ZH Standards

PCI 安全标准概述

我们的 PCI 安全标准

PCI 安全标准由 PCI 安全标准理事会制定和维护,旨在保护整个支付生命周期中的支付数据。不同的 PCI 标准为支付行业内的不同利益相关方和职能部门提供支持。

某些 PCI 标准旨在供参与支付的组织(如商户、服务提供商和金融机构)在其自身环境中使用。这些标准支持在组织内部实施安全实践、技术和流程。

其他 PCI 标准适用于希望证明其产品或服务在设计时考虑了安全性,并符合一组定义的安全要求的开发人员、技术供应商和解决方案提供商。这些标准支持符合标准和认证计划要求的产品和服务的验证和列名。

所有 PCI 安全标准都是与全球支付行业利益相关者网络共同制定的。

PCI 安全标准生态系统

standards-ecosystem-ZH

本图表列出了适用的 PCI Security Standards。 有关任何相关合规计划,请联系支付品牌方。

The PCI Security Standards Ecosystem

This diagram notes applicable PCI Security Standards. Contact payments brands for any related compliance programs.

PCI 安全标准

PCI 数据安全标准 (PCI DSS)

PCI DSS 针对保护支付帐户数据存储、处理或传输的环境定义了安全要求。PCI DSS 提供了一套旨在保护支付帐户数据的技术和操作要求基准。

点对点加密 (P2PE)

PCI P2PE 标准针对 P2PE 解决方案、P2PE 组件和 P2PE 应用程序通过加密保护支付帐户数据(从该数据在商户的支付设备中捕获到在解决方案提供商或组件提供商的环境中解密)定义了安全要求。

安全软件

PCI 安全软件标准针对软件供应商和开发商确保支付软件的安全设计与管理并保护支付交易的完整性以及与支付交易相关的存储、处理或传输的支付数据的机密性定义了安全要求。

安全软件生命周期 (Secure SLC)

安全软件生命周期(SLC)标准针对软件供应商和开发人员确保安全性贯穿整个软件生命周期并使软件基于安全的设计且能够抵御攻击定义了安全要求。

PTS 交互点(POI)

PIN 交易安全 (PTS) 交互点 (POI) 标准针对交互点用于保护持卡人 PIN(个人识别码)、帐户数据和其他敏感支付卡数据的设备特性和管理定义了安全要求。

令牌服务提供商 (TSP)

令牌服务提供商 (TSP) 标准针对 EMV® 支付令牌化规范技术框架中规定的、生成和发行 EMV 支付令牌的令牌服务提供商 (TSP) 定义了安全要求。

PIN 安全

PIN 安全标准针对在 ATM 以及有人看管和无人看管的销售点 (POS) 终端进行在线和离线支付卡交易处理期间对个人识别码 (PIN) 数据的安全管理、处理和传输定义了安全要求。

卡生产和配置 - 逻辑

本标准针对支付卡及其组件的开发、制造、运输和个性化定制定义了逻辑安全要求。

卡生产和配置逻辑安全要求是对卡生产和配置物理安全要求的补充。

卡生产和配置 - 物理

该标准针对卡生产和配置功能定义了物理安全要求。

卡生产和配置物理安全要求是对卡生产和配置逻辑安全要求的补充。

PCI 3DS Core

PCI 3-D Secure (3DS) Core 安全标准针对保护执行特定 3DS 功能的环境以实现电子商务和移动商务购物的安全消费者验证定义了安全要求。

PCI 3DS SDK

该标准针对 EMV® 3-D Secure SDK 规范中定义的 3DS 软件开发工具包 (SDK) 帮助防止未经授权的无卡交易 (CNP)并保护商户免受 CNP 欺诈风险的影响规范了安全要求、评估程序和指导。

COTS 上的移动支付 (MPoC)

PCI COTS 移动支付(MPoC)基于现有的 PCI COTS 软件型 PIN 输入(SPoC)和 PCI COTS 非接触式支付(CPoC)标准,这些标准分别针对允许商户使用智能手机或其他商用现成(COTS)移动设备接受持卡人 PIN 或非接触式支付的解决方案的安全要求。

COTS 上的非接触式支付 (CPoC)

该标准针对解决方案利用商户的商用现成设备(例如手机或平板电脑)固有的 NFC 功能使这些设备能够接受非接触式支付而无需外部非接触式读卡器规范了安全要求。

基于软件的 COTS PIN 输入(SPoC)

该标准针对安全的移动支付接受解决方案在商户的商用现成设备(例如智能手机或平板电脑)上通过输入 PIN 码进行交易规范了安全要求。

PTS 硬件安全模块 (HSM)

PIN 交易安全 (PTS) 硬件安全模块 (HSM) 标准针对硬件安全模块在其整个生命周期中的特性和管理,以在金融交易和支付卡个性化等活动中确保保密性和数据完整性定义了安全要求。

Intended Audience

All entities that store, process, or transmit cardholder data (CHD) and/or sensitive authentication data (SAD) or could impact the security of the cardholder data environment (CDE). This includes all entities involved in payment card processing, including merchants, processors, acquirers, issuers, and service providers.

支付应用数据安全标准 (PA-DSS) – 已停用

支付应用程序数据安全标准(PA-DSS)已于2022 年 10 月 28 日停用,并已被安全软件标准安全软件生命周期标准所取代。

Intended Audience

All entities that store, process, or transmit cardholder data (CHD) and/or sensitive authentication data (SAD) or could impact the security of the cardholder data environment (CDE). This includes all entities involved in payment card processing, including merchants, processors, acquirers, issuers, and service providers.