跳到主要内容

什么是 PCI 合规?

  • 您的服务器符合 PCI 合规要求吗?
  • 什么是 PCI 合规?

无论您是在线还是线下接受信用卡支付,都必须遵守信用卡协会和网络关于数据安全的规则,以保护持卡人数据。这些规则已在整个支付处理行业中通过支付卡行业数据安全标准(PCI DSS)实现了标准化。
如果您接受任何支付卡,如 American Express(美国运通)、Discover Network(发现网络)、Diners Club International(大来国际)、JCB、MasterCard 和 Visa,您都需要符合 PCI 合规要求。这包括信用卡、借记卡、预付卡和礼品卡。
当您通过商户账户在线接受支付卡时,PCI 合规的某些细节由您的网络主机(HostGator)处理,某些由您的商户账户提供商(支付处理商)负责,某些方面则由您(商户)管理。
请点击以下链接跳转到相应章节。

  • 服务器 PCI 合规↴
  • 软件 PCI 合规↴
  • 支付处理公司 PCI 合规↴
  • SSL / 安全证书↴
  • 购物车 / 订单页面 / 网站编码↴
  • 您的公司政策和程序↴
  • 结论↴
  • 需要进一步帮助?↴

服务器 PCI 合规

HostGator 负责此部分。虽然我们的 VPS 和专用服务器支持 PCI 合规,但可能会出现误报(错误警报),或者需要进行配置更改以使服务器满足 PCI DSS 中规定的要求。
如果您遇到任何问题,您需要请求扫描服务提供商通过电子邮件向您发送 PDF 格式的报告,然后在通过电话或聊天联系我们时,将官方供应商提供的完整 PDF 报告作为附件一并提交。
请务必附上完整的 PDF 报告。仅复制粘贴报告中的信息是不够的。

软件 PCI 合规

HostGator 不提供确保您网站所用软件符合 PCI 合规要求的支持。这包括但不限于购物车、购物车插件、支付网关软件,或因网站编码导致的任何漏洞,无论使用何种开发方式。
对于软件相关问题,您需要联系负责构建您解决方案的相关开发者。

支付处理公司 PCI 合规

您的支付处理公司负责此部分。他们负责维护其安全的网络环境。
(您的支付处理公司也可以指导您如何符合 PCI 合规。他们是咨询 PCI 合规问题的良好资源。)

SSL / 安全证书

除了服务器需要符合 PCI 合规(由 HostGator 为您处理)之外,信用卡协会和网络还要求您在传输信用卡信息时使用 SSL,例如卡号、持卡人姓名、有效期、CVV 码等(例如客户在您的购物车订单表单或支付页面输入信用卡信息时)。这是使您的网站符合 PCI 合规的重要部分。
请参阅我们的文章《什么是 SSL 证书?》了解为何及何时需要 SSL 证书,以及我们的文章《我如何购买 SSL 证书及其类型?》了解如何购买。

购物车 / 订单页面 / 网站编码

您网站上使用的购物车或订单页面代码也必须符合 PCI 合规要求。许多购物车和电子商务软件会声明其符合 PCI 合规。
部分 PCI 合规要求包括:

  • 使用复杂且唯一的密码访问电子商务系统,以防止未经授权的访问。
  • 确保不要使用购物车、电子商务软件或 POS 系统附带的默认密码。
  • 只有授权员工可以访问持卡人数据。
  • 您的网站应防范安全漏洞,并保持无恶意软件状态。如果您使用第三方脚本,如购物车或电子商务系统,通常意味着运行最新的安全版本。
  • 您的网站、购物车或电子商务软件应记录支付处理交易。
  • 您的网站不得通过电子邮件发送安全的卡信息(如卡号、持卡人姓名、有效期、CVV 码等)。通过电子邮件发送持卡人数据是不安全的。应将其安全存储在数据库或其他安全方式中。

这只是部分要求。如您所见,某些要求不仅涉及脚本或网站编码本身,还包括您如何使用网站(例如使用安全密码)。
使用现代购物车或电子商务脚本,并采用安全密码和流程,通常可以涵盖所有与网站编码相关的 PCI 合规问题。

您的公司政策和程序

除了保护服务器和获取 SSL 证书外,您的内部公司程序也属于 PCI 合规的范畴。例如,办公室中存储的持卡人数据必须保存在密码保护的计算机和/或上锁的文件柜中,以防止未经授权的访问。将持卡人数据放在未上锁的文件柜中,任何未经授权的人都能访问,属于违反 PCI DSS。PCI 合规不仅仅关乎服务器安全,也适用于办公室中的纸质记录、打印件和员工操作程序。

结论

PCI 合规的目标是保护持卡人数据免受未经授权的访问,无论这种访问是通过您的服务器还是办公室的文件柜发生。制定政策和实践以防止未经授权访问持卡人数据,将有助于确保您符合 PCI 合规要求。

需要进一步帮助?

针对服务器相关的 PCI 问题,请联系 HostGator 支持。如果您遇到任何问题,您需要请求扫描服务提供商通过电子邮件向您发送 PDF 格式的报告,然后在通过电话或聊天联系我们时,将官方供应商提供的完整 PDF 报告作为附件一并提交。
对于其他所有 PCI 问题,您获得商户账户的支付处理公司是最好的 PCI 合规信息资源。他们可能还有其网络特有的具体要求。您通常可以直接联系您的销售代表或代理,或拨打支付处理公司的支持热线。联系信息通常也可在支付处理公司的网站上找到。