理解PCI合规对您业务的影响

什么是PCI合规？

PCI合规指的是符合由PCI安全标准委员会制定的安全标准，亦即实施、遵守和合规证明的三步流程。制定此类标准是为了促进在行业范围内采用统一的数据安全实践。它们的设计初衷是对从销售点到交易的持卡人数据进行保护，甚至在部分情况下对此类数据进行长期保存

PCI适用于哪些人群？

要求所有接受、传输或保存任何信用卡信息的组织都必须符合PCI标准。这与其规模大小和处理方式无关，适用的范围还包括服务供应商（处理商、网站托管公司、网关等）。只有仅接受现金付款的商户无需符合PCI标准。

验证商家是否符合PCI标准的要求有哪些？

为了符合PCI标准，商户必须每年完成并通过自我评估问卷调查(SAQ)，并且开展季度网络安全漏洞扫描（仅限通过互联网处理或传输持卡人信息的商户）。

商户必须每年完成并通过一次SAQ，且需要在假设商户接受、处理和保存交易的方式保持不变的前提下进行。如果商家处理、传输或保存的方式发生改变，商户应该审核SAQ，并进行适当更改以确保其PCI合规始终维持在有效的状态。

经由互联网保存、处理或传输持卡人数据的商户应该每隔90天通过一次由漏洞扫描服务商(ASV)认证的网络漏洞扫描。与SAQ要求类似，若处理持卡人数据的网络发生了变化（例如安装了新的路由器），应另外开展一次扫描以确保商家能够继续保护新硬件或软件上的此类数据。

PCI合规的益处有哪些？

PCI合规是银行卡组织、Planet Payment和我们的赞助银行所设定的要求。遵守PCI DSS要求能显著降低商家承受的风险，避免成为顾客的敏感持卡人数据泄露的受害者。数据泄露对于商家来说极其不利，可能招致严重罚款、潜在的法律诉讼、价格高昂的法务审计，以及商业信誉受到负面的影响。

另外，顾客通常都非常谨慎，担心自己的信用卡信息被窃取，而PCI合规能以最高的行业标准保护他们的敏感数据，让顾客更加安心。消费者一般也更为信赖已通过PCI合规验证的商家。

不符合PCI标准会产生哪些后果？

若不符合PCI标准，则将按照严重程度不同进行处罚，轻者只会产生费用，重者可能招致最终导致公司停业的高额罚款。商户在经历过数据泄露以后所要承受的不良后果会大幅加剧。

即使在数据泄露发生前，商家也会面临以下情况：

• 每月因不合规而产生的罚款，直至通过PCI合规验证
• 顾客可能担心其敏感持卡人数据的安全性，并且不太会愿意与商户开展业务

在商户经历过数据泄露以后，其业务可能要承受以下后果：

• 由商户接受的所有信用卡品牌产生的大量罚款
• 因顾客或商户服务供应商提出的法律诉讼
• 昂贵的法务安全审计
• 冻结商户账户内的资金，以用于补偿潜在的费用或损失
• 由商户服务供应商终止商户账户
• 信誉受损而可能导致销额下降

什么是数据泄露？

数据泄露指的是外部黑客或员工非法入侵信用卡数据处理系统，并盗取与恶意使用此类数据的行为。

我需要多久验证一次PCI合规？

根据PCI安全标准委员会的强制要求，商户每年都必须完成一次SAQ（自我评估问卷调查），以便对其合规情况进行验证。

针对经由互联网处理、保存或传输持卡人数据的商户，还需要每隔90天开展一次网络安全漏洞扫描。

值得一提的是，如果商户更改处理信用卡/借记卡的支付方式或处理顾客的敏感持卡人信息数据的方式，他们应该审核并确认他们在SAQ上提供的答案能够准确反映更改后的方式。

Panoptic是谁？

Panoptic是与Planet Payment签约负责处理并在我们的商户寻求符合PCI标准时提供协助的技术安全公司。Panoptic隶属于Sysnet Global Solutions，后者是PCI安全标准委员会授权的合格安全评估商和认证漏洞扫描服务商。

为什么我无法直接与Planet Payment合作？

为了提供全面的PCI合规验证，Planet Payment选择由Panoptic处理该任务。Planet重视与其所有顾客的关系，并且为了尽可能地提供最出色的服务，我们选择了Panoptic并允许他们与您直接合作进行PCI合规验证。

Planet Payment的PCI合规计划是否会产生相关的费用？

PCI合规服务每个月会收取6.95美元。任何PCI合规验证失败的商户每月将被收取49.95美元的违规费用。

如果不想遵守该计划会怎么样？

所有接受借记卡/信用卡交易作为支付方法之一的商户都必须符合PCI标准。请知悉，若无法做到这一点，可能会对您的商户账户不利，其中包括49.95美元违规费用以及您的商户账户可能会被终止。

如果已经在PCI合规方面与其他供应商合作，对我会有什么影响？

既然您已经符合PCI标准，则无需担心，我们设计该计划的目的是为了让您可以快速地把信息提供给我们。如果您合规验证的时间超过一年，它很有可能已经过期。您需要联系供应商，获取有效的合规验证，然后将文件上传到我们的PCI门户。您需要填写一份精简的SAQ（自我评估问卷调查）。

如果没办法做出更改以符合PCI标准，我该怎么办？

PCI合规现在是针对任何希望接受信用卡和借记卡支付业务的商户而提出的要求，就像健康与安全合规是针对任何经营商店、办公室或工厂商家的要求一样。如果您无法安全地做到这一点，那么您的业务经营可能存在重大的隐患。即使无法立即获得合规性，您也需要通过一步步努力展现出以最终符合PCI标准的决心。

为什么我的其他处理商/收单银行没有此类要求？

其他银行和处理商可以自行选择如何遵守组织规章和行业标准。Planet Payment选择此合规方法以履行我们的义务，因为我们认为它最有效，且成本效益也最高。

我不会保存任何信用卡信息，因此我就是安全的吗？

虽然不保存信用卡/借记卡信息能大幅降低您的数据被泄露的风险，但您也并非完全安全。黑客窃取信用卡信息的方式有很多，即使未保存的信息也不能幸免。在传输期间窃取信用卡/借记卡信息是最常见的方法之一，而保存只是该极为复杂流程的一个方面。

如果符合标准但数据依然 发生泄露，我要承担什么责任呢？

只要数据发生泄露，商户就需要承担责任，不过由银行卡网络产生的罚款较轻，而且在特定情况下，若能证明自己完全遵守相关规定，某些情况下商户的罚款可能被豁免。

什么是数据泄露保险？

在商户的顾客、持卡人数据被泄露时，数据泄露保险可将商户要承担的风险转移到保险商身上。部分保单可能包括强制性是法务审计费用、信用卡更换的成本和费用，以及由银行卡赞助商所征收的评估费用或罚金；部分保单甚至涵盖因员工欺诈所导致的泄漏、数据物理窃取和电脑黑客攻击等情况。

如果我不想支付相关费用/此类费用金额能否降低呢？

为了支付该计划的成本，包括保险等，Planet Payment将从您的账户扣取适当的费用。Planet Payment已竭力确保相关费用保持在合理范围以内。如果您要自己开展QSA和ASV，相关费用可能会更高。

我可以向谁寻求帮助？

作为Planet Payment和Panoptic Security合作关系的一部分，您可以联系他们以寻求帮助，并解答与PCI有关的任何问题。您可以拨打801-783-2322，然后按1，与他们联系。

我可以在哪里了解更多信息？

如需与PCI合规有关的更多信息，请访问支付卡行业安全标准委员会的官方网站。下文还随附了每个银行卡品牌组织安全指南网站的链接。

• PCI安全标准委员会
  
• Visa
• MasterCard
  
• Discover
  
• American Express
  
• Panoptic Security的资料库