网络犯罪分子志在金钱，所以任何处理金融交易的企业都可能成为他们的目标。到 2023 年底，全球 在线支付欺诈给电子商务业造成的损失预计将超过 480 亿美元。此外， 普华永道 2022 年全球经济犯罪和欺诈调查发现，超过一半的受访者在过去两年内曾遭遇金融欺诈。根据 Verizon 2023 年数据泄露调查报告(DBIR) 所载，权限滥用是金融业大部分数据泄露事件的幕后黑手。

PCI DSS 标准适用于接受、处理、存储或传输持卡人数据的任何企业，因此以下类型的企业必须满足该标准的要求：

各种规模的商家

金融机构

支付服务提供商，包括硬件和软件提供商

销售点 (POS) 供应商

下面是一些受 PCI DSS 影响的企业示例：



小商户和零售商

中小型企业 (SMB) 与大型企业一样面临着严重的数据泄露风险。根据 2022 年 DBIR 报告，有 61% 的中小企业经历过至少一次数据泄露。PCI DSS 下有四个商户合规级别，小商户必须遵守相应级别的安全准则：

1 级：每年处理的信用卡交易数量超过 600 万笔

2 级：每年处理的信用卡交易数量在 100 万至 600 万笔之间

3 级：每年处理的信用卡交易数量在两万至 100 万笔之间

4 级：每年处理的信用卡交易数量不到两万笔

小商户务必将安全保护视为一项综合性任务，确保 IT 系统受到防火墙保护，实施强大的访问控制策略，并对持卡人数据进行加密。为了实现 360 度的安全保障并简化这一过程，中小型企业应该采用能够保护数据、设备和人员安全的解决方案。

服务提供商

服务提供商是指任何可能影响支付数据安全性的企业，它甚至可能隶属于另一个企业。PCI DSS 有两个服务提供商合规级别，具体取决于服务提供商处理的交易级别：

1 级 服务提供商：每年处理的交易达到 30 万笔或更多（针对美国运通卡，交易达到 250 万笔或更多）

2 级服务提供商：每年处理的交易不到 30 万笔（针对美国运通卡，交易不到 250 万笔）

与中小型企业商户一样，服务提供商必须遵守 PCI DSS 安全措施和控制策略。