1. 什么是PCI DSS

支付卡行业数据安全标准 (PCI DSS：全称The Payment Card Industry Data Security Standard) 是一组专有信息安全标准，由 PCI 安全标准委员会管理，该委员会由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc. 创建。

PCI DSS 适用于存储、处理或传输持卡者数据 (CHD) 或敏感身份验证数据 (SAD) 的实体，包括商家、处理机构、购买方、发行机构和服务提供商。PCI DSS 由多家支付卡品牌联合制定，由支付卡行业安全标准委员会管理。

通俗点讲就是这个行业协会致力于保护信用卡的安全存储和使用，避免因信用卡信息泄露导致欺诈交易的发生，一般海外的支付页面上经常会看到PCI相关的logo，这些就是已经通过PCI认证的，除此之外也可以到PCI官网查询该商户是不是已经通过认证。

PCI安全认证可以最大程度的降低信用卡风险，惟有保障您的系统安全，客户方可将敏感的支付卡信息托付予您。若您满足合规性保护好信息，规范的交易流程可以获得更多消费者的信任，提升企业知名度。

2. 为什么需要进行PCI DSS认证

国内用户对此没有明显的体感，主要原因是国内的信用卡支付一般情况下都是需要密码的，但是海外信用卡支付一般情况下只需要卡号+CVV安全码即可，如果信用卡卡号和CVV码泄露的话即使不持有实体卡也可以正常完成整体的支付，为了保护持卡人的权益国际几个卡组织共同成立支付卡安全协议，对涉卡相关的商户或网站进行统一的安全认证，通过后方可与正常处理卡相关的信息。

3. 什么情况下需要申请PCI DSS认证

一般情况下普通的企业或是电商网站都是不需要申请独立的PCI DSS认证的，那如何处理信用卡相关的业务操作呢？ 主要通过与外部支付机构合作，国际上支持外卡收单的有Adyen、Stripe、Checkout等支付机构，通过跳转外部机构的收银台来完成支付的整体流程，整个支付过程中商户侧不涉及与用户之间卡信息的交互，除此之外也可以选择将卡信息绑定在收单机构。

如果自己是一个聚合支付通过，背后对接了多家支付机构则面临一个问题，在A支付机构绑定卡信息在B机构无法使用绑卡信息，为了用户体验如果在商户侧能够保存卡信息，则根据支付时的实时情况决策在A机构支付还是在B机构支付，这时候则需要商户自建PCI相关的系统和安全隔离能力。

按照要求，所有商家，包括处理 Visa、MasterCard、AMEX、Discover、Jcb 品牌信用卡的机构都需要实施PCI 安全认证。通过制定合规标准、处罚条例等方式促使PCI标准成为了企业必须准寻的一项强制规范。获得PCI审核证书保证着您的企业遵守必要的法律法规，保障了持卡者的数据信息安全。

4. PCI安全认证的审查标准是什么？

PCI安全标准委员会（PCI SSC）拟定了一个信用卡行业中各层次企业共同需求的框架，制定了一套得到了所有信用卡品牌的采用，国际标准化的数据安全评估程序标准。认证过程严格，必须每年通过自我安全检测和审查来保护持卡者数据信息不会遭受泄露。PCI 安全认证的主要六大防控方向如下：

• 构建并维护安全的网络
• 保护持卡人数据
• 维护漏洞管理程序
• 执行严格的访问控制措施
• 定期监控网络和测试网络
• 维护信息安全政策