PCI DSS:它是什么，我需要做什么

当涉及到运营数据中心时，公司需要遵守许多规则和规定。任何存放用于支付处理的设备的数据中心都需要确保它们是正确的PCI决策支持系统顺从。了解这意味着什么，以及如何成为（并保持）顺从是至关重要的。无论您是在构建新的数据中心、升级现有的数据中心以处理支付，还是仅仅希望保持最高标准，本文都将介绍这一重要主题。

一种总线标准是什么?

“PCI DSS”中的“PCI”代表支付卡行业. 这个名字很大程度上源于这些标准对支持支付卡行业的数据中心的关注。此外，它之所以得名，是因为这些标准是由世界上四大信用卡公司（Visa、MasterCard、Discover和americanexpress）联合制定的。

虽然下面的标准是专门为支付卡行业制定的，但任何数据中心都可以从中受益。支付卡行业需要最高级别的安全性和稳定性，才能为客户提供服务，这就是为什么这些标准如此重要的原因。

什么是DSS？

“PCI DSS”中的“DSS”代表数据安全标准. 如果你在过去几年里看了所有的新闻，你几乎肯定听说过数据泄露已经影响了主要的连锁酒店、餐馆，甚至信用报告局。这些类型的漏洞将数百万人的数据置于危险之中，造成重大的经济损失和不便。

支付卡公司是黑客和其他犯罪企业的明显目标。这是由于显而易见的经济利益，但也因为支付卡行业收集了大量关于其客户的用户信息。因此，将数据安全放在首位是绝对必要的，不仅对Visa和万事达这样的公司如此，对所有数据中心和其他支持它们的设施也是如此。

PCI DSS申请给谁?

PCI DSS适用于各种不同的业务实体，从小型家庭企业到大型数据中心。使用支付卡进行支付的小型企业将不必做太多事情来保持与PCI DSS兼容。然而，大型零售商和数据中心需要在这方面投入大量工作。

什么是PCI DSS遵从性?

PCI数据安全标准适用于所有为支付卡行业提供、传输或处理信息的设施。根据不同的信息，这些指导方针有不同的级别(1-4级)。该信息包括在给定设施中处理的信用卡交易的数量和类型。每个品牌(Visa、MasterCard、Discover、American Express等)都可以根据其交易在特定地点的处理方式对设施进行不同级别的评级。

每个公司的设施评估来确定最高水平是确保你们合规的重要部分。级别越低，要求越严格，以保持符合PCI DSS。继续阅读下一节，了解这些特定法规遵循区域的详细信息。

PCI DSS要求是什么？

PCI DSS专注于六个主要目标，每个目标都是最大限度地提高数据中心内或通过数据中心传输的数据的安全性。六个目标如下:

• 安全的网络–网络必须是安全的，以确保它不仅不受未经授权的访问，而且还确保系统为客户24/7/365正常运行。
• 保护持卡人信息-持卡人信息可能是数据中心中最有价值的资产，必须努力保护它。这包括向包含这些信息的系统添加额外的保护层。
• 针对黑客的系统保护-黑客是所有数据中心的主要威胁，所以所有符合PCI DSS的设施都需要有一个强大的保护系统。这包括更新防火墙、反病毒、反间谍软件、反恶意软件和其他安全解决方案。
• 限制和控制对系统信息的访问—严格控制数据中心的系统信息和运行标准。保持这些信息的机密性将有助于保护设施免受未经授权的物理或数字访问。
• 网络监控与测试-应定期对网络和所有相关设备进行积极监测和测试，以确保所有设备在任何时候都能正常运转。
• 形式化信息安全策略-数据中心必须有一个正式的、书面的信息安全政策，并始终遵循。该策略应该对不符合规定的行为进行审核和惩罚。

处罚违反

如果数据中心不符合规定，信用卡公司将自己发出处罚。这是因为他们制定的水平，以及PCI DSS不是一个法律或政府的规定。然而，这些公司可以征收罚款，拒绝向数据中心提供服务，并采取其他导致财务困难的行动。

如何变得顺从

任何想要成为PCI DSS兼容的设备都需要通过重要的步骤来实现这一目标。首先要做的是确定您的数据中心是哪一级的商家。要做到这一点，只需查看过去12个月内每种卡类型处理的交易数量。对于Visa来说，4级商户是指每年接受不到20000笔Visa付款的商户。级别1是最高级别，即每年处理超过600万笔Visa交易的商户。

接下来，了解更多关于PCI DSS最佳实践的信息，您需要在该级别获得资格。如果你是在规划未来的发展，那么尝试达到从目前职位上升到下一级的要求可能是一个好主意。一旦你有了一个计划，就是时候开始实施必要的改变，让你有资格。

与许多遵从性需求不同，业务不需要经过应用程序流程。相反，任何接受或处理支付卡交易的企业将自动成为该计划的一部分。如果信用卡公司或合规集团发现某一业务不合规，即采取处罚等措施。