PCI 合规指南

支付卡行业数据安全标准 (PCI DSS) 设定了数据安全的最低标准。以下是维护合规性的分步指南,以及 Stripe 如何提供帮助。

Payments
Payments

提供面向各类企业的全方位支付解决方案,满足从初创公司到跨国企业的多维度需求,助力全球范围内线上线下付款。

了解更多 
  1. 导言
  2. Stripe 如何帮助组织实现和维护 PCI 合规性
  3. PCI DSS 合规性分步指南
    1. 1. 了解您的 PCI 级别
    2. 2. 了解您的集成类型和文档要求
    3. 3. 完成评估,并提交 SAQ 文档
    4. 4. 监控和维护
  4. Stripe 如何帮助组织维护 PCI 合规性
    1. 支持我们的小型企业
    2. 定制的管理平台体验
    3. 在您的业务发展过程中提供支持
    4. 多个服务提供商
  5. 了解有关 Stripe 的更多信息 

自 2005 年以来,美国发生了 9,000 多起数据泄露事件,导致超过 100 亿条消费者记录遭到泄露。这些是隐私权信息中心的最新数据,该中心自 2005 年起就对影响消费者的数据泄露和安全漏洞事件进行报道。为了提高消费者数据的安全性以及增强人们对支付生态系统的信任,制定了数据安全的最低标准。Visa、Mastercard、American Express、Discover 和 JCB 于 2006 年成立了支付卡行业安全标准委员会 (PCI SSC),负责管理和规范处理信用卡数据的公司的安全标准。

支付卡行业数据安全标准 (PCI DSS) 是全球性的安全标准,适用于所有存储、处理或传输持卡人数据和/或敏感认证数据的实体。PCI DSS 为消费者设定了基准保护级别,并有助于减少整个支付生态系统中的欺诈和数据泄露事件。它适用于所有接受或处理支付卡的组织,对于不符合这些标准的组织,将面临重大的处罚、罚款和成本。

PCI DSS 合规性涉及三个主要组成部分:

  1. 处理客户信用卡数据的输入;即确保敏感卡片详细信息的安全收集和传输
  2. PCI 标准的 12 个安全域 中概述了安全存储数据,例如加密、持续监控和对银行卡数据访问的安全测试
  3. 每年验证所需的安全控制措施是否到位,其中可能包括表单、调查问卷、外部漏洞扫描服务以及第三方审核(有关四个级别要求的表格,请参阅下面的分步指南)

所有接受信用卡付款的企业都必须遵守 PCI DSS,无论其交易量、地理区域或集成方法如何。通过遵守此框架,企业可以:

  • 通过确保客户的银行卡数据安全来建立客户信任
  • 保护自己免受欺诈和数据泄露
  • 避免因违反 PCI 合规而被罚款

免责声明: 本文仅用于指导目的,不应被视为最终建议。我们建议咨询支付卡行业数据安全标准 (PCI DSS) 合格安全评估员 (QSA) 进行澄清。

Stripe 如何帮助组织实现和维护 PCI 合规性

如果您的商业模式要求您处理银行卡数据,您可能需要满足 PCI DSS 中 300 多项安全控制措施中的每一项。PCI 安全标准委员会发布了 1,800 多页的关于 PCI DSS 的官方文档,还有 300 多页只是为了了解在验证合规性时使用哪种表格。

Stripe 通过提供各种令牌化集成方法(例如,CheckoutElements移动 SDKTerminal SDK),避免了直接处理敏感信用卡数据的需要,可以显著减轻公司的 PCI 负担。

  • Stripe Checkout 和 Stripe Elements 使用托管支付字段来处理所有支付卡数据,因此持卡人在直接来自我们 PCI DSS 验证服务器的支付字段中输入所有敏感的支付信息。
  • Stripe 移动和 Terminal SDK 还使持卡人能够将敏感的支付信息直接发送到我们经 PCI DSS 验证的服务器。

对于我们所有的用户,无论集成类型如何,Stripe 都是 PCI 的倡导者,可以通过多种不同的方式提供帮助。

  • 我们的 Stripe PCI 向导会分析您的集成方法,并就如何减轻合规负担为您提供建议。
  • 如果不断增长的交易量需要更改您验证合规性的方式,我们会提前通知您。
  • 对于因存储信用卡数据或支付流程更复杂而需要使用 PCI QSA 的大型或企业,全球有 400 多家此类 QSA 公司。我们可以为您联系几位深入了解不同 Stripe 集成方法的审核员。

PCI DSS 合规性分步指南

1. 了解您的 PCI 级别

实现 PCI 合规性的第一步是了解哪些要求适用于您的组织。有四种不同的 PCI 合规级别,通常基于您在 12 个月内处理的信用卡交易量。

根据您的级别,您将有不同的要求,包括来自批准的扫描供应商 (ASV)常规漏洞扫描。对于服务提供商还有额外的要求,这些服务提供商是直接参与处理、存储或传输持卡人数据 (CHD) 和/或敏感认证数据 (SAD) 的业务实体(例如,支付网关、支付服务提供商以及独立销售组织)。

合规等级
适用对象
要求
1 级
  • Visa 或 Mastercard 卡年交易量超过 600 万笔的企业,或 American Express 交易量超过 250 万笔的企业;或
  • 出现过数据泄露事故;或
  • 被任何卡组织(Visa、Mastercard 等)定为 “1 级”
  • 由合格的安全评估员 (QSA) 提供的合规声明 (AOC) 或年度合规报告 (ROC)。
  • 由经认可扫描供应商 (ASV) 每季度进行网络扫描
2 级
  • 年交易量在 100 万-600 万笔的企业
  • 自我评估问卷 (SAQ)、合规声明 (AOC) 或合规报告 (ROC)
  • SAQ A、SAQ A-EP 和 SAQ D 文档必须由符合 PCI 标准的合格安全评估员 (QSA) 或经 PCI 认证的内部安全评估员 (ISA) 签署。1
  • 由经认可扫描供应商 (ASV) 每季度进行网络扫描
3 级
  • 线上年交易量在 2 万-100 万笔的企业
  • 年总交易量低于 100 万笔的企业
  • 3 级和 4 级用户将自动加入我们的风险管理计划,该计划根据多种因素(包括集成类型)提供定制化和简化的体验。这可能包括完成一个或多个 PCI DSS 自我评估问卷 (SAQ)
  • 3 级用户还必须由经认可扫描供应商 (ASV) 每季度进行网络扫描。
4 级
  • 线上年交易量低于 2 万笔的企业;或
  • 年总交易量不超过 100 万笔的企业
  • 4 级用户还必须由经认可扫描供应商 (ASV) 每季度进行网络扫描。
1 完成 SAQ A、SAQ A-EP 或 SAQ D 的二级商家必须聘请合格安全评估员 (QSA) 进行合规验证。

2. 了解您的集成类型和文档要求

一旦您知道自己的 PCI 级别,下一步就是根据您与 Stripe 使用的集成类型、您是否是服务提供商等,确定您需要完成哪些 PCI 文档来验证您的合规性。

1 级用户

1 级企业没有资格使用 SAQ 来证明 PCI 合规性。他们需要每年完成一份由 QSA 签署的 ROC,以验证其 PCI 合规性。

2-4 级用户

对于 2-4 级用户,根据您的支付集成方式,有不同的 SAQ 类型。如果您不确定哪种 SAQ 类型适合您,Stripe PCI 向导将自动确定适合您业务的文档类型。

集成
要求
建议
Checkout 或 Elements
SAQ A
Checkout 以及 Stripe.js 和 Elements 在 Stripe 的域名(而非您的域名)提供的 iframe 内托管所有银行卡数据收集输入字段,因此您客户的银行卡信息永远不会接触到您的服务器。
Connect
SAQ A 如果您仅仅通过 Connect 平台(如 Squarespace)收集银行卡数据,我们可以确定平台是否提供了必要的 PCI 文档。
移动端 SDK
SAQ A

Stripe 的移动端 SDK 的开发和修改控制符合 PCI DSS(要求 6.3 - 6.5)的要求,并且是通过我们的 PCI 验证系统来实施的。当您仅使用来自我们官方的 iOS 或 Android SDK 的用户界面组件时,或者在 WebView 中使用 Elements 构建支付表单时,卡号将直接从您的客户传递到 Stripe,因此您的 PCI 合规负担最轻。

如果您不这样做,例如编写自己的代码来处理银行卡信息,则您可能需要负责额外的 PCI DSS 要求 (6.3-6.5),并且不再具有 SAQ A 资格。请与 PCI 合格安全评估员 (QSA) 联系,以确定如何根据 PCI 委员会的现行指南来最好地验证您的合规性。

如果您的应用程序要求客户在他们自己的设备上输入其信息,那么您便有资格使用 SAQ A。如果您的应用程序在您的设备上接受多个客户的银行卡信息(例如,销售点应用程序),则请咨询 PCI 合格安全评估员,了解如何最好地验证您的 PCI 合规性。

Stripe.js v2
SAQ A-EP

使用 Stripe.js v2 来传递在您自己网站上托管的表单中输入的银行卡数据时,需要每年填写 SAQ A-EP,以证明您的业务符合 PCI 标准。

或者,也可以使用 CheckoutElements,利用它们可以灵活定制自托管表单,同时还满足 SAQ A 的 PCI 资格。

Terminal
SAQ C

如果您专门通过 Stripe Terminal 收集银行卡数据,则可以使用 SAQ C 进行验证。

如果您使用本表所列的其他方法与 Stripe 集成,则必须按照描述,分别证明它们的合规性。
管理平台
SAQ C-VT

只有在特殊情况下才可以通过管理平台手动处理银行卡付款,不可作为常规付款处理方式。为您的客户提供合适的支付表单或移动应用程序来输入他们的银行卡信息。

我们无法验证手动输入的银行卡信息在 Stripe 之外是否安全,因此您必须根据 PCI 合规要求保护银行卡数据,并每年完成 SAQ C-VT,以证明您的业务符合 PCI 合规要求。

直接 API
SAQ D

当您直接将银行卡信息传递到 Stripe 的 API 时,您的集成将直接处理该数据,并且您需要每年使用 SAQ D 证明您的 PCI 合规性,这是 SAQ 中要求最严格的。为了减轻这一负担:

此外,包含风险评估规则的防欺诈工具 Radar 仅在使用我们任一客户端令牌化方法时才可使用。

服务提供商

如果您代表其他实体(例如支付网关、支付服务提供商和独立销售组织)直接参与处理、存储或传输持卡人数据 (CHD) 和/或敏感身份验证数据 (CHD),则您可能被归类为服务提供商。这意味着您将需要满足额外的要求,并且需要验证这些要求。

3. 完成评估,并提交 SAQ 文档

确定需要完成的评估后,下一步就是执行评估,完成相关的 SAQ 或 ROC 文档,并将其提交给 Stripe 进行审核。

交易量较大的用户会希望聘请一名在其业务运营所在地区已注册执业的合格安全评估师 (QSA) 来提供服务。该 QSA 将帮助根据 PCI 要求审查您的系统,并就任何缺陷提供补救建议。他们还将制作并签署相应的文档,供您每年与 Stripe 共享。

3 级和 4 级用户可能需要完成适合其业务范围的 PCI DSS 自我评估问卷。您可以通过 PCI 安全标准委员会获得更多 商家资源。Stripe 也随时为您提供帮助,因为我们在 PCI 管理平台上的定制向导将提出一系列问题并为您生成所需的文档。您可以使用 Stripe PCI 管理平台上传任何自行完成的 SAQ 或 ROC 文档。

4. 监控和维护

需要注意的是,PCI 合规性不是一次性事件。这是一个年度流程,以确保您的业务在数据流和客户接触点不断变化的情况下仍保持合规性。

PCI DSS 为处理和存储持卡人数据设定了重要标准,但它自身并不能为每个支付环境提供足够的保护。相反,转向使用令牌化数据的更安全的卡收款方法(例如 Stripe Checkout、Elements 和移动 SDK)是保护您组织的更有效方式。这种方法为敏捷型企业提供了一种减轻潜在数据泄露风险的方式,并避免了耗时且成本高昂的传统 PCI 验证方法。

随着公司的发展,核心业务逻辑和流程也会随之发展,这意味着合规性要求也会发生变化。例如,在线企业可能会决定开设实体店、进入新市场或设立一个客户服务中心。如果任何新举措涉及支付卡数据,最好主动检查这是否对所选 PCI 验证方法产生影响,并根据需要重新验证 PCI 合规性。

如需了解更多关于 PCI 合规性这一复杂领域的信息,请访问 PCI 安全标准委员会网站。如果您只阅读本指南和其他一些 PCI 文档,我们建议您从以下内容开始:

Stripe 如何帮助组织维护 PCI 合规性

Stripe 是 PCI 1 级服务提供商,每年由独立的 PCI 合格安全评估员根据所有 PCI DSS 要求进行认证。这意味着我们所有的产品在默认情况下都是安全的,从而减少了您的合规性要求。

对于我们所有的用户,无论集成类型如何,Stripe 都是 PCI 的倡导者,可以通过多种不同的方式提供帮助。

支持我们的小型企业

Stripe 通过提供定制的合规流程,包括为一些用户提供预填充的 SAQ 和引导式流程,利用更安全的集成方法,如 CheckoutElements移动 SDKTerminal SDK,大大简化了我们小型用户的 PCI 负担。

定制的管理平台体验

一旦您成为 Stripe 的客户,我们将分析您的交易记录,并通过定制化的管理平台体验,就如何减轻您的合规负担为您提供建议。

在您的业务发展过程中提供支持

随着您的年度交易总量不断增加,您可能会发现自己在一年内就改变了 PCI 等级。Stripe 会在您临近 PCI 续期时提醒您新的要求,从而支持您完成过渡时期。

多个服务提供商

如果您的企业使用多个处理商,您的 PCI 合规流程可能会变得复杂。Stripe 支持提供商提交 AOC,从而简化您的合规流程,让您轻松实现合规。

准备好开始了?

创建账户即可开始收款,无需签署合同或填写银行信息。您也可以联系我们,为您的企业定制专属支付解决方案。
Payments

Payments

借助为各种企业打造的支付解决方案,实现全球范围线上线下收款。

Payments 文档

查找 Stripe 的付款 API 集成指南。