道明商户服务方案数据安全

确保您的持卡人数据安全性，帮助防止盗窃

与行业标准保持同步

什么是支付卡行业数据安全标准 (PCI DSS)？
12个原则
要求
保护数据安全
为何很重要
保护数据的
小常识
针对商户

支付卡行业数据安全标准（PCI DSS）

通过评估您企业内部数据的安全性以及在必要时提升安全级别以达到或超过行业标准，支付卡行业数据安全标准能够帮助您防止消费者的机密持卡人数据被盗。

我们在下文中提供了重要信息，帮助您了解数据安全的相关事宜，同时指导您保护持卡人数据。

维护标准

支付卡行业数据安全标准要求收集、处理、传输或储存持卡人数据的任何组织维护全球支付行业所制定并由支付卡行业安全标准委员会 (PCI SSC) 管理的数据安全标准。

处理持卡人数据的所有商户都必须遵守支付卡行业数据安全标准及支付卡网络合规计划。不合规的商户须接受罚款、缴纳费用或接受评估和/或终止支付处理服务。

Visa合规计划

Visa Canada支付应用程序合规计划以时间表的形式明确要求收单机构必须确保其使用付款应用软件处理交易的商户（现有及新商户）仅使用已获支付卡行业数据安全标准认证的软件。

详细了解Visa Canada支付应用程序合规计划

支付卡行业数据安全标准12项原则

支付卡行业数据安全标准涉及很多方面，对安全管理、政策、流程、网络架构、软件设计和其他关键保护措施作出了规定。这套全面的标准旨在帮助企业保护消费者的持卡人数据。

以下是支付卡行业数据安全标准的12项原则。

构建并维护安全网络

设置用于保护持卡人数据的防火墙
不使用供应商提供的默认系统密码或其他安全参数

保护持卡人数据

保护储存的持卡人数据
在公开的公共网络传输持卡人数据时进行加密

维护漏洞管理计划

使用并定期更新杀毒软件
开发及维护安全的系统和应用程序

执行严格的访问控制措施

仅在有业务需要的情况下方允许相关人员获取持卡人数据
向拥有电脑使用权限的每个人分配唯一ID
对实体环境下获取持卡人数据实行管制

定期监测网络

追踪并监察所有获取网络资源及持卡人数据的情况
定期测试安全系统和程序

制定信息安全政策

制定保护信息安全的政策

如需了解有关支付卡行业数据安全标准的更多信息并查看相关文档，请访问支付卡行业数据安全标准委员会网站。

访问网站

保护数据安全为何很重要

消费者使用信用卡和借记卡的次数越频繁，就会有越多的持卡人账户数据需要被处理甚至存档。

因此，如果相关企业不采取必要措施主动地以安全方式收集和储存持卡人数据，则该类数据被盗用的风险就越高。支付卡行业数据安全标准计划为该类企业提供了可遵循的统一标准，以保障所收集和储存的消费者持卡人数据的安全。

保护持卡人数据对您的企业有以下几大好处。

1. 建立消费者信任

许多消费者并不只在他们认为值得信赖的商户购物一次，他们日后还可能再次光顾并向他人推荐这些商户。Visa曾于2006年赞助开展了一项涉及12个国家的调查。该调查发现，个人及财务信息安全是消费者首要考虑的因素。这些消费者还表示，商户采取的数据安全措施会影响他们在商户购买产品与服务的决定。

遵守行业标准能表明您对保护消费者机密支付信息的重视。这种信息安全对赢得并保持消费者信任非常重要。

2. 增强安全性

支付卡行业数据安全标准的主要目标是在支付系统的所有环节保护机密数据。遵守支付卡行业数据安全标准能增强数据安全意识，帮助您加强安保措施，尽量降低数据失窃的风险

3. 避免不必要的支出

实行严格的数据安全政策有助您预防数据失窃问题，从而避免企业声誉和利润受损。

如果因安全措施不力导致数据泄漏，您的企业或会遭受重大司法审查、诉讼、处罚，总体运营也会受到严重影响。

实行有效的数据安全标准，您就可以避免这些支出，同时维护企业的良好声誉。

4. 维护正面形象

鉴于时下公众对个人数据安全问题越来越关注，遵守支付卡行业数据安全标准对于保护您的企业在消费者及媒体眼中的形象大有裨益。

5. 获得竞争优势

严格的数据安全政策有助您树立诚信可靠的声誉。如果顾客相信把机密账户资料交给您十分安全，他们就会经常惠顾，从而增加您的营收，为您带来竞争优势。

保护您的客户数据免遭黑客攻击

遵照这些实用的安全提示以保护您的持卡人信息以及您的业务：

存放
尽量少储存持卡人信息，绝不储存信用卡或借记卡磁条所含信息。
账户
当不再需要账户信息时，安全地销毁信息。绝不储存CVV、CVV2或PIN码。
网络
确保您的支付卡收款环境与互联网等公共网络适当隔离，并定期对您公司的安全系统进行检测。

密码
更改软件开发商最初提供的系统密码及安全码。
加密
对储存在处理机构电脑中的所有支付卡信息以及通过互联网或其他公共网络传输的任何支付卡数据进行加密。
访问权限
仅在有必要知道的情况下向员工提供客户数据的访问权限，并确保其获得唯一的ID。您还应制定信息安全政策，详细说明负责处理客户数据的雇员须遵守的规定。

使合规性成为您业务的首要事务

软件
请检查软件及更新偏好设定（特别是杀毒软件和操作系统），确保账户信息不会在您不知情的情况下被储存。检查软件是否符合支付应用程序数据安全标准。

合规性
根据支付卡行业数据安全标准委员会网站上的支付卡行业要求进行安全评估，包括拥有持卡人数据访问权限的所有第三方供应商。

遵守支付卡行业数据安全标准

所有储存、处理或传输持卡人数据的商户均须遵守支付卡行业数据安全标准，并通过适当的途径获得合规认证。

以下说明了Visa Canada所确定的商户级别以及各级别的认证规定。

商户级别和认证规定

以下说明了Visa Canada所确定的商户级别以及各级别的认证规定。


	说明	认证规定	认证机构
商户级别1	每年处理逾6,000,000笔Visa交易的商户	每年进行一次支付卡行业数据安全现场评估每年完成一次支付卡行业自我评估问卷每季进行网络扫描	合格安全评估机构（QSA）批准的扫描服务商（ASV）
商户级别2	每年处理1,000,000至6,000,000笔Visa交易的商户	每年完成一次支付卡行业自我评估问卷每季进行网络扫描	合格安全评估机构（QSA）批准的扫描服务商（ASV）
商户级别3	每年处理20,000至1,000,000笔Visa电子商务交易的商户	每年完成一次支付卡行业自我评估问卷每季进行网络扫描	批准的扫描服务商（ASV）
商户级别4	所有每年处理的Visa电子商务交易量不足20,000的商户和所有每年处理的Visa交易量不超过1,000,000的其他商户。	每年完成一次支付卡行业自我评估问卷每季进行网络扫描	为了帮助您满足支付卡行业数据安全标准要求，支付卡行业安全标准委员会针对小商户提供多种资源。如需了解更多信息，请访问支付卡行业安全标准委员会网站。

确保您信息的安全，并确保您符合PCI标准

查看评估机构

服务供应商合规性

服务供应商指代表商户或其他服务供应商储存、处理或传输持卡人数据的组织。所有服务供应商均须遵守支付卡行业数据安全标准，包括聘请合格安全评估机构对其遵守支付卡行业数据安全标准的情况进行认证。

有关服务供应商须达到的合规要求的详情以及已获得支付卡行业数据安全标准合规认证的服务供应商的列表，请浏览：

Visa服务供应商合规要求

Visa认证服务供应商列表

支付应用程序数据安全标准

支付应用程序数据安全标准（PA-DSS）由支付卡行业安全标准委员会管理，旨在帮助软件供应商开发支持支付卡行业数据安全标准的安全的第三方支付应用程序。

向第三方出售、分发任何支付应用程序或授予许可均须遵守支付应用程序数据安全标准的规定。尽管非针对第三方的应用程序不受支付应用程序数据安全标准的约束，但仍须依照支付卡行业数据安全标准确保其安全性。

最后，支付应用程序数据安全标准不适用于独立的销售点终端机、数据库软件和网络服务器软件。

如需了解有关支付应用程序数据安全标准的更多信息，包括合规的支付应用程序列表，请访问支付卡行业安全标准委员会网站。