常見解答
刷卡收款的 PCI 合規是什麼?
PCI 合規代表在你的企業儲存、處理或傳送信用卡付款資料時,需遵循「支付卡產業資料安全標準」(Payment Card Industry Data Security Standard,通常稱為 PCI DSS)。它不是你買來的一種產品,而是一套規則與實務。
簡短答案
PCI 合規是指符合「支付卡產業資料安全標準」(PCI DSS)的流程。這些是主要卡片品牌制定的安全規則,目的是降低卡片資料被揭露或被濫用的風險。
如果你的企業會收受信用卡或簽帳金融卡,即使只是偶爾也可能適用 PCI。這包含現場收款、線上結帳、行動刷卡讀卡器、虛擬終端機(virtual terminals),有時也包含週期性扣款。
對多數小型企業來說,PCI 合規通常意味著使用核准的付款工具、限制卡片資料能接觸到你系統的範圍、確保裝置與軟體都更新到位,並填妥你的付款處理商或銀行要求的表單。實際步驟會因你的收款方式而不同。
NodeBridge IT 不提供 PCI 合規服務,也不會存取你的系統。我們提供一般教育內容,並可協助你找到獨立的託管式(managed IT)服務提供商,也就是 MSP(Managed Service Provider),如果你想要有人幫你理解你的選項。
為什麼這對你的企業很重要
PCI 之所以重要,是因為卡片資料屬於敏感資訊。若付款資訊處理得不夠謹慎,可能導致詐欺、退單(chargebacks)、帳戶問題,以及來自付款合作夥伴的罰則,還會有漫長且費力的善後流程。我們不會對任何誠實的供應商說「保證網路不會被駭」。但良好實務確實能降低風險。
這也很重要,因為你的付款處理商、商戶服務公司(merchant services company)、收單銀行(acquiring bank)或卡片合作夥伴可能會要求你確認你的 PCI 狀態。用白話說,他們想知道你是否用較安全、較可控的方式處理卡片資料。
對小型企業負責人而言,目標通常是實務面,而不是技術面。使用能降低你暴露風險的付款方式,讓系統保持良好狀態,除非真的有強烈理由,否則避免儲存卡號,且若要儲存,也要有相對合適的設計與設定。
如果你不確定要從哪裡開始,我們的回答頁面用白話整理了常見的 IT 與資安主題。
PCI 合規並不適用於每一家企業的方式都一樣
具體工作可能很簡單,也可能因你的付款架構而更複雜。以一家使用獨立刷卡終端機(standalone card terminal)的咖啡店來說,其 PCI 負擔通常與使用整合式系統的診所、零售商或線上商店不同。
如果你的企業是將顧客導到託管的結帳頁面(hosted checkout page),可能牽涉的範圍會較小。「範圍」(scope)指的是可能影響卡片資料的人員、裝置、系統與流程。範圍越小,通常代表需要滿足的要求也越少。
如果你的企業是在辦公室電腦上輸入卡片資訊、儲存付款明細、經營電商網站,或將付款工具連到其他商業系統,就可能牽涉較大的範圍。這通常表示需要更多文件、更多控管措施,並且要持續投入關注。
要求也可能因產業、州別以及付款合作夥伴的規則而不同。PCI 不同於 HIPAA;HIPAA 是「健康保險可攜性與責任法案」(Health Insurance Portability and Accountability Act),它是針對健康資料的規範;而 PCI 也不同於銀行費用的 PCI 規則。此處我們所說的是「付款卡資料安全」的要求。
良好狀況通常長什麼樣子
良好的 PCI 做法通常從降低複雜度開始。許多小型企業更適合使用信譽良好的付款工具,盡可能讓卡片資料不要落在你自己的電腦與網路上。當只有更少的系統接觸卡片資料,管理起來就會更容易。
良好做法也包含基本的 IT 紀律:讓商用裝置保持更新。當舊的路由器、電腦與付款硬體不再受支援時,就予以汰換。使用強而且獨一無二的密碼,並在可用的情況下,為付款與管理帳戶啟用 MFA(多因素驗證,multi-factor authentication)。
如果員工使用能存取付款系統的電腦,這些裝置應被妥善管理。這可能包括套用更新(patching),也就是安裝安全性與軟體更新;使用防毒,或是較進階的端點偵測與回應工具(EDR,endpoint detection and response);以及明確的使用者權限設定。端點(endpoint)是任何能連線到你企業系統的裝置,例如筆電、桌機或手機。
良好的文件也很重要。你要知道誰是負責處理付款的供應商、誰能存取付款工具、收據與報表存放在哪裡,以及若覺得事情不對勁時該怎麼做。可靠的供應商也可能協助你規劃備份。你可能會聽到「3-2-1 備份」,意思是保留重要資料的 3 份副本,分別存放於 2 種不同的儲存媒介,其中 1 份放在站外(offsite)。這本身並不表示卡片資料儲存就因此變得沒問題,但它是健康的企業營運的一部分。
獨立託管式(managed IT)服務提供商可能能協助什麼
MSP(managed IT services provider,託管式 IT 服務提供商)可能能幫你理解 PCI 周邊的技術面。這可能包含:檢視你的環境、協助降低 PCI 範圍、改善裝置管理、與你的付款供應商協調,以及確保例行工作沒有被漏掉。
你也可能會聽到 RMM 與 vCIO 等名詞。RMM(remote monitoring and management,遠端監控與管理)是許多供應商使用的軟體,用來追蹤商用電腦與裝置的狀況,並處理更新。vCIO 是虛擬資訊長(virtual Chief Information Officer),是協助沒有全職 IT 領導角色的企業進行 IT 規劃與優先順序的人。
部分供應商也會協助你理解服務條款。例如 SLA 是服務等級協議(service level agreement)。它會說明回應目標、包含哪些內容,以及不包含哪些內容。這不是「保證零停機時間」或「保證完美安全性」。
NodeBridge IT 不是 MSP,也不會管理、監控、保護、修復或存取你的系統。如果你需要支援,我們可以幫你連結到符合你規模、需求與地區的獨立供應商。
繁忙的負責人可以採取的下一個簡單步驟
先問一個基本問題:目前卡片資料是如何在我的企業內流動的?把每一個顧客付款的地方、每一個涉及的裝置,以及每一個接觸到這些付款的供應商都列出來。做完這項練習通常就能釐清很多問題。
接著確認你的付款處理商或銀行要求你完成什麼。他們通常會提供問卷或入口網站(portal)。如果問題看起來很複雜,可能就到了該找一間理解小型企業環境的獨立 IT 服務提供商的時候。
你不需要變成資安專家。但你需要清楚了解你的付款架構、支援的工具,以及在需要時可取得的實際協助。如果你願意,你可以取得配對獨立的託管式(managed IT)服務提供商。我們的配對服務對企業是免費的,我們只會收集基本的企業與聯絡資訊。
誠實提醒
NodeBridge IT 是免費配對服務,不是 IT 供應商。此處資訊為一般性與教育性內容——簽約前,請以書面方式向任何供應商確認涵蓋範圍、SLA 與價格。無人能保證正常運作、資安或復原能力。
PCI 合規代表遵循卡片付款的安全規則;對多數小型企業來說,最聰明的做法是使用較單純的付款工具,並在你的設定較複雜時取得清楚的協助。
常見問題
所有收受卡片付款的小型企業都需要 PCI 合規嗎?
通常是的。如果你會現場、線上、透過電話,或透過週期性扣款接受卡片付款,通常會有某種程度的 PCI 責任需要符合。實際要求取決於你的收款方式。
PCI 合規等同於使用安全的刷卡終端機嗎?
不是。安全終端機可能有幫助,但 PCI 合規範圍比單一裝置更廣。它包含你的付款處理流程、已連接的系統、帳戶安全性、更新,以及可能會暴露卡片資料的任何位置。
我能不能把這件事外包出去就不管了?
不能完全不管。使用外部付款工具可能降低你的範圍(scope),這是好事,但你的企業仍然有責任。你仍需要正確使用核准的工具,並遵循你的處理商或銀行提供的要求。
如果我從不儲存卡號呢?
這通常能大幅幫助。沒有儲存卡片資料、並使用託管式或獨立式付款方式的企業,可能有較單純的 PCI 路徑(PCI path)。但 PCI 仍可能適用,因為你仍然會處理或傳送卡片付款。
PCI 合規要多少錢?
沒有單一固定價格。成本會依人數、裝置、付款架構、安全需求、產業與地區而不同。對使用較簡單付款工具的非常小型企業而言,成本可能除了常見的硬體、軟體與處理商要求之外不高。但更複雜的架構可能要花更多。你聽到的任何區間都不是報價。
NodeBridge IT 能讓我們達到 PCI 合規嗎?
不能。NodeBridge IT 是免費的配對服務,不是 IT 供應商或資安公司。我們提供一般性的教育資訊;如果你需要針對你企業的情況提供建議,我們也能幫你找到獨立的託管式(managed IT)服務提供商。