第1部分第1部分（共3部分）：回顾pci dss基础知识

1. 1确认您的商户级别。第一步是与处理你的信用卡交易的银行或清算所讨论并核实你的商户级别。根据12个月内的VISA卡交易情况，商户分为四类。您的商户级别将决定您的PCI合规计划必须有多严格。一级商户每年处理超过600万笔VISA交易，或被VISA公司指定为一级商户。二级商户每年接受100万至600万次VISA交易。这包括面对面和在线。三级商户每年将处理2万至100万笔VISA交易。四级商户被认为是小商户，每年收取的签证付款不到20000笔。PCI DSS要求也适用于接受其他信用卡的企业，如美国运通、万事达卡和Discover。VISA卡被用作确定商户级别的基准。

2. 2了解PCI DSS违规的处罚。不符合PCI DSS的企业可能会受到罚款、制裁，并失去处理信用卡支付的清算所的特权。如果PCI故障导致数据实际丢失，该业务可能会面临罚款、更高的费用，以及银行和信用卡处理商的其他制裁。不符合PCI标准的企业可能会因未能保护客户数据而受到诉讼和政府起诉。

3. 3熟悉最佳安全实践。2009年9月实施的第一个PCI DSS标准（DSS v 1.2）引入了商户应检查的12项要求，以符合PCI标准。根据您的商户级别，实施标准所需的技术、培训和专业知识的数量将有所不同。例如，处理200万笔交易的网络将比处理2000笔交易的网络更加复杂。PCI 3.1于2015年6月生效，涉及新的技术标准，并解决常见加密程序中的漏洞。PCI合规性最佳实践可分为五大类：安全网络、数据保护、漏洞管理、访问控制、监控和安全策略。PCI委员会有一份自我评估问卷，帮助小企业确定是否符合安全标准。

第2部分第2部分，共3部分：实施pci合规计划

1. 1建立并维护一个安全的网络。对于企业而言，这意味着与值得信赖的承包商建立关系。除非您是IT专业人士，否则如果网络将存储客户数据，则不应安装自己的网络。如果安装和更新不当，即使是开箱即用的系统也可能存在漏洞。让你的防火墙保持最新和可操作。不要让员工出于任何目的禁用防火墙。立即更改供应商提供的密码。此外，为员工实施密码程序。应按照供应商说明定期更改密码。例如，密码应该是非字典单词的字母数字字符组合。如果您的供应商在您的系统上工作，当系统重新联机时，您应该更改所有密码。

2. 2保护持卡人信息。如果您手动处理信用卡，则单据和收据应保存在锁定的文件中，且访问权限有限。如果持卡人信息存储在您的网络中，则应在公司防火墙后对其进行加密和保护

3. 3创建漏洞管理程序。您的系统应使用适当的防病毒软件进行保护。你还应该有一个公司程序，禁止添加可能危害系统的软件，如游戏。

4. 4实施访问控制。应该限制对系统的密码访问。每个员工应该只拥有完成工作所需的权限。说明这可以保护您的员工和客户。如果存在数据泄露，受限访问将缩小可能性并有助于调查。对于您的网络，为每个用户和每个终端提供一个唯一的ID号。如果确认或怀疑存在违规行为，您的IT专业人员将能够快速确定进入点。保护包含客户和持卡人数据的物理记录。使用卡钥匙系统或物理锁和钥匙。

第3部分第3部分，共3部分：测试和维护pci合规性

1. 1监控并测试您的网络。您的安全计划必须包括定期扫描和测试，以跟踪和监控通过网络的客户数据流。您的IT专业人员或供应商可以在系统低使用率（例如，周末深夜）和系统使用时实时实施测试。记录测试结果。与你的银行和保险公司讨论保持测试记录的时间。

2. 2制定信息安全政策。PCI合规计划中的所有步骤都必须记录在安全策略中。本文档应详细说明贵公司为保护客户数据而采取的所有步骤。对于1至3级商户，该程序可以运行多个卷，并集成员工手册。1至3级商户可能会与安全专业人员签订合同，或者有专门的员工接受信息安全政策编写和维护方面的复杂培训。4级商户应联系信用卡清算所，寻求有关创建安全策略的建议和帮助。如果处理者没有提供程序模板，那么您应该考虑与安全专业人员签订合同来创建文档。除非您是IT专业人士，否则您不太可能充分了解系统的技术细节，从而创建符合PCI的安全策略。创建后，只需在网络扩展或更新时对其进行更新。您的IT承包商可以向您提供使您的安全策略保持最新所需的文件。你的大部分安全程序都是技术性的，比如防火墙和安全软件的选择，以及测试协议。但是，您还应该包括有关员工离开公司和密码被撤销的流程的部分。制定一个跟踪钥匙和钥匙卡的流程。主密钥应该像高级密码一样受到严格监管。

3. 3评估、补救和报告PCI合规性。一旦PCI最佳实践的12个部分得到实施，您应该定期运行PCI理事会三步审查流程，以确保遵守。清点您的IT系统和业务流程。如果有任何变化，请更新您的安全程序和漏洞管理计划。如果你发现你的系统中有一个弱点，就纠正这个问题。这可能需要新设备或软件、用户培训或更新网络。IT专业人士应该实施这些变化。记录您的行为，并向您的银行和信用卡公司提交合规工作报告。您的报告、工作和见解可能会帮助其他公司保护客户数据。