您的客户能否通过其安全的信用卡信息信任您？如果没有，您的信誉和底线可能会受到打击。每家接受客户信用卡付款的公司都必须遵守支付卡行业和数据安全标准。这些标准通常缩写为PCIDSS，保护在线消费者和电子商务服务提供商。阅读新闻，很容易理解为什么PCI合规标准很重要。我们经常听到有关数据泄露的故事。Target、Uber和Equifax等大公司也受到了影响。较小的公司也很脆弱。与客户建立信任是每个企业的首要任务。符合PCI标准的主机应该在您的安全清单的顶部。使用信用卡付款的客户不想担心身份被盗。你的工作是尽你所能将他们的风险降到最低。

什么是PCI合规性？PCI是什么意思？

让我们谈谈为什么PCI标准很重要。PCI标准应该确保两件事。

PCI标准保护敏感的持卡人信息。无论数据是处于静止状态还是在传输中，它们都适用，从而保护您的客户免受破坏和身份盗用。

PCI兼容标准如何工作？

如果您的公司接受、存储或传输信用卡数据，您必须遵守PCI标准。这些标准因您的情况而异。我们不会降低所有标准。我们希望让您了解PCI合规性的工作原理。您如何知道需要哪个级别的PCI安全性？以下是一些需要注意的事项：

确定需要何种级别的PCI合规性是您的工作。然后，您将需要一份PCI合规性清单。请记住，合规性是一个持续存在的问题。您将需要不断更新您的安全性以符合PCI标准——例如，新更新的PCI-DSS3.2法规。

PCI合规性指南中有什么内容？

缺乏商家PCI合规性可能会使您的公司损失金钱和声誉。拥有一份可供参考的清单可以帮助您完成所有必要的步骤以确保合规。您应该使用PCIDSS审核清单来确保您满足每项要求。请记住，要求可能会根据您的交易量而变化。监控您的交易并选择正确的合规级别是您的工作。为了让您更轻松，我们创建了PCI自我评估的简短指南。在您完成此清单时，必须彻底彻底。跟踪以确保您没有错过任何重要步骤。

1.安装和维护防火墙

为了满足PCI标准，请安装可靠的防火墙来保护您的网络安全。防火墙是保护持卡人数据的第一道防线，因为它有助于阻止未经授权的网络访问。为了提高其效率，您应该有一个明确的防火墙配置策略。在您的防火墙上运行定期测试，并确保您的托管服务有一个到位。

2.不要使用供应商提供的默认值

跟踪密码可能很麻烦。一些公司通过使用供应商默认值来偷工减料。符合PCI标准意味着分配唯一的密码。您使用的每个密码都应遵守密码最佳做法。包括小写和大写字母、数字和符号可确保密码安全。使用默认设置可以让潜在的黑客轻松进入您的系统。

3.保护存储的持卡人数据

通过PCI标准保护持卡人数据需要您考虑系统的漏洞。您需要设置电子和物理屏障。您的第一个忠诚度应该是对信任您的客户。安全措施可能包括：

对现有措施进行盘点可以帮助您发现问题。

4、持卡人信息加密传输

5.使用和更新杀毒软件

为保护持卡人信息并遵守PCI标准，您必须使用防病毒软件。这似乎很明显，但公司拥有过时的软件并不少见。您的软件应该是可靠的并且来自具有良好记录的公司。定期更新数据库是您的工作。培训员工更新他们用于工作的所有设备上的数据库，并确保您还在服务器上运行定期扫描。

6.开发和维护安全系统和应用程序

许多公司同时使用专有和第三方系统和应用程序。要遵守PCI标准，您需要确保所有系统和软件都是安全的。使用第三方应用程序有时是有益的，但需要谨慎。您必须确信他们在您的网络上的存在不会危及您的数据。并非所有应用程序都可以安全使用，因此在安装任何新应用程序之前要明智地选择。

7.限制对持卡人数据的访问

作为企业主，您需要信任您的员工。没有老板愿意相信他们的员工会粗心对待客户数据。这是可以理解的，但您必须根据需要采取措施限制访问。

根据PCI标准，不需要访问持卡人数据的人不应该拥有它。您的大多数员工都不需要访问权限。只有需要持卡人信息的人才能访问它。采取这个简单的步骤可以最大限度地降低内部数据泄露的风险。

8.为所有用户分配唯一ID

限制对安全数据的访问可减少内部违规的机会。这并不意味着您不应该跟踪用户活动和访问。我们建议将此作为附加的安全措施，以遵守PCI标准。

为每个有权访问您的系统的用户分配一个唯一的ID是必不可少的。这个简单的步骤可以帮助您跟踪谁在访问您的数据。当每个用户都有一个ID和密码时，您可以监控谁访问了存储的数据。让员工知道他们的活动被观察到可以增加额外的保护层。

9.限制对持卡人数据的物理访问

防止黑客以电子方式访问持卡人数据至关重要，但这不是您应该采取的唯一步骤。您必须确保只有需要物理访问持卡人数据的授权人员才能拥有它。

此步骤适用于服务器和其他硬件以及纸质记录。如果您保留持卡人信息的任何印刷记录，请将其存放在安全区域。应限制进入该地区。这些区域不得未上锁或无人看管。

10.跟踪和监控对持卡人数据的所有访问

你想信任你的员工，但你不能承担最好的假设。保护客户数据必须是您的首要任务。如果您想保护持卡人信息，则必须有一个跟踪和监控系统。这样，您就可以看到哪些员工访问了PCI标准要求的安全数据。员工可能会对被监控的想法感到愤怒。这是可以理解的，但这不会改变您对客户的义务。建立一个监控系统，然后定期审查。应立即处理员工的任何异常或意外活动。

11.测试安全系统和流程

安装安全系统、防火墙、防病毒软件和内部安全是必不可少的。这些步骤对于保证客户数据的安全至关重要，而对现有系统的持续测试也是如此。将这些测试视为消防演习。我们重点测试学校和办公室的火灾警报和疏散方法。同样，您应该定期测试您的安全系统以确保它们正常工作。如果测试发现漏洞或漏洞，您必须立即解决。即使是最好的安全措施也可能失败，所以不要误以为你的安全措施是万无一失的。

12.编写和执行安全策略

我们PCIDSS清单的最后一步是编写和实施全面的安全策略。即使有适当的保护措施，您也必须进行沟通并努力执行您的政策。任何员工、第三方供应商和客户都应该知道这一点。

让人们知道您的政策可以同时做几件事情。

您的书面安全政策应包括您如何保护客户数据的概述。它还应说明员工的密码和访问要求。确保指定您在BYOD和移动设备上访问数据的指南。应让所有重要人员了解PCI标准以及如何遵守这些标准。

始终验证PCI合规性

与客户保持信任的氛围至关重要。事实上，缺乏信心会影响您企业的整体福祉。遵守PCI标准是激发客户、潜在客户和业务合作伙伴信任的关键。PCI合规性清单上的项目应与推荐的安全最佳实践结合使用，以最大限度地提高您的数据保护策略。