PCI托管：它的含义以及您何时需要

如果您打算在线接受付款，那么您可能会遇到这个学期 PCI托管。听起来每个企业都必须拥有的东西，但是是否有必要取决于您如何处理付款和持卡人数据。

本文将解释PCI托管的含义，帮助您确定您的业务是否需要遵循PCI DSS标准，并澄清何时PCI托管实际上是一条不错的选择。如果您不确定围绕付款数据安全的责任，本指南将使事情变得更加清晰。

什么是PCI DSS？

在谈论PCI托管之前，它有助于理解 PCI DSS，也称为 支付卡行业数据安全标准。PCI DSS是一组安全准则，旨在在存储，处理或发送的任何位置，旨在保护信用卡信息。这些规则来自Visa，MasterCard和American Express等主要卡品牌，并适用于接受付款的任何人。

设定这些标准的目标是减少可能导致欺诈的数据泄露的机会。遵守他们意味着采取持续的安全措施（例如加密卡数据）以确保付款安全。

什么是PCI托管？

PCI托管 是设置的Web托管环境，以满足PCI DSS要求的安全规则。这包括：

• 防火墙和网络控件以保持付款数据分开且安全
  
• 通过服务器移动的数据加密
  
• 强大的访问控件限制谁可以获取几乎敏感信息
  
• 追踪活动以发现任何异常的记录系统

简而言之，PCI托管提供了一个安全的基础，以保护持卡人的数据。

就是说， 只是使用PCI友好的主机并不意味着您会自动兼容。托管提供商为您提供了安全环境的工具，但是您的业务仍需要管理符合PCI标准的软件，流程和政策。

什么PCI托管封面以及什么不是

PCI托管提供商处理许多技术要求，例如防火墙，网络控件和访问限制。

然而， 您仍然需要管理自己的责任， 包括：

• 使您的软件和插件保持最新： 过时的应用程序或扩展可以引入 安全风险 即使在安全的服务器上。
  
• 管理用户访问： 确保用户仅具有所需的权限，并尽可能启用两因素身份验证。
  
• 监视日志和活动： 定期审查日志以发现异常行为，然后才成为问题。
  
• 最小化卡数据曝光： 在可能的情况下，仅收集您需要的东西和使用令牌化以降低风险。
  
• 进行脆弱性扫描： 定期扫描对于发现弱点是必要的，并且通常是您的责任，即使在符合PCI兼容的服务器上托管时也是您的责任。

如何知道您的业务是否需要PCI符合PCI

为了确定是否需要PCI托管，第一步是弄清楚您的企业是否真的需要满足PCI DSS要求。首先要理解所谓的PCI范围。

PCI范围是指评估业务环境中哪些部分与信用卡接触的过程。

这包括：

• 服务器
  
• 应用领域
  
• 网络
  
• 工作站
  
• 访问这些系统的员工

如果您的设置中的任何部分都触摸了付款数据，即使是简短的，它都在PCI范围中，并且必须遵循PCI DSS规则。

这是考虑一下它的快速方法：

• 如果 信用卡数据在任何时候都通过您的服务器，例如在付款处理过程中，您的系统处于范围。
• 如果是你的 付款处理完全发生在您的环境之外 （例如，通过第三方支付网关），您的服务器永远不会看到或存储卡数据，您可能会超出范围。在这种情况下，可能不需要PCI托管。

当PCI托管可能不需要时

许多企业通过依靠处理敏感信息的外部支付解决方案来将其托管环境置于PCI范围之外。典型的例子包括：

• 托管结帐页面： 诸如Stripe Checkout，PayPal或Square之类的服务可以安全地收集自己的服务器上的付款详细信息。您的网站将客户发送到此处，因此您的服务器无法处理卡数据。
  
• 带有令牌化的嵌入式付款表： 付款处理器提供嵌入式表单（例如条纹元素或Braintree托管字段），这些表格将卡数据直接从用户的浏览器发送到付款提供商。您的系统仅获得一个令牌，这是无法用于窃取数据的参考。
  
• 没有卡数据存储： 如果您不存储完整的信用卡号码，而是使用令牌化的帐单或拱顶服务，则存储责任在于合规的提供商，使您自己的系统更简单。

当这是您的支付流程的工作方式时，通常不在托管环境中，并且可能不需要PCI托管。

当需要PCI托管时

当您自己的基础架构与持卡人数据直接互动时，PCI托管将变得必要。以下是PCI托管适用于您的迹象：

• 您拥有自己的付款表： 如果客户将信用卡信息输入您网站上托管的表格，则该数据通过您的服务器传递，将其放置在范围内。
  
• 您存储完整卡号码： 无论是用于订阅，经常性计费还是延迟付款，将完整卡数据存储在服务器上意味着更高的安全要求。
  
• 您运行自定义支付系统： 如果您建立自己的结帐，网关或销售点解决方案，则托管环境是付款流程的一部分，必须符合PCI标准。
  
• 您要接受正式的PCI审核： 处理大量交易的企业可能会接受审核，包括审查您的托管环境。

在这些情况下， 选择托管提供商 熟悉PCI要求和提供合规性功能很重要。

简短的12个PCI DSS要求

确认您处于PCI范围之后，下一步是了解合规性实际要求的。这就是12个PCI DSS要求所在的地方。这些是每个范围内业务都需要遵循的基线标准以正确保护持卡人数据：

1. 使用防火墙保护数据 - 防火墙充当检查点，过滤网络流量以阻止未经授权的访问。
   
2. 更改默认密码和设置 - 默认凭据广为人知且脆弱，因此请使用强，独特的密码。
   
3. 保护存储的卡数据 - 加密和限制持卡人数据的存储。保持越少，风险就越小。
   
4. 在运输中加密数据 - 使用 像TLS这样的加密 当卡数据通过公共或不信任的网络移动时。
   
5. 使用防病毒和反恶意软件 - 保持这些工具更新以捕获和停止恶意软件。
   
6. 确保系统和应用程序安全 - 定期修补软件并快速修复漏洞。
   
7. 限制访问持卡人数据 - 只能访问需要它来履行工作的人。
   
8. 为用户分配唯一的ID - 单个登录使跟踪用户活动更容易。
   
9. 控制物理访问 - 限制谁可以实际到达存储持卡人数据的设备或文档。
   
10. 日志和监视访问 - 维护详细的日志以检测可疑活动并协助审核。
    
11. 定期测试安全系统 - 进行脆弱性扫描和渗透测试以发现和解决弱点。
    
12. 维护安全政策 - 记录您的安全程序，并确保参与其中的每个人都了解其角色。

随着时间的推移维持PCI合规性

符合PCI DSS标准曾经还不够。合规性是一项持续的努力，需要定期关注，以确保持卡人数据随着您的业务和技术的发展而安全。

以下是一些关键实践，可以帮助您长期保持合规：

1。定期查看您的PCI范围

当您添加新的系统，集成或服务时，您的环境可能会发生变化。定期重新评估设置的哪些部分处理卡数据，以确保您涵盖了所有必要的区域。

2。保持软件和系统已更新

安全补丁和更新将发布以修复漏洞。使更新操作的常规部分，而不是一次性任务。

3。进行持续的监视和记录

连续监测有助于尽早捕捉可疑活动。确保定期审查您的日志并安全存储。

4。安排脆弱性扫描和渗透测试

至少每季度或重大更改后运行这些测试。他们在攻击者找到他们之前揭示了弱点。

5。培训您的团队的安全最佳实践

员工是一个关键的防御路线。定期培训可以帮助他们了解保护持卡人数据和认识威胁方面的作用。

6。更新您的安全策略和程序

随着威胁的发展和业务的增长，请保持您的文档当前。这样可以使您的团队保持一致并准备审核。

7.在需要时与合格的安全评估员合作

如果您的业务接受正式的PCI审核，则与QSA合作可以帮助您保持步入正轨并使过程更加顺畅。

通过将PCI合规性视为连续的优先级，您可以降低风险并确保客户的安全。今天保持积极主动，可以节省昂贵的问题。

包起来

并非每个业务都需要PCI托管。如果持卡人数据由于使用托管的结帐，令牌化表单或拱顶而永远不会触摸服务器，则您的托管环境可能不在PCI范围之内。

如果您的系统确实处理存储，处理或传输卡数据，则投资PCI-Ready托管是朝着满足合规性和保护客户的明智之举的一步。

在决定托管或安全性之前，请仔细查看您的整个付款流程。了解您的环境适合PCI范围可以节省您的时间，金钱和头痛。