第1部分第1部分（共4部分）：构建安全网络

1. 1确定你的商户级别。PCI DSS要求因您每年处理的Visa交易数量而异。根据商户在12个月内处理的Visa交易量，所有使用信用卡或借记卡接受客户直接付款的商户可分为四个商户级别之一。交易量是一个集合，因此，如果在同一个业务实体下有多个商店或地点在运营，则需要查看所有这些地点的总交易量。例如，如果你有一个实体店和一个网站，你需要知道该店和该网站在一年内的Visa交易总数。大多数小企业将进入商户级别4。这一级别包括在线处理不到20000笔Visa交易的商户，以及每年处理多达100万笔Visa交易的任何其他商户。4级商户通常可以免费获得PCI合规性，因为需要不太复杂的验证文件，商户可以填写自我评估问卷，而无需雇佣ControlScan等经批准的扫描供应商（ASV）。请记住，如果您直接通过网站接受信用卡付款，您仍然必须与ASV签订合同，进行季度漏洞扫描——因此，如果您希望在不产生任何额外费用的情况下保持PCI合规性，您必须避免直接在线接受信用卡付款。相反，你可能希望通过另一个网站（如eBay或Etsy）建立在线店面，该网站符合PCI标准，并将为你处理付款。

2. 2与符合PCI标准的承包商合作。如果您使用其他业务或服务，例如您的web托管服务，则应了解并实施符合PCI DSS的安全措施。您的网络主机应该了解PCI，并能够与您的企业合作以实现法规遵从性，尤其是如果您计划提供在线销售的产品。请记住，为了使您的企业保持PCI合规性，与您合作的每个供应商、合作伙伴或服务提供商如果暴露于持卡人数据，也必须符合PCI合规性。

3. 3加密所有计算机和服务器上的数据。如果您存储敏感的持卡人数据，即使是很短的一段时间，数据加密也有助于确保该数据的安全。如果可能的话，尽量避免将信用卡号和其他此类信息存储在企业的计算机或网络上。如果你这样做，你的整个物理系统也必须符合PCI合规标准，这可能需要花钱更新安全功能和安装额外的保护。如果您确实存储了持卡人数据，您通常需要对业务使用的所有计算机和服务器进行加密，包括备份驱动器和恢复文件。加密可以防止可能窃取您的计算机或入侵您的计算机的人在没有加密密钥的情况下访问存储在那里的数据。虽然加密程序可以很容易地在整个系统中安装和实施，但您将因该程序的用户许可证费用而产生额外的成本。

4. 4安装防病毒软件。使防病毒软件保持最新状态可保护您的网络和症状免受病毒和恶意软件的侵害。您的防病毒软件应设计为防止任何人下载或安装任何程序，除非他或她输入管理员密码。仅向重要员工提供管理员密码，并定期更改。您的防病毒软件还应该能够为您的计算机或网络上完成的所有进程生成审核日志。

5. 5使用防火墙保护您的网络。防火墙有助于防止黑客侵入您的网络并泄露持卡人数据。请记住，无线网络尤其容易受到黑客的攻击。您可能会发现使用有线网络更容易、更具成本效益，尤其是用于传输敏感的持卡人数据。

6. 6.使用强密码。任何供应商或默认密码都应立即更改为唯一密码。您的无线路由器也应受到密码保护，以防止恶意用户访问和破坏您的网络。请记住，密码越长，破解就越困难。不要使用明显与你有关的字典单词或短语，例如你的电子邮件地址、公司名称或计算机名称。有许多在线服务可以为您提供随机生成的十六进制密码，这可以提供一些最强大的密码保护。即使你使用这种服务获得了强大的密码，你仍然应该经常更改密码。千万不要把密码写在纸上，也不要把它们放在电脑附近任何人能看到或复制它们的地方。

第2部分第2部分（共4部分）：制定信息安全政策

1. 1指定一名合规经理。您的员工应包括一名负责维护和测试PCI合规性的人员。您的合规经理应定期审查PCI DSS法规，以保持对它们的熟悉，并监控PCI安全标准委员会提供的有关这些法规解释和实施的信息。您的合规经理可以从安全标准委员会的在线文档库下载最新的PCI DSS文档，网址为https://www.pcisecuritystandards.org/security_standards/documents.php.AlthoughPCI DSS适用于所有主要卡品牌，每个品牌的合规性要求可能略有不同。您的合规经理应该熟悉您接受的每种卡的具体标准。安全标准委员会提供的一般合规指南只是最低要求——每个卡提供商都可以要求额外的保护。因此，为了确保您完全符合PCI标准，您必须了解并熟悉您接受的所有卡品牌的标准。如果您的企业无法聘请专门负责此职位的人员，您仍然应该在员工中指定一位负责PCI合规性的经理。您还可以联系处理您的信用卡交易的银行——通常称为收单银行——并询问如何最好地遵守这些标准。这些银行中的许多都有免费向您提供的资源和专家建议。

2. 2只购买并使用经批准的PIN输入设备和支付软件。经批准和验证的设备和软件已达到PCI合规标准。安全标准委员会在其网站上有一份经批准的设备清单，网址为https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php.该列表按销售该设备的公司名称的字母顺序排列，还可以在多个不同的字段中搜索，包括产品名称和提供的功能。安全标准委员会的网站上也有经过验证的支付应用程序列表，网址为https://www.pcisecuritystandards.org/approved_companies_providers/vpa_agreement.php.此列表可按公司名称、应用程序名称或应用程序类型进行搜索。

3. 3定期更改员工密码。定期或在某些事件发生时更改员工密码有助于防止未经授权的方访问您的系统。禁止员工写下密码，或将密码放在电脑旁或其他人可以访问的任何地方。无论何时员工因任何原因离开公司，都要更改所有员工密码，并从系统中删除该员工的旧密码。允许不再受雇于您公司的人继续访问您的系统可能会导致严重的安全漏洞。个人员工密码的访问级别与其在企业中的角色相符，而不是拥有通用的管理帐户或为每个人提供管理访问权限。

4. 4对员工进行数据安全培训。处理敏感持卡人数据的所有员工都应了解如何最好地保护该信息的安全，以及在发生安全漏洞时应采取的措施。确保每个人都知道合规经理是谁，以及如果发现违规行为，如何联系合规经理。通常情况下，您的合规经理还将负责向其他员工传达您的数据安全策略和程序，并随时通知他们任何更改或更新。向员工强调保持持卡人数据安全的重要性，并制裁违反您的信息安全政策的员工。

5. 5物理保护所有纸质记录。您希望避免将包含持卡人数据（如完整信用卡号）的纸质记录保存在纸上。严格控制对任何包含持卡人数据的纸质记录的访问。绝不要写下客户的完整信用卡号，尤其是写上任何其他身份信息，如客户的姓名或信用卡的有效期。确保所有收据上都隐藏了客户的完整账号，包括客户副本。请记住，您可能需要安装一个物理安全系统，包括安全摄像头和门铃，这可能不包括在您的房产租赁中。您可以通过不在自己的系统中存储持卡人信息来避免这些额外成本。

6. 6制定事故响应计划。如果出现安全漏洞，所有经理都需要知道应该立即采取哪些措施来保护您的网络。请记住，大多数州都有法律要求在数据泄露时通知持卡人。您必须检查您的企业运营所在州的法律，以确定安全违规需要何种通知。您应该与合规经理合作，确保发现的任何漏洞或漏洞在首次检测到后尽快得到修补或补救。

7. 7根据需要更新您的政策，以应对新的法规。修订PCI DSS法规时，您需要确定必须对系统或程序进行哪些更改以保持法规遵从性。[[Image:Be-a-Business-Analyst-in-Top]-

管理-步骤-3-版本-2。jpg |中心]]

1. 1请记住，标准必须快速发展，以跟上技术进步的步伐。黑客在新的安全协议实施的那一刻就开始破坏它，所以你的政策必须保持灵活性，并适应快速变化的技术环境

第3部分第3部分，共4部分：测试和监控您的网络

1. 1每季度进行一次漏洞扫描。如果您直接通过互联网接受支付，则必须扫描公共网络上的安全漏洞。并非所有商户都需要提交季度扫描报告。如果你没有在线商店，或者你的在线支付流程完全外包，你不必完成这些扫描来保持PCI兼容。然而，如果你的支付流程只是部分外包，或者如果你直接通过公共在线网络接受支付，你必须完成季度扫描并提交报告。请记住，每季度进行一次扫描需要花钱。您必须与经批准的扫描供应商（如ControlScan）签订合同，以保持合规性。这些季度扫描通常每年花费几百美元。如果要求您每季度提交一次扫描，您的收单银行可能会推荐特定的提供商。如果你想的话，你可以去那家公司，但花时间四处逛逛，看看你是否能找到与另一家供应商更具成本效益的解决方案，可能是值得的。唯一的要求是供应商必须得到PCI委员会的批准。

2. 2定期检查密码输入设备和计算机。黑客可以在你的机器上安装“略读器”或类似设备，以便在员工或客户输入信用卡数据时捕获这些数据。设备可以放在机器的外面，除非你仔细观察机器，否则几乎无法检测到。还可以安装软件窃取敏感的持卡人数据。确保定期检查所有机器和系统，并且防病毒程序禁止安装没有管理员密码的程序或软件。

3. 3实施访客日志和自动审计跟踪。如果某项交易出现违约或问题，这些日志和跟踪将为您提供每次访问该交易的信息。[[形象：有效工作并保持-

自我——在多样性中——第三步。jpg |中心]]

1. 1日志应具有足够的详细信息，使您能够重新创建对任何持卡人数据的所有个人用户访问、任何使用管理员密码的人的操作、任何无效的访问尝试，以及对日志本身的任何访问。每个日志条目应包括用户标识、事件类型、事件日期和时间、访问尝试成功与否、访问尝试发生的位置以及涉及的数据。

第4部分第4部分，共4部分：维护适当的文档

1. 1提交季度扫描报告。如果你需要每季度完成漏洞扫描，你必须将扫描报告发送给你的收单银行和所有与你有业务往来的信用卡品牌。报告提供的证据表明，您通过了由经批准的扫描供应商进行的漏洞扫描。每90天或至少每季度一次，您必须向收单银行提交一份成功的扫描报告。通常，银行会设定时间表，规定你的报告的到期时间。

2. 2每年完成自我评估问卷（SAQ）。在大多数情况下，小企业有资格完成SAQ，而不是支付更复杂的验证费用。SAQ是为小型企业设计的，在大多数情况下，您可以自己填写，或在合规经理的帮助下填写，而无需承担任何额外成本。您每年必须填写的特定SAQ将取决于您使用的处理方法，以及您是自行处理付款还是将付款处理外包给经PCI验证的第三方。您的评估报告应发送给您的收单银行，以及您在业务中接受的每个卡品牌。

3. 3维护所有加密密钥和审计跟踪历史记录的文档。您需要记录并保存访问加密数据所需的所有加密密钥，以防系统发生故障，需要恢复数据。如果驱动器和网络上有数据加密，则必须维护密钥的适当文档，以便恢复文件可以不加密。与所有其他数据一样，此文档也应得到保护。如果您将这些信息保存在物理文件中，则应将其置于锁定状态，并严格限制和监控访问。但是，与此同时，您必须确保关键人员（如您的合规经理）可以在必要时访问这些信息。访客日志应至少保存三个月，审计跟踪记录应至少保存一年。