Visa、Mastercard 等)定为1级的商家 |
| 2级 | 每年处理100万到600万次VISA或Mastercard交易的商家 |
| 3级 | 每年处理2万到100万次VISA或Mastercard电子商务交易的商家 |
| 4级 | 每年处理少于2万次VISA或Mastercard电子商务交易的商家和每年处理最多100万次VISA或Mastercard交易的其他商家 |
来源: Visa PCI DSS Compliance
谁需要遵守PCI-DSS?
任何接受卡支付(信用卡或借记卡)和/或传输持卡人信息的商家都必须符合PCI标准并遵守必要的要求。遵守的要求取决于多种因素,包括组织的性质以及交易的数量和规模。
拥有在线支付产品的 AmzKeys Limited 客户需要确保他们符合相关的PCI-DSS合规要求,您可以参考以下指南。
PCI-DSS合规要求参考
| 支付方式/集成方式 | 2级 | 3级 | 4级 |
|---|---|---|---|
| Get Paid / Pay By Link | 无PCI-DSS要求 | ||
| 仅API集成 | 提交PCI-DSS AOC并每年更新 | ||
| 插入式字段集成 | 提交PCI-DSS SAQ A-EP问卷并根据特定政策更新 | ||
| 嵌入式字段集成(或购物平台插件) | 提交PCI-DSS SAQ A问卷并根据特定政策更新 | ||
| 托管支付页面集成 | 提交PCI-DSS SAQ A问卷并根据特定政策更新 | ||
| WooCommerce和Magento | 提交PCI-DSS SAQ A-EP问卷并根据特定政策更新 | ||
注意:
如果您是等级1的商家并使用除Get Paid/Pay by Link以外的在线支付,则需要以下内容:
- 由合格安全评估员或由内部审计员撰写的合规报告(如有公司高管签字)
- 提交合规证明(AOC)表格
- 由认可扫描供应商(ASV)进行的季度扫描
我需要符合PCI-DSS合规,如何做到这一点?
如果您确定需要遵守PCI-DSS合规,AmzKeys Limited可以指导您完成流程。如果您在过去12个月内完成了PCI-DSS相关表格,可以将其提供给AmzKeys Limited。
通过上述列表,您可以了解您需要填写哪些表格,您可以下载下列文件:
您需要将完成的表格发送给您的AmzKeys Limited客户经理。
如果您不提供相关信息或不满足相关的PCI-DSS合规要求,AmzKeys Limited可能会选择不提供/暂停您的支付服务。
如果我不符合PCI-DSS会发生什么?
卡组织会判定"不合规"并可能处以巨额罚款。如果您未能在每个季度内纠正您的PCI-DSS不合规状况,罚款可能会加倍。对于欧盟国家的客户而言,PCI-DSS违规行为也属于GDPR违规行为,因为持卡人信息属于个人数据。
如有任何关于PCI-DSS合规的问题,请联系 AmzKeys Limited 合规部门:admin@amzkeys.com