答案
银行卡支付的 PCI 合规是什么?
PCI 合规(PCI compliance)指的是:当你的企业存储、处理或发送银行卡支付数据时,需要遵循支付卡行业数据安全标准,通常称为 PCI DSS。它不是一款你买来的产品,而是一套规则与实践。
简短回答
PCI 合规是指满足支付卡行业数据安全标准(Payment Card Industry Data Security Standard,简称 PCI DSS)的过程。PCI DSS 是主要卡组织制定的安全规则,用于降低卡数据被暴露或被滥用的风险。
如果你的企业接受信用卡或借记卡,即使只是偶尔,PCI 也可能适用于你。包括线下刷卡支付、在线结账、移动读卡器、虚拟终端,以及有时的循环扣款。
对大多数小型企业来说,PCI 合规通常意味着:使用获批准的支付工具、尽量限制卡数据触达你系统的范围、保持设备和软件更新,并填写支付处理商或银行要求的表单。具体步骤取决于你如何接收银行卡支付。
NodeBridge IT 不提供 PCI 合规服务,也不会访问你的系统。我们提供通用教育,并且可以帮助你找到一家独立的托管式 IT 服务提供商(MSP),如果你希望在理解选择时获得帮助。
为什么这对你的业务很重要
PCI 之所以重要,是因为卡数据属于敏感信息。如果支付信息被粗心地处理,可能导致欺诈、拒付(chargebacks)、账户问题、来自支付合作方的处罚,以及漫长的善后过程。没有任何诚实的服务商会承诺“无法被入侵的网络”,但良好的实践可以降低风险。
这也很重要,因为你的支付处理商、商户服务公司、收单银行或卡合作伙伴可能会要求你确认你的 PCI 状态。直白地说,他们想知道你是否以更安全、更可控的方式处理卡数据。
对小企业主而言,目标通常是务实的,而不是技术性的。使用能减少你暴露面的支付方式,让你的系统保持良好状态;除非有充分理由,并且系统搭建本身就适合这种设计,否则避免存储卡号。
如果你不确定从哪里开始,我们的答疑页面用通俗语言覆盖常见的 IT 与安全主题。
PCI 合规并不对每家企业都一样
具体工作可能很简单,也可能更复杂,取决于你的支付设置。比如,一家用独立刷卡终端的咖啡店,通常与使用集成系统的诊所、零售商或线上商店的 PCI 负担会非常不同。
把客户引导到托管结账页面的业务,范围(scope)可能更小。范围指的是:哪些人员、设备、系统与流程会影响卡数据。范围越小,通常意味着要求越少。
在办公电脑上手工录入卡信息、存储支付明细、运行电商网站,或把支付工具连接到其他业务系统的业务,可能范围更大。通常这意味着需要更多文档、更严格的控制,以及持续更多关注。
要求也可能因行业与所在州、以及支付合作伙伴的规则而不同。PCI 并不等同于 HIPAA:HIPAA 是《健康保险可携性与责任法案》(Health Insurance Portability and Accountability Act),针对健康数据;也不同于银行手续费方面的 PCI 规则。在这里,我们指的是支付卡安全方面的要求。
良好实践应该是什么样
良好的 PCI 实践通常从降低复杂度开始。许多小型企业通过使用信誉良好的支付工具更合适,这样可以尽可能让卡数据不落在你自己的电脑和网络上。你的系统越少“接触”卡数据,就越少需要管理的内容。
良好也意味着基础的 IT 纪律。让业务设备保持更新。当设备不再受厂商支持时,及时更换旧路由器、电脑以及支付硬件。为账户使用强且唯一的密码,并在可用时为支付与管理账户启用 MFA(多因素认证,multi-factor authentication)。
如果员工使用的电脑能够访问支付系统,这些设备应被谨慎管理。可能包括打补丁(patching,即安装安全与软件更新)、使用杀毒软件,或更高级的端点检测与响应工具(EDR,endpoint detection and response),以及清晰的用户权限。端点(endpoint)指任何连接到你业务系统的设备,比如笔记本、台式机或手机。
良好的文档也同样重要。要知道:由哪个供应商处理你的支付、哪些人可以访问支付工具、收据和报表存放在哪里,以及当你感觉“哪里不对劲”时该做什么。一个靠谱的服务商也可能帮助你规划备份。你可能会听到“3-2-1 备份”(3-2-1 backup)这个说法:意思是保留重要数据的 3 份副本,分存在 2 种不同类型的存储中,其中 1 份放在站点外(offsite)。这本身并不能让卡数据存储变得“没问题”,但它属于健康的业务运营的一部分。
独立托管式 IT 提供商可能能帮你什么
MSP(managed IT services provider,托管式 IT 服务提供商)可以帮助你理解 PCI 相关的技术层面。这可能包括:审查你的环境、帮助缩小 PCI 范围、改进设备管理、与支付供应商协调,以及确保没有遗漏例行任务。
你可能也会听到 RMM 和 vCIO 等术语。RMM(remote monitoring and management,远程监控与管理)是一类很多服务商使用的软件,用于跟踪设备健康状况并在业务电脑上处理更新。vCIO 是“虚拟首席信息官”(virtual Chief Information Officer),是帮助没有全职 IT 领导的企业进行 IT 规划与优先级设定的人。
一些服务商还会帮助你理解服务条款。例如,SLA(service level agreement,服务水平协议)。它会说明响应目标、包含哪些内容以及不包含哪些内容。SLA 不是“承诺零停机时间”或“完美安全”的保证。
NodeBridge IT 不是 MSP,也不会管理、监控、保护、安全修复或访问你的系统。如果你需要支持,我们可以帮你连接到符合你规模、需求与所在地区的独立提供商。
忙碌的你可以采取的一个简单下一步
先从一个基础问题开始:今天卡数据是如何在我的业务中流动的?把客户完成支付的每一个位置、涉及的每一种设备,以及与这些支付有关的每一个供应商都列出来。做完这一步通常能澄清很多问题。
接着核对你的支付处理商或银行要求你完成什么内容。他们通常会提供问卷或门户。如果问题让人难以理解,那么可能是时候与一家理解小型企业环境的独立 IT 提供商沟通。
你不需要成为安全专家。你需要的是:清晰了解你的支付设置、哪些工具是被支持的,以及在需要时能获得的现实帮助。如果你愿意,你可以获得匹配到一家独立的托管式 IT 提供商。我们的匹配服务对企业免费,我们只收集基础的业务与联系信息。
一则坦诚说明
NodeBridge IT 是一项免费的匹配服务,不是IT服务商。这里提供的信息是一般性与教学用途——在您签约前,请与任何服务商以书面形式确认服务范围、SLA与价格。没有任何人能够保证正常运行时间、安全性、事故预防或数据恢复。
PCI 合规是指遵循银行卡支付的安全规则;对大多数小型企业来说,最聪明的做法是使用更简单的支付工具,并在你的设置更复杂时获得清晰的支持。
常见问题
所有接收银行卡的小型企业都需要做 PCI 合规吗?
通常是的。如果你线下、线上、通过电话,或通过循环扣款接受卡支付,往往会有某种程度的 PCI 责任。具体要求取决于你如何接收支付。
PCI 合规和使用安全的支付终端是同一回事吗?
不是。安全终端可以有所帮助,但 PCI 合规的范围比单一设备要广。它包括你的支付处理流程、连接的系统、账户安全、更新,以及任何可能暴露卡数据的地方。
我能不能把这件事外包掉然后就不管了?
不能完全不管。使用外部支付工具可能会缩小你的范围(scope),这是好事,但你的企业仍然有责任。你仍需要正确使用获批准的工具,并遵循支付处理商或银行给你的要求。
如果我从不存储卡号会怎样?
这通常会大大有帮助。不存储卡数据,并使用托管式(hosted)或独立式(standalone)的支付方式的企业,可能会有更简化的 PCI 路径。但 PCI 仍可能适用,因为你仍然在处理或传输卡支付。
PCI 合规需要多少钱?
没有统一的价格。成本会随人员规模、设备数量、支付设置、安全需求、行业和所在地区而变化。对一些使用简单支付工具的特别小型企业来说,除了常规的硬件、软件与支付处理商要求之外,成本可能较低;更复杂的设置则可能花费更多。你听到的任何价格区间都不是报价。
NodeBridge IT 能帮我们做到 PCI 合规吗?
不能。NodeBridge IT 是免费的匹配服务,不是 IT 服务提供商或安全公司。我们分享通用的教育信息,并且如果你想要针对你业务的建议,我们可以帮助你找到一家独立的托管式 IT 服务提供商。