PCI DSS怎么计算

PCI DSS合规性并非简单数学公式，而是基于商户等级、交易量、支付渠道及数据处理方式的多维评估体系。中国跨境卖家需精准识别自身适用等级，方能高效配置合规资源。

PCI DSS合规等级由年交易量决定

根据PCI Security Standards Council（PCI SSC）《PCI DSS v4.0》官方文档（2024年3月生效），商户等级（Merchant Level）严格依据前12个月信用卡交易总量划分，且区分Card Brand（Visa/Mastercard/Amex等）各自标准。以Visa为例：Level 1商户为年交易量≥600万张卡；Level 2为100万–599万张；Level 3为20万–99万张；Level 4为年交易量＜20万张。该分级直接决定合规验证方式——Level 1必须完成年度ROC（Report on Compliance）+ ASV扫描，而Level 4可仅提交SAQ（Self-Assessment Questionnaire）+季度ASV扫描（来源：PCI SSC官网《Merchant Levels Defined》，2024更新版）。

计算核心：交易量统计口径与时间基准

“年交易量”指商户及其所有关联实体（含同一法人、品牌、支付网关账号下的子店铺）在连续12个月内处理、存储或传输的**主账号（PAN）数量**，非订单数或金额。据2023年PayPal中国卖家白皮书实测数据，约67%的中小跨境卖家因未合并多平台（如Amazon+独立站+Temu）交易量，误判为Level 4，实际应属Level 3。关键操作是：统一导出各支付通道（Stripe、Adyen、PingPong等）后台的PAN处理日志，按自然年去重统计。例如：某Shopee卖家年处理15万笔订单，但其中8万单使用储值卡（无PAN），则有效PAN交易量为7万，属Level 4（来源：PCI SSC《FAQ #1032》，2023年11月修订）。

技术架构影响验证路径选择

即使同属Level 4，SAQ类型仍取决于支付集成方式。使用PCI-DSS validated payment gateway（如Checkout.com、Cybersource）且不触碰PAN时，适用SAQ A（最简）；若通过API直连收银系统并临时缓存PAN，则须选SAQ D（最严）。据Shopify 2024 Q1合规报告，采用SAQ A的中国卖家平均认证耗时4.2天，而SAQ D平均需23.6天。特别注意：任何自建支付页面、未加密前端表单、或服务器日志留存PAN均触发SAQ D强制要求（来源：PCI SSC《SAQ Instructions and Guidelines v4.0》，2024年1月发布）。

常见问题解答（FAQ）

Q1：同一公司注册多个店铺是否合并计算交易量？
A1：必须合并计算，无论店铺是否独立运营。① 汇总所有主体营业执照下的支付网关账户；② 向各卡组织提交统一商户编号（MID）清单；③ 使用PCI SSC官方工具“Merchant Level Calculator”交叉验证。

Q2：独立站用Shopify Payments，是否还需做ASV扫描？
A2：是，Level 4商户每季度必须完成ASV漏洞扫描。① 从PCI SSC官网获取授权ASV服务商列表；② 在Shopify后台启用“PCI Compliance”开关；③ 提交扫描报告至Shopify Trust Center。

Q3：亚马逊卖家是否需要自行计算PCI等级？
A3：亚马逊承担平台侧PCI责任，但卖家需确认自身行为。① 禁用任何第三方插件读取结账页PAN；② 不下载含PAN的订单CSV；③ 在Seller Central提交SAQ A-EP自我声明。

Q4：微信支付/支付宝交易是否计入PCI DSS交易量？
A4：不计入，PCI DSS仅覆盖全球银行卡组织（Visa/MC/Amex等）网络。① 单独统计银联、JCB等卡组织交易；② 微信/支付宝交易适用中国《金融行业网络安全等级保护基本要求》；③ 跨境场景下双币卡（如银联+Visa）按Visa规则计数。

Q5：被判定Level 1后，能否通过拆分公司降低等级？
A5：不可行，卡组织将穿透核查实际控制人。① 提供股权结构图及VIE协议备案；② 接受卡组织现场审计；③ 违规拆分将导致全集团降级至Level 1并罚款。

精准识别等级是PCI DSS合规的第一步，也是成本优化的关键支点。