PCI DSS 所覆盖的任何企业若未能遵守该标准的要求,将受到严厉的处罚和罚款。罚款数额不等,具体取决于违规的严重程度,但金额通常在几千到几十万美元之间,并且在整改完成前可能持续罚款。然而,声誉损失的成本可能要高得多。数据泄露会导致丧失客户信任,从而造成客户流失甚至集体诉讼。在 2019 年的一次数据泄露中,有 3,400 万张支付卡 受到影响,最终造成 800 万美元的诉讼成本;调查发现其中存在多种违反 PCI DSS 标准的行为。
黑客的目标是金钱,所以金融交易成为欺诈和网络犯罪活动的重灾区。例如,2022 年 Akamai 的一份报告 就发现,针对金融服务公司的 Web 应用程序和 API 攻击与上一年相比增长了 257%。此外,联邦贸易委员会的数据显示,2022 年金融欺诈给消费者造成了将近 88 亿美元的损失,相比 2021 年增长了 44%。
为了帮助遏制利用支付卡数据进行金融欺诈和金融犯罪的势头,PCI 安全标准委员会 提出了一项信息安全标准,称为 PCI DSS(支付卡行业数据安全标准)。下文介绍了 PCI DSS 要求的内容。
PCI DSS 概述
PCI DSS 是 2004 年启动的一套安全标准;这些标准适用于任何接受、处理、存储或传输信用卡数据的企业。PCI DSS 由 PCI SSC(支付卡行业安全标准委员会)负责管理,组成该委员会的大型信用卡公司包括Mastercard、Visa、Discover、美国运通和 JCB。
PCI DSS 现已成为加强支付卡数据安全和防止安全漏洞的一项全球公认标准。然而,随着威胁形势的演变,新的威胁不断涌现,这套网络安全标准也在改变。PCI SSC 在 2022 年 3 月发布了最新的 PCI DSS v4.0 版本,并要求企业在 2025 年 3 月(2024 年 3 月 PCI DSS v3.2.1 停用后的 12 个月)实现完全合规。
PCI DSS 可以应对各种威胁,其中包括:
- 恶意软件
- 网络钓鱼
- 远程访问控制和身份验证
- 弱密码
- 遗留软件
- 信用卡侧录
PCI DSS 安全控制措施
PCI DSS 包含 12 条控制措施,用于保护持卡人数据安全。这些措施立足于“人员、流程和技术”的理念,包括使用防火墙、数据最小化、持卡人数据加密传输、强大的访问控制、防病毒软件、定期渗透测试和漏洞风险评估、补丁管理,以及通用安全环境控制。
需要遵守 PCI DSS 的企业类型
网络犯罪分子志在金钱,所以任何处理金融交易的企业都可能成为他们的目标。到 2023 年底,全球 在线支付欺诈给电子商务业造成的损失预计将超过 480 亿美元。此外, 普华永道 2022 年全球经济犯罪和欺诈调查发现,超过一半的受访者在过去两年内曾遭遇金融欺诈。根据 Verizon 2023 年数据泄露调查报告(DBIR) 所载,权限滥用是金融业大部分数据泄露事件的幕后黑手。
PCI DSS 标准适用于接受、处理、存储或传输持卡人数据的任何企业,因此以下类型的企业必须满足该标准的要求:
- 各种规模的商家
- 金融机构
- 支付服务提供商,包括硬件和软件提供商
- 销售点 (POS) 供应商
下面是一些受 PCI DSS 影响的企业示例:
小商户和零售商
中小型企业 (SMB) 与大型企业一样面临着严重的数据泄露风险。根据 2022 年 DBIR 报告,有 61% 的中小企业经历过至少一次数据泄露。PCI DSS 下有四个商户合规级别,小商户必须遵守相应级别的安全准则:
1 级:每年处理的信用卡交易数量超过 600 万笔
2 级:每年处理的信用卡交易数量在 100 万至 600 万笔之间
3 级:每年处理的信用卡交易数量在两万至 100 万笔之间
4 级:每年处理的信用卡交易数量不到两万笔
小商户务必将安全保护视为一项综合性任务,确保 IT 系统受到防火墙保护,实施强大的访问控制策略,并对持卡人数据进行加密。为了实现 360 度的安全保障并简化这一过程,中小型企业应该采用能够保护数据、设备和人员安全的解决方案。
服务提供商
服务提供商是指任何可能影响支付数据安全性的企业,它甚至可能隶属于另一个企业。PCI DSS 有两个服务提供商合规级别,具体取决于服务提供商处理的交易级别:
1 级 服务提供商:每年处理的交易达到 30 万笔或更多(针对美国运通卡,交易达到 250 万笔或更多)
2 级服务提供商:每年处理的交易不到 30 万笔(针对美国运通卡,交易不到 250 万笔)
与中小型企业商户一样,服务提供商必须遵守 PCI DSS 安全措施和控制策略。
Akamai 如何帮助企业满足 PCI DSS v4.0 的要求?
Akamai 已获得 PCI DSS 1 级服务提供商认证,这是该标准下最高的评估级别。Akamai 还提供一系列解决方案,帮助企业满足 PCI DSS 六大核心领域的要求。以下 Akamai 解决方案提供符合 PCI 要求的安全控制措施, 可帮助企业满足 PCI 标准下的 12 项要求:
App & API Protector(含 Malware Protection 附加模块):确保日志合规性并防止 PII 数据泄漏、零日攻击、CVE 以及其他基于边缘的攻击。
API Security:检测 API 行为并减少逻辑滥用,保护网站、资产并避免 PII 丢失。
Client-side Protection & Compliance:针对浏览器中执行的所有脚本,保存一份清单并检查合理性,监视脚本行为的变化,并标记任何可疑的脚本活动。
Akamai Guardicore Segmentation:确定监管资产的范围,使得满足合规要求更容易。
Secure Internet Access Enterprise:阻止或监控包含 PII、PCI DSS 或 HIPAA 数据的内容上传。
常见问题
PCI DSS(支付卡行业数据安全标准)是一套安全标准,用于确保所有接受、处理、存储或传输信用卡信息的公司维持安全的运营环境。
任何企业无论交易规模或交易数量如何,只要接受、传输或存储任何持卡人数据,都必须遵守 PCI DSS。
符合 PCI DSS 规定的企业必须集中力量保护金融数据的安全。PCI DSS 安全要求适用于两大类数据:持卡人数据和敏感身份验证数据。
持卡人数据
- 主账号 (PAN)
- 持卡人姓名
- 到期日期
- 服务代码
敏感身份验证数据
- 全磁道数据(磁条数据或芯片上的等效数据)
- CAV2/CVC2/CVV2/CID
- PIN/PIN 数据块
客户为什么选择 Akamai
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。