PCI DSS 所覆盖的任何企业若未能遵守该标准的要求,将受到严厉的处罚和罚款。罚款数额不等,具体取决于违规的严重程度,但金额通常在几千到几十万美元之间,并且在整改完成前可能持续罚款。然而,声誉损失的成本可能要高得多。数据泄露会导致丧失客户信任,从而造成客户流失甚至集体诉讼。在 2019 年的一次数据泄露中,有 3,400 万张支付卡 受到影响,最终造成 800 万美元的诉讼成本;调查发现其中存在多种违反 PCI DSS 标准的行为。
黑客的目标是金钱,所以金融交易成为欺诈和网络犯罪活动的重灾区。例如,2022 年 Akamai 的一份报告 就发现,针对金融服务公司的 Web 应用程序和 API 攻击与上一年相比增长了 257%。此外,联邦贸易委员会的数据显示,2022 年金融欺诈给消费者造成了将近 88 亿美元的损失,相比 2021 年增长了 44%。
为了帮助遏制利用支付卡数据进行金融欺诈和金融犯罪的势头,PCI 安全标准委员会 提出了一项信息安全标准,称为 PCI DSS(支付卡行业数据安全标准)。下文介绍了 PCI DSS 要求的内容。
PCI DSS 概述
PCI DSS 是 2004 年启动的一套安全标准;这些标准适用于任何接受、处理、存储或传输信用卡数据的企业。PCI DSS 由 PCI SSC(支付卡行业安全标准委员会)负责管理,组成该委员会的大型信用卡公司包括Mastercard、Visa、Discover、美国运通和 JCB。
PCI DSS 现已成为加强支付卡数据安全和防止安全漏洞的一项全球公认标准。然而,随着威胁形势的演变,新的威胁不断涌现,这套网络安全标准也在改变。PCI SSC 在 2022 年 3 月发布了最新的 PCI DSS v4.0 版本,并要求企业在 2025 年 3 月(2024 年 3 月 PCI DSS v3.2.1 停用后的 12 个月)实现完全合规。
PCI DSS 可以应对各种威胁,其中包括:
- 恶意软件
- 网络钓鱼
- 远程访问控制和身份验证
- 弱密码
- 遗留软件
- 信用卡侧录
PCI DSS 安全控制措施
PCI DSS 包含 12 条控制措施,用于保护持卡人数据安全。这些措施立足于“人员、流程和技术”的理念,包括使用防火墙、数据最小化、持卡人数据加密传输、强大的访问控制、防病毒软件、定期渗透测试和漏洞风险评估、补丁管理,以及通用安全环境控制。
需要遵守 PCI DSS 的企业类型
网络犯罪分子志在金钱,所以任何处理金融交易的企业都可能成为他们的目标。到 2023 年底,全球 在线支付欺诈给电子商务业造成的损失预计将超过 480 亿美元。此外, 普华永道 2022 年全球经济犯罪和欺诈调查发现,超过一半的受访者在过去两年内曾遭遇金融欺诈。根据 Verizon 2023 年数据泄露调查报告(DBIR) 所载,权限滥用是金融业大部分数据泄露事件的幕后黑手。
PCI DSS 标准适用于接受、处理、存储或传输持卡人数据的任何企业,因此以下类型的企业必须满足该标准的要求:
- 各种规模的商家
- 金融机构
- 支付服务提供商,包括硬件和软件提供商
- 销售点 (POS) 供应商
下面是一些受 PCI DSS 影响的企业示例:
小商户和零售商
中小型企业 (SMB) 与大型企业一样面临着严重的数据泄露风险。根据 2022 年 DBIR 报告,有 61% 的中小企业经历过至少一次数据泄露。PCI DSS 下有四个商户合规级别,小商户必须遵守相应级别的安全准则:
1 级:每年处理的信用卡交易数量超过 600 万笔
2 级:每年处理的信用卡交易数量在 100 万至 600 万笔之间
3 级:每年处理的信用卡交易数量在两万至 100 万笔之间
4 级:每年处理的信用卡交易数量不到两万笔
小商户务必将安全保护视为一项综合性任务,确保 IT 系统受到防火墙保护,实施强大的访问控制策略,并对持卡人数据进行加密。为了实现 360 度的安全保障并简化这一过程,中小型企业应该采用能够保护数据、设备和人员安全的解决方案。
服务提供商
服务提供商是指任何可能影响支付数据安全性的企业,它甚至可能隶属于另一个企业。PCI DSS 有两个服务提供商合规级别,具体取决于服务提供商处理的交易级别:
1 级 服务提供商:每年处理的交易达到 30 万笔或更多(针对美国运通卡,交易达到 250 万笔或更多)
2 级服务提供商:每年处理的交易不到 30 万笔(针对美国运通卡,交易不到 250 万笔)
与中小型企业商户一样,服务提供商必须遵守 PCI DSS 安全措施和控制策略。
Akamai 如何帮助企业满足 PCI DSS v4.0 的要求?
Akamai 已获得 PCI DSS 1 级服务提供商认证,这是该标准下最高的评估级别。Akamai 还提供一系列解决方案,帮助企业满足 PCI DSS 六大核心领域的要求。以下 Akamai 解决方案提供符合 PCI 要求的安全控制措施, 可帮助企业满足 PCI 标准下的 12 项要求:
App & API Protector(含 Malware Protection 附加模块):确保日志合规性并防止 PII 数据泄漏、零日攻击、CVE 以及其他基于边缘的攻击。
API Security:检测 API 行为并减少逻辑滥用,保护网站、资产并避免 PII 丢失。
Client-side Protection & Compliance:针对浏览器中执行的所有脚本,保存一份清单并检查合理性,监视脚本行为的变化,并标记任何可疑的脚本活动。
Akamai Guardicore Segmentation:确定监管资产的范围,使得满足合规要求更容易。
Secure Internet Access Enterprise:阻止或监控包含 PII、PCI DSS 或 HIPAA 数据的内容上传。
常见问题
PCI DSS(支付卡行业数据安全标准)是一套安全标准,用于确保所有接受、处理、存储或传输信用卡信息的公司维持安全的运营环境。
任何企业无论交易规模或交易数量如何,只要接受、传输或存储任何持卡人数据,都必须遵守 PCI DSS。
符合 PCI DSS 规定的企业必须集中力量保护金融数据的安全。PCI DSS 安全要求适用于两大类数据:持卡人数据和敏感身份验证数据。
持卡人数据
- 主账号 (PAN)
- 持卡人姓名
- 到期日期
- 服务代码
敏感身份验证数据
- 全磁道数据(磁条数据或芯片上的等效数据)
- CAV2/CVC2/CVV2/CID
- PIN/PIN 数据块
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。