它是什么
PCI DSS 是面向存储、处理或传输持卡人数据的组织的全球安全标准,由 PCI Security Standards Council 维护。现行版本为 PCI DSS v4.0.1,定义了分属六大控制目标的 12 项要求,其中网络分段与令牌化是同时降低风险与评估成本的最重要手段。
谁须遵守
任何处理支付卡数据的商户、服务提供商或处理机构:电子商务、零售、SaaS 计费与支付网关,验证级别由交易量决定。
IntelligenceX 如何提供帮助
界定范围并绘制持卡人数据流图
对照 v4.0.1 进行差距评估,包括延期生效的要求
SAQ 咨询或面向 QSA 就绪的证据包
Targeted Risk Analyses 与电子商务脚本完整性控制证据
网络分段与令牌化咨询,以缩减评估范围
修复跟踪以及 AOC / SAQ 收尾支持
差距评估ISMS 设计内部审计阶段 1 与阶段 2 支持整改指导认证就绪
常见问题
PCI DSS v4.0.1,所有延期生效要求自 2025 年 3 月 31 日起均为强制。如果您上一次评估仍将其视作良好实践,那您已经过时,我们会重新建立您的基线。
这取决于您的商户或服务提供商级别。交易量较低者填写 SAQ,由我们指导;较高级别需要由 QSA 签署的 Report on Compliance,由我们陪同完成。
尽可能将持卡人数据置于您的环境之外:外包给合规的支付服务商,进行令牌化并对网络分段,使只有一个受限且界定清晰的区域处于范围之内。我们会先绘制数据流图,这通常会让客户转向更简单的 SAQ,并将评估工作量降至原来的一小部分。