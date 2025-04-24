PCI DSS 所覆盖的任何企业若未能遵守该标准的要求，将受到严厉的处罚和罚款。罚款数额不等，具体取决于违规的严重程度，但金额通常在几千到几十万美元之间，并且在整改完成前可能持续罚款。然而，声誉损失的成本可能要高得多。数据泄露会导致丧失客户信任，从而造成客户流失甚至集体诉讼。在 2019 年的一次数据泄露中，有 3,400 万张支付卡 受到影响，最终造成 800 万美元的诉讼成本；调查发现其中存在多种违反 PCI DSS 标准的行为。
黑客的目标是金钱，所以金融交易成为欺诈和网络犯罪活动的重灾区。例如，2022 年 Akamai 的一份报告 就发现，针对金融服务公司的 Web 应用程序和 API 攻击与上一年相比增长了 257%。此外，联邦贸易委员会的数据显示，2022 年金融欺诈给消费者造成了将近 88 亿美元的损失，相比 2021 年增长了 44%。
为了帮助遏制利用支付卡数据进行金融欺诈和金融犯罪的势头，PCI 安全标准委员会 提出了一项信息安全标准，称为 PCI DSS（支付卡行业数据安全标准）。下文介绍了 PCI DSS 要求的内容。
PCI DSS 概述
PCI DSS 是 2004 年启动的一套安全标准；这些标准适用于任何接受、处理、存储或传输信用卡数据的企业。PCI DSS 由 PCI SSC（支付卡行业安全标准委员会）负责管理，组成该委员会的大型信用卡公司包括Mastercard、Visa、Discover、美国运通和 JCB。
PCI DSS 现已成为加强支付卡数据安全和防止安全漏洞的一项全球公认标准。然而，随着威胁形势的演变，新的威胁不断涌现，这套网络安全标准也在改变。PCI SSC 在 2022 年 3 月发布了最新的 PCI DSS v4.0 版本，并要求企业在 2025 年 3 月（2024 年 3 月 PCI DSS v3.2.1 停用后的 12 个月）实现完全合规。
PCI DSS 可以应对各种威胁，其中包括：
- 恶意软件
- 网络钓鱼
- 远程访问控制和身份验证
- 弱密码
- 遗留软件
- 信用卡侧录
PCI DSS 安全控制措施
PCI DSS 包含 12 条控制措施，用于保护持卡人数据安全。这些措施立足于“人员、流程和技术”的理念，包括使用防火墙、数据最小化、持卡人数据加密传输、强大的访问控制、防病毒软件、定期渗透测试和漏洞风险评估、补丁管理，以及通用安全环境控制。
需要遵守 PCI DSS 的企业类型
网络犯罪分子志在金钱，所以任何处理金融交易的企业都可能成为他们的目标。到 2023 年底，全球 在线支付欺诈给电子商务业造成的损失预计将超过 480 亿美元。此外， 普华永道 2022 年全球经济犯罪和欺诈调查发现，超过一半的受访者在过去两年内曾遭遇金融欺诈。根据 Verizon 2023 年数据泄露调查报告(DBIR) 所载，权限滥用是金融业大部分数据泄露事件的幕后黑手。
PCI DSS 标准适用于接受、处理、存储或传输持卡人数据的任何企业，因此以下类型的企业必须满足该标准的要求：
- 各种规模的商家
- 金融机构
- 支付服务提供商，包括硬件和软件提供商
- 销售点 (POS) 供应商
下面是一些受 PCI DSS 影响的企业示例：
小商户和零售商
中小型企业 (SMB) 与大型企业一样面临着严重的数据泄露风险。根据 2022 年 DBIR 报告，有 61% 的中小企业经历过至少一次数据泄露。PCI DSS 下有四个商户合规级别，小商户必须遵守相应级别的安全准则：
1 级：每年处理的信用卡交易数量超过 600 万笔
2 级：每年处理的信用卡交易数量在 100 万至 600 万笔之间
3 级：每年处理的信用卡交易数量在两万至 100 万笔之间
4 级：每年处理的信用卡交易数量不到两万笔
小商户务必将安全保护视为一项综合性任务，确保 IT 系统受到防火墙保护，实施强大的访问控制策略，并对持卡人数据进行加密。为了实现 360 度的安全保障并简化这一过程，中小型企业应该采用能够保护数据、设备和人员安全的解决方案。
服务提供商
服务提供商是指任何可能影响支付数据安全性的企业，它甚至可能隶属于另一个企业。PCI DSS 有两个服务提供商合规级别，具体取决于服务提供商处理的交易级别：
1 级 服务提供商：每年处理的交易达到 30 万笔或更多（针对美国运通卡，交易达到 250 万笔或更多）
2 级服务提供商：每年处理的交易不到 30 万笔（针对美国运通卡，交易不到 250 万笔）
与中小型企业商户一样，服务提供商必须遵守 PCI DSS 安全措施和控制策略。
Akamai 如何帮助企业满足 PCI DSS v4.0 的要求？
Akamai 已获得 PCI DSS 1 级服务提供商认证，这是该标准下最高的评估级别。Akamai 还提供一系列解决方案，帮助企业满足 PCI DSS 六大核心领域的要求。以下 Akamai 解决方案提供符合 PCI 要求的安全控制措施， 可帮助企业满足 PCI 标准下的 12 项要求：
App & API Protector（含 Malware Protection 附加模块）：确保日志合规性并防止 PII 数据泄漏、零日攻击、CVE 以及其他基于边缘的攻击。
API Security：检测 API 行为并减少逻辑滥用，保护网站、资产并避免 PII 丢失。
Client-side Protection & Compliance：针对浏览器中执行的所有脚本，保存一份清单并检查合理性，监视脚本行为的变化，并标记任何可疑的脚本活动。
Akamai Guardicore Segmentation：确定监管资产的范围，使得满足合规要求更容易。
Secure Internet Access Enterprise：阻止或监控包含 PII、PCI DSS 或 HIPAA 数据的内容上传。
常见问题
PCI DSS（支付卡行业数据安全标准）是一套安全标准，用于确保所有接受、处理、存储或传输信用卡信息的公司维持安全的运营环境。
任何企业无论交易规模或交易数量如何，只要接受、传输或存储任何持卡人数据，都必须遵守 PCI DSS。
符合 PCI DSS 规定的企业必须集中力量保护金融数据的安全。PCI DSS 安全要求适用于两大类数据：持卡人数据和敏感身份验证数据。
持卡人数据
- 主账号 (PAN)
- 持卡人姓名
- 到期日期
- 服务代码
敏感身份验证数据
- 全磁道数据（磁条数据或芯片上的等效数据）
- CAV2/CVC2/CVV2/CID
- PIN/PIN 数据块
