无论您喜欢或讨厌与否,PCI DSS(支付卡行业数据安全标准)合规性对于所有接受信用卡或借记卡支付的商户来说都是不争的事实。但是,随着PCI DSS 4.0于2024年4月1日生效,这一事实将会改变:为增加客户信任、减少欺诈以及更安全地处理持卡人数据铺平道路。
在本文中,我们将探讨 PCI合规 的最新面貌:首先了解如何实现它,再解析它给商户带来的主要挑战。然后,我们将深入探讨PCI 4.0可以提供的令人兴奋的机会 - 以及Checkout.com如何帮助您抓住这些机会,避免手续费用和处罚,并使您的企业在竞争中脱颖而出。
要符合 PCI 合规性(如果您的业务处理卡支付,则需要符合 PCI 合规性),您需要掌握三个关键原则:
我们将在下面解释这些含义。
与 PCI 的上一个版本 v3.2.1 以及之前的版本一样,PCI 4.0 为商户实现合规性提出了 12 项要求。这些涉及到:
要了解更多关于 PCI 4.0 要求以及最新版本如何基于既定 12 条规则的更多信息,请查阅我们的指南:PCI DSS 4 – 商户需要了解的内容。
在传统意义上,对于商户来说,PCI 合规性是一个棘手且耗时的过程,尤其是那些对接受线上支付的管理或技术部分不感兴趣、只想要其提供便捷和顺畅体验的商户来说。
举个例子?PCI SAQs(自我评估问卷)。要开始成为 PCI 合规流程,您不仅需要填写其中一份调查问卷(最长有 329 个问题),还需要弄清楚哪种表格(共有 9 个问题)适用于您的业务。
理清SAQ的复杂性只是正确的支付服务商(或 PSP;像 Checkout.com 这样代表您的企业处理数字支付的公司)可以帮助您实现和保持 PCI 合规性的方法之一。
Checkout.com 符合 PCI DSS 1 级(最高级别)。于您而言,这意味着,当您通过我们处理某些支付方式时,我们可以代替您肩负起实现 PCI 合规性的责任。例如,通过托管支付网关,您的客户可以从您的电商平台购买产品,但是需要在我们服务器上的支付页面进行付款 - 支付链接和框架也是如此。
在这种情况下,您的企业永远不会接触持卡人的敏感支付信息,从而很大程度上减轻您的 PCI 负担,这意味着您很可能只需填写最短、最简单的 SAQ。(即SAQ A,只有 22 个问题。)
此外,当您选择像 Checkout.com 这样可靠、信誉良好的 PSP 时,您不仅能得到我们的帮助,还可以从我们的关系网中获益。例如,我们与 SecurityMetrics 合作,一个领先的商业数据解决方案安全提供商和经过认证的合格安全评估师 (QSA) ,帮助您更新和验证 PCI 认证。
从一开始就有一个 QSA 是一个很好的主意-尤其是因为这些组织将在验证时评估您的PCI合规性。
要符合 PCI 要求,您企业的安全设置需要由外部组织(我们上面提到的 QSA)进行验证,以确保您满足 12 项 PCI 要求(上面也提到过)。
为了让您的企业在以前的 PCI 版本中为这一流程做好准备,您很可能已经采用了已定义的方法。这是实施和验证 PCI 十几个关键要求的传统方法,并遵循 PCI SSC(支付卡行业安全标准委员会)制定的既定行业标准和最佳实践。
已定义的方法本质上是一个结构化、标准化的框架,帮助您的企业实现 PCI 合规性。该方法经历多次尝试,通过了测试,所以只要严格遵循,您就可以成功实现 PCI 合规性。
然而,PCI DSS 4.0 的作用是为企业引入更多的回旋余地,尤其是具有更复杂运营需求和流程的大型企业。
这是一种定制化的方法,与严格遵循一组标准的细化规则不同,它允许您设计专门的安全控制措施,以更好地与您的技术和商业需求相匹配。定制化方法提供了灵活性;并且,因为它允许您更直接地解决任何特定的安全风险或漏洞,所以可以使您的组织比采用规定方法更安全和符合PCI标准。
在Checkout.com,我们知道没有雷同的两个组织的,他们实现 PCI 合规性的方法也不尽相同。因此,我们将帮助您的企业采取定制途径来满足您企业的 PCI 合规需求。
PCI 4.0 的推出是一个积极的变化,带来振奋人心的机遇。
但是,变革与挑战是齐头并进的(即使两词听起来如此相似!)。既然 PCI 4.0 本质上是全新的,那么我们在初期会遇到什么样的困难呢?
最终,PCI 4.0 扩展了先前版本的范围,包括更多的系统和流程:这意味着从2024年4月1日起,您将需要更多的资源、更多的努力和更多的维护来保持合规性。当您开始应对 PCI 4.0 带来的变化时,您也可以预见到您将面临相当多的过渡挑战。
为了回顾这些更新的内容,这份由 PCI SSC 本身发布的变更摘要文档提供了全面的(但不太浅显易懂)概要。
您可能还记得,PCI SAQ A是最简短、最简单的PCI自我评估问卷。
当您最少程度参与处理持卡人数据时(例如,当您与 Checkout.com 等 PSP 合作处理付款时),您将填写此信息。
然而,PCI 4.0 引入的变化将对 SAQ A 产生影响。因此,我们汇总了您在填写 PCI 合规性 SAQ A 表格时可能面临的主要挑战的简短列表:
尽管存在挑战,但值得重申的是,PCI 4.0 是一件好事。毕竟,它是由来自2000多个企业的6000多个反馈意见制定的——因此它是根据商户的意见制定的,旨在确保商户以更安全、更可持续的方式保护客户数据。(同时也是您的企业声誉和利润的保证。)
但为 PCI 4.0 合规性做准备并不是一个“一劳永逸”的过程。它需要持续优化和定期调整,以及与 PSP 之间清晰、开放的沟通渠道。
如果您没有 PSP – 或者不完全确信他们是合适的 – 请立即在 Checkout.com 与我们的支付专家团队联系,了解我们如何满足您企业的 PCI 合规性需求。
史蒂夫·乔布斯曾经说过:“创新是将变革视为机遇,而不是威胁的能力。”那么,您准备好进行创新并详细了解 PCI 4.0 在 2024 年为您的企业带来的 6 大令人激动的可能性吗?
如果是这样,请继续阅读。
PCI 4.0 引入了几项关键条例,帮助您保护客户的敏感支付信息。其中强制性的变化包括:
这些更改可帮助您满足多项 PCI 要求:尤其是那些指定您限制、识别和验证有权访问 CDE 的用户的要求。然而,这些新的 PCI 4.0 强加的安全措施也为您的组织带来了更切实、更直接的好处——最大限度地降低数据泄露的风险。
令人震惊的是,88%的数据泄露都是由人为错误引起的:最常见的是网络钓鱼计划,即不知情的员工点击电子邮件或短信中的恶意链接,并在此过程中损害企业的整个安全设置。
PCI 4.0 规定每年进行网络安全意识培训,让您的员工了解最新的网络钓鱼和社会工程技术,以减轻违规行为对您业务的影响,从而帮助您领先黑客一步。考虑到 2023 年数据泄露给组织造成的平均财务成本为 445 万美元,而且对于某些公司来说,声誉受到的打击可能更严重,PCI 4.0 可以为您节省很多钱。
PCI 合规性始终作为客户信任的依据。
就像公司社交媒体账户上的蓝色勾号或告诉您可以安全访问网站的挂锁符号一样,PCI 向您的客户表明您致力于以合规、安全的方式处理他们的卡支付数据。
首先,这建立了信任;其次,它培养了忠诚度;在更长远的发展中,它相当于带来回头客 - 甚至是终身客户,对您的业务产生积极而持久的印象。
那么,PCI 4.0 提高了持卡人数据处理的安全要求,为什么不通过与客户群分享您的合规活动来进一步建立消费者信任呢?
例如,您可以写一两篇关于这些变化及其对客户的意义的博客。您可以为员工创建有关网络安全意识培训的视频内容,甚至可以在您的网站上分享这些新发现的知识作为提示,从而帮助您的受众免受网络钓鱼和社会工程攻击。通过鼓励他们了解更多信息—不仅了解 PCI 4.0 的原则,还了解它在实践中对他们意味着什么—您将向他们展示您是多么尊重和重视他们(包括他们的数据和习惯)。
在竞争激烈的市场中(通常都在争夺相同且不断缩小的客户群),正确的 PCI 4.0 实施可能是至关重要的市场差异化因素。
迅速采取行动,遵守(并宣传您对)PCI 4.0 的要求,将使您从不优先考虑甚至不满足合规性水平的类似企业中脱颖而出。
当然,这可以帮助您赢得新客户并保留现有客户。它还可以为您赢得新的合作伙伴关系和合作机会—尤其是对于那些从2024年4月1日起要求完全符合 PCI 4.0 的各种组织来说,这是做生意的先决条件。这样,实现和保持 PCI 4.0 合规性可以为您的业务开启新的收入来源、市场、客户和商业盟友。
上面,我们讨论了 PCI 不合规的间接后果(例如数百万美元的数据泄露)可能造成的财务损失。但是,未能满足 PCI 4.0 下的新义务也会带来一系列处罚。
目前,在问题得到解决之前,PCI 不合规行为每月造成的损失为 5,000 至 100,000 美元。您的 PSP 也可能会切断与您的联系,导致您无法接受信用卡或借记卡或接受线上支付以及数字钱包(例如 Google Pay 和 Apple Pay)支付。除此之外,您可能需要承担欺诈指控,甚至如果您的企业被发现违反了更广泛的法律和法规,则可能面临政府制裁。
这对您的钱包和声誉都是不利的——尤其是因为顾客通常不喜欢与不致力于保护他们数据的公司做生意。
为了避免这些费用、处罚和更糟的情况,在2024年4月1日之前,请确保您的组织在 2024 年 4 月 1 日截止日期之前符合 PCI 合规性。如果您仍未达到要求,请不要惊慌 – Checkout.com 可以提供帮助。
PCI 合规性的目标之一始终是降低您企业遭受多种类型支付欺诈的风险。
然而,PCI 4.0 能做到更进一步。 例如,它扩展了传统的 PCI 要求(#6),要求您的业务不仅要保持应用程序的更新和维护,还要保持与支付过程相关的所有软件的更新和维护。这有助于防止某些基于网络的攻击,并阻止网络犯罪分子绕过您的防御系统。
此外,PCI 4.0 引入了加强实质和线上访问控制的规则:即谁有权访问需要知道的系统和信息,以及他们有多少访问权限。这有助于保护您的业务免受社交工程和网络钓鱼攻击的威胁,因为即使一个骗子成功地欺骗了您的团队成员,让他们泄露了凭证,该员工能够访问持卡人敏感数据的机会也很小。
最后,PCI 4.0 合规性通过指定您在持卡人数据使用和存储时对持卡人数据进行算法加密和扫描来降低欺诈风险。
我们在 Checkout.com 上支持的一种此类方法是标记化。本质上,它涉及用随机生成的字母数字链(称为“令牌”)替换实际的客户数据(例如 PAN:主账号)。如果黑客或欺诈者获得这些令牌(这些令牌在 PCI 之外没有任何价值或意义), 4.0 兼容系统——无法使用它们来导出原始持卡人数据,这是安全的。
要了解更多信息,请查阅我们的指南:支付中的欺诈检测和预防。
PCI DSS 得到了全球范围内所有主要信用卡品牌的认可和要求的满足。
对于您(作为商户)来说,这意味着我们上面讨论的所有 PCI DSS 机会并不局限于您自己的国家、您自己的市场,甚至是您现在存在的客户群。当我们说 PCI 4.0 可以增强消费者信任时,这指的是所有消费者—无论他们身在何处。当我们说 PCI 4.0 可以降低欺诈风险时,这适用于所有交易—即使它们是跨境发生的。而且,当我们说 PCI 4.0 可以让您在市场上脱颖而出时,您可以确信我们不仅仅指国内市场。
由于 PCI 4.0 的全球认可,接触海外客户、国际化扩张和安全的跨境电商都成为可能,这是令人振奋的消息。
在 Checkout.com,您的数据安全(以及您的客户和持卡人的数据)是我们的首要任务。这就是我们获得最高 PCI DSS 级别认证的原因,以及我们如何确保为您提供安全、合规的支付操作——无论您的 PCI 级别如何。
当您通过我们处理支付时,您不仅可以使用 150 种货币或 29 种支付方式,而且可以完全符合 PCI 合规性。我们将在我们的服务器上托管您的支付页面,为您标记您的支付数据,并与银行合作处理整个交易:从授权的那一刻到资金出现在您的企业账户中的那一刻。而您的 PCI 责任?只有 22 个简单的问题。
为了帮助您的企业顺畅过渡到 PCI DSS 4.0,我将让我们的合作伙伴 SecurityMetrics 与您密切合作,帮助您了解新要求对您业务的影响(而不是其他任何人的业务)。这意味着所有涉及的支持、指导和成本都将根据您精确、独特的需求进行定制。
至于 SAQ A 的更改,Security Metrics 在调查问卷中添加了指导说明,以帮助您了解新内容。而且,如果您之前已经使用 SecurityMetrics 填写过 SAQ A,那就更好了—去年的问题将自动映射到今年的表格。
因此,如果您不想单独应对 PCI DSS 4.0 的变化,但确实想利用其机会,请立即与 Checkout.com 的合规专家团队联系,了解我们以及我们的团队如何 SecurityMetrics,可以满足您的 PCI 需求。