2024 年,诈骗和银行卡欺诈造成的损失总额达1.94 亿新西兰元 (NZD),并且还在继续增加。虽然新西兰法律未作要求,但预计该国接受银行卡支付的商家必须遵守支付卡行业数据安全标准 (PCI DSS)。卡组织通过商家协议强制合规。不遵守规定可能会导致罚款、更高的交易成本,甚至失去接受银行卡支付的能力。
下面,我们将介绍 PCI DSS 要求、新西兰商家面临的最常见的合规挑战,以及如何成功实现合规。
要点
PCI DSS 合规是通过与卡组织和收单行签订的商家协议强制执行的,而不是新西兰法律。但是,不合规的财务和运营后果是巨大的。
合规义务的范围取决于您的系统处理了多少持卡人数据。您可以通过减少暴露来简化合规流程。
选择正确的自我评估问卷 (SAQ) 和明确内部所有权,是影响新西兰商家成功合规的最重要的两个决定。
什么是新西兰的 PCI 合规?
PCI 合规意味着满足全球 PCI DSS 关于安全网络、持卡人数据以及访问控制和信息安全的要求。所有处理持卡人数据的商家都必须遵守这些措施,无论是接受拍卡支付的咖啡馆,还是向全球订阅者开单的软件公司。
为什么 PCI 合规对新西兰企业很重要?
新西兰每年因银行卡欺诈造成的损失高达数亿美元。合规有助于保护持卡人数据并降低欺诈风险。
不合规的后果分为几类:
罚款: 卡组织和收单行可能会征收罚款。根据违规的严重程度,罚款金额从数百美元到数十万美元不等。
交易成本增加: 收单行可能会将不合规的企业转移到更高的交换费等级。
对欺诈损失的责任: 如果发生数据泄露且您当时并未合规,您的保险公司和收单行可能会追究您对欺诈性交易、补发银行卡以及取证调查费用的责任。
终止接受银行卡: 在严重的情况下,收单行或处理商可能会撤销您接受银行卡支付的资格。
此外还有声誉受损。新西兰的《2020 年隐私法案》(Privacy Act 2020)要求企业在发生造成严重伤害的隐私泄露事件后,通知受影响的个人和隐私事务专员 (Privacy Commissioner)。
PCI 合规如何运作?
PCI DSS 围绕持卡人数据环境 (CDE)(即存储、处理或传输持卡人数据的系统、人员和流程)组织其要求。您的合规义务范围主要取决于您 CDE 的大小和形态。
现行标准是 PCI DSS 4.x,安全标准委员会于 2022 年 3 月发布了该标准,其过渡截止日期使其在 2024 年 3 月成为唯一活跃版本。4.0 版引入了更大的更改,为商家如何满足某些要求提供了更大的灵活性。自那时起发布了一些小更新,但主要原则保持不变。合规性通过 SAQ 或由合格安全评估师 (QSA) 进行的正式审计来验证。它还取决于您的交易量和您处理银行卡数据的方式:
SAQ A:通常是最简单的路径,适用于已完全外包银行卡处理且自己不接触持卡人数据的商家。
SAQ A-EP:通常适用于您使用第三方支付页面但您的网站处理重定向的情况。
SAQ D:最全面的路径,SAQ D 适用于存储持卡人数据或以不适合更简单类别的方式处理这些数据的商家。
一级商家:一级商家(例如每年处理超过 600 万笔 Visa 或 Mastercard 交易的商家)必须提交由 QSA 出具的合规报告 (ROC)。
许多中小型新西兰商家都符合 SAQ 路径之一。符合哪一条主要取决于您的支付集成模式。
新西兰企业的 PCI 合规要求是什么?
PCI DSS 包含 12 项核心要求。这些要求归在六个控制目标之下:
1. 构建并维护安全的网络
安装并维护网络安全控制措施。这是成功实现合规的基础。
2. 保护账户数据
使用高强度加密技术保护已存储的持卡人数据。授权后切勿存储银行卡验证码,并确保在开放式公共网络传输持卡人数据时进行加密。
3. 维护漏洞管理程序
保护系统免受恶意软件攻击,并开发安全的系统和软件。这包括修补程序计划、漏洞扫描和应用安全测试。
4. 实施强有力的访问控制措施
持卡人数据应仅限需要知情的人员访问。识别并使用唯一凭证对每位用户进行身份验证,并对存储或处理持卡人数据的系统进行物理访问限制。
5. 监控并测试网络
监控并记录对网络资源和持卡人数据的所有访问。定期测试安全系统和流程。在多个环境中进行漏洞扫描和渗透测试。
6. 维护信息安全政策
维护一项涵盖所有人员信息安全的政策,并包含培训和明确的问责制。
如果新西兰企业已妥善集成其线上或线下付款解决方案,其中一些要求可能会成为提供商的责任。
新西兰商家在 PCI 合规方面面临哪些挑战?
新西兰商家在实现 PCI 合规的过程中经常会遇到可预见的阻碍。一旦您了解了出错的环节,合规就变得可控了。
范围超出预期
常见的合规问题是低估了 CDE 的范围。无论您是否知道,任何连接到您 CDE 的系统都属于 PCI DSS 要求的范围。商家一旦开始绘制数据流,就会发现其 CDE 远大于他们的预期。
传统基础设施
新西兰的许多商家可能运行着并非专为 PCI DSS 4.0 设计的旧版销售点 (POS) 硬件和本地软件。升级不仅成本高昂且具有破坏性。维护与旧系统的合规意味着增加复杂性。
误解外包所涵盖的内容
使用符合 PCI 标准的支付服务商并不会自动使您的商家实现合规。例如,您的网站可能存在漏洞,允许攻击者在银行卡数据到达服务商的支付表单之前截获这些数据,而由此导致的数据泄露则是您的问题。您必须明确界定自身与服务商之间的责任边界。
员工流动和培训缺口
PCI DSS 要求对所有接触持卡人数据的人员进行安全意识培训。在人员流动率较高的行业,很难保持最新的培训。
SAQ 选择难题
确保您选择了正确的 SAQ。有些商家可能认为自己符合 SAQ A,但实际在持卡人数据处理上仍有涉足,这会导致严重低报合规义务。
新西兰商家如何确保实现 PCI 合规?
减轻合规负担的一个好方法是缩小您的持卡人数据环境。
考虑以下方法:
使用不会将银行卡数据留在您系统上的支付服务商
像 Stripe 这样使用令牌化和托管支付字段的支付服务商会直接在其环境中收集银行卡数据,从而使您的服务器不会收到原始银行卡号。结合 PCI 一级服务商认证,这可以简化许多商家的合规路径。
首先绘制您的数据流
如果不了解持卡人数据的去向,您就无法确定 PCI 评估的范围。严格绘制可能接触银行卡数据的每个系统。然后,每当您添加新的集成、更新结账流程或更改客户关系管理 (CRM) 系统时,也要更新该映射图。
获取正确的 SAQ
在选择您的 SAQ 之前,请与您的收单行或 QSA 交流。卡组织会公布 SAQ 资格标准,而正确的决定并不总是显而易见的。如果您在早期做出错误选择,随后的每一个合规决定都会加剧该错误。
认真对待渗透测试
渗透测试对您能否成功合规具有重大影响。对您的 CDE(包括您的支付页面、身份验证机制和内部网络分段)进行真正的测试,可以发现自动扫描遗漏的漏洞。
明确内部所有权
当假设有人正在处理PCI 合规(例如 IT、您的 CFO 或最初设置支付系统的人员)时,它可能会被忽视。每一项要求都需要分配给指定的人员。
将证据收集融入您的日常运营中
评估人员需要证据。漏洞扫描、访问日志、培训完成记录和补丁历史记录必须存在且可检索。将这些文档融入您的常规运营中,远比在评估前重建它们轻松得多。
Stripe Connect 如何提供帮助
Stripe Connect 为软件平台和交易市场协调多方资金流动。它提供快速入驻、嵌入式组件、全球提现等功能。
Connect 可以帮助您:
几周内上线:使用 Stripe 托管或嵌入式功能可加快上线速度,并避免支付便利化通常所需的前期成本和开发时间。
规模化管理支付:使用 Stripe 提供的工具和服务,您无需额外投入资源来处理利润报告、税表、风险、全球支付方式或入驻监管合规性。
全球化拓展:支持本地支付方式,并可轻松计算销售税、增值税 (VAT) 和商品及服务税 (GST),助力用户触达全球客户。
开拓新的收入来源:通过收取每笔交易的费用,优化支付收入。在您的平台上启用线下付款、即时打款、销售税收取、融资服务、支出管理卡等 Stripe 功能,实现盈利变现。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。