关于PCI的介绍-行业知识

2000年以来，电子支付在全世界范围蓬勃发展，在给人们带来极大便利的同时，也催生了各种形式的欺诈盗窃等严重危害用户支付安全的行为，各个金融组织机构针对电子支付的安全都采取了各种严格的安全防范措施。

2006年，VISA和MasterCard联合多家机构，成立了支付卡行业数据安全标准委员会（PCI SSC），

委员会的主旨是鼓励所有关键业内机构采用数据安全标准；培养和管理全球范围内有资质的授权扫描服务商（ASV）；括商户、银行、第三方机构和POS厂商；以及邀请机构加入到此标准的维护行列。同时，为了建立统一的业界标准，最大程度的降低支付卡风险，标准委员会联合制定了旨在严格控制数据存储以保障支付卡用户在线交易安全的数据安全标准（PCI DSS）。

PCI DSS不仅成为了VISA信用卡支付必须的认证标准，也为各机构提供了一个最高级别的保障敏感信息安全性的产业工具和方法的通用集合。该标准制定了一套行业必须达到的共同规定，以确保持卡人资料获得安全及妥善处理。PCI-DSS对于所有的商户、发卡行、收单行和持卡人都有系统的专项要求，这个标准也划分了商家的规模大小。例如，VISA是一个单独的系统，对于亚太地区的支付卡网关和第三方服务商提出凡是月授权交易额达600万，就必须拿到一级安全控制的标准。也就是说，假如某个第三方支付平台，当月与VISA授权交易总额达到了600万，就必须要通过PCI-DSS。这个标准是所有支付卡品牌的强制标准。

PCI-DSS安全认证的主要过程是由VISA和MasterCard授权的独立审查公司完成的一次彻底的在线支付系统安全审查，其中有近200项审查内容。包含6大领域12项要求的规范，其认证过程异常严苛且繁杂，

PCI DSS的要求是从这六个方面对商户进行审核的：建立和维护网络安全，保护持卡人数据，维护漏洞管理程序等等，还有维护信息安全策略，对公司的管理体系、公司文档以及政策的审核。

认证过程包括自我安全检测(Self Security Probe)、漏洞分析(Analysis of the Vulnerabilities)以及由协会执行的安全调查(Security Investigation by the Council)三个阶段，考察范围涉及硬件、软件及员工等多项指标。

审查范围包括硬件、软件、工作流程、员工、用户等诸多内容。

PCI-DSS规定的基本安全措施包括：不允许商家存储任何信用卡的三位或者四位确认码；不允许商家无必要的显示信用卡的所有位数；在实现网上交易时，传递信用卡的信息时必须使用加密；密码设置至少要有7位，必须有数字和字母；修改密码时不能提供和前四次相同的密码，试密码不能超过6次。此外，还有诸如要求商家内部网络安装防火墙，监测重要数据的使用记录，等等重要措施来保护信用卡数据安全，等等。

在系统里面保存主帐号，就需要通过PCI DSS这个标准对客户的数据进行保护。下面的信息是说在PCI DSS里面不允许商家或第三方支付卡或支付网关保存持卡人的姓名、服务代码、服务期限、词条代码等。

通过PCI认证的公司有：

•   收汇宝

收汇宝是深圳市收汇宝网络技术服务有限公司2006推出的专门针对外贸企业的外贸收款产品。目前包含网上收单，电话收单，邮件收单和POS收单等四种海外收汇方式。产品覆盖全球126个国家，拥有国际所有主流的支付通道， 同时收汇宝拥有多种海外帐户可以支持多项收款。

2008年12月，通过国际支付卡最高安全认证——PCI-DSS认证。

•   快钱

快钱公司（快钱）是国内领先的独立第三方支付企业，旨在为各类企业及个人提供安全、便捷和保密的综合电子支付服务。

2009年5月18日起快钱所有涉卡业务均通过PCI DSS最新版本V1.2认证。持卡人使用信用卡无卡支付、信用卡分期付款、快钱快易付代扣、信用卡跨行还款、银行卡支付等相关卡业务时，持卡人的机密信息享有更为有效、全面、标准化地保护

•   环迅支付

环迅支付 成立于2000年，是国内最早的支付公司之一 。

2008年，环迅支付通过国际支付卡最高安全认证——PCI-DSS认证。

根据支付卡行业数据安全标准委员会提出的要求，在今年年底前，使用在线信用卡支付的大型商户在安全控制上的所有指标都必须达到PCI-DSS规定的在线交易的数据安全标准的要求，否则就得不断的承受巨额罚款直到达标为止。

如果支付宝跟VISA做了600万，一定要通过PCI DSS，因为这个标准是强制性的，不是国家的，是所有支付卡品牌强制的标准。强制你通过这个标准，我们不能去跟他争辩是不是可以不过，我们一定要过。