PCI DSS支付卡行业数据安全标准是什么?定义、流程、例子与常见问题
PCI DSS支付卡行业数据安全标准是面向存储、处理或传输支付卡账户数据的组织所建立的一套行业安全要求,不是政府颁发的通用法律。本文围绕PCI DSS在真实支付链路中的作用、边界和常见误解展开。
核心要点
- 定义:PCI DSS支付卡行业数据安全标准是面向存储、处理或传输支付卡账户数据的组织所建立的一套行业安全要求,不是政府颁发的通用法律。
- 流程位置:PCI DSS规定保护支付账户数据环境的安全要求;CHD至少围绕完整PAN,SAD包含用于认证或授权的高敏感数据。
- 不要混淆:PCI DSS / 持卡人数据
它如何进入支付流程
对PCI DSS而言,相关流程如下:PCI DSS规定保护支付账户数据环境的安全要求;CHD至少围绕完整PAN,SAD包含用于认证或授权的高敏感数据。加密保护数据内容,脱敏限制显示,HSM保护密钥并执行密码运算,它们解决的是不同层面。
评估PCI DSS时,应关注以下要点:组织应先画出数据流、确定范围和责任,再选择访问控制、加密、日志、漏洞管理与密钥管理。取得合规证明只覆盖被评估范围和时点。
实际例子
商户评估PCI DSS范围时追踪网站、客服、日志、数据库和服务商如何接触账户数据。通过一次合规评估不代表以后无需维护控制。
与相近术语的区别
| 术语 | 定义 |
|---|---|
| PCI DSS支付卡行业数据安全标准 | 是面向存储、处理或传输支付卡账户数据的组织所建立的一套行业安全要求,不是政府颁发的通用法律 |
| 持卡人数据 | 是在PCI DSS语境下以PAN为核心并可能包含持卡人姓名、有效期和服务代码的数据集合 |
| 敏感认证数据 | 是用于验证持卡人或授权交易的高敏感数据类别,如完整磁道数据和卡片验证码,授权后存储受到严格限制 |
PCI DSS的定义重点是“是面向存储、处理或传输支付卡账户数据的组织所建立的一套行业安全要求,不是政府颁发的通用法律”;持卡人数据则“是在PCI DSS语境下以PAN为核心并可能包含持卡人姓名、有效期和服务代码的数据集合”。两者可能出现在同一交易中,但回答的是不同问题。
使用与风险边界
PCI DSS有一项关键边界:加密数据不自动退出PCI DSS范围,界面脱敏也不代表存储已截断。SAD在授权后的存储限制尤其严格,不能用业务便利覆盖。
常见问题
下面回答搜索PCI DSS时最常见的两个判断问题。
和持卡人数据是一回事吗?
不是。PCI DSS支付卡行业数据安全标准是面向存储、处理或传输支付卡账户数据的组织所建立的一套行业安全要求,不是政府颁发的通用法律。持卡人数据(CHD)是在PCI DSS语境下以PAN为核心并可能包含持卡人姓名、有效期和服务代码的数据集合。判断时应分别核对对象、流程阶段和责任方。
数据已经加密,系统就一定不在PCI DSS范围内吗?
就PCI DSS而言,不一定。PCI SSC明确说明,仅加密不足以自动使持卡人数据退出PCI DSS范围,还要评估密钥、访问和环境关系。
以下一手资料用于核对PCI DSS的定义与流程;具体产品和地区规则仍以当前正式文件为准。