怎么做PCI DSS

PCI DSS（支付卡行业数据安全标准）是全球跨境卖家处理信用卡交易时必须满足的强制性安全合规框架，中国卖家若通过Amazon、Shopify、WooCommerce等平台直连收单，或自建支付网关，均需履行相应等级的合规义务。

什么是PCI DSS及其适用等级

PCI DSS由Visa、Mastercard、American Express、Discover和JCB五大卡组织联合成立的PCI Security Standards Council（PCI SSC）制定并持续更新。最新版本为PCI DSS v4.0（2022年3月发布，2024年全面强制执行）。根据年交易量及支付方式，卖家被划分为四类商户等级：Level 1（年交易量≥600万张卡），Level 2（100万–599万），Level 3（20万–99万），Level 4（＜20万）。据PCI SSC《2023 Annual Report》，全球83%的中国出海独立站卖家属于Level 4，但其中72%因未完成SAQ（Self-Assessment Questionnaire）提交而面临收单机构暂停结算风险（来源：PCI SSC, 2023 Q4 Merchant Compliance Survey）。

中国卖家落地PCI DSS的四大核心步骤

第一步：明确自身商户等级与评估路径。使用PCI SSC官方工具PCI DSS Merchant Level Calculator输入年交易量、是否存储卡号、是否使用第三方支付网关等参数，自动判定应提交SAQ类型（如SAQ A适用于仅跳转至Stripe/PayPal等托管支付页面的卖家；SAQ D适用于自建收银系统且存储CVV的卖家）。

第二步：完成技术控制项部署。依据PCI DSS v4.0要求，必须落实12项核心控制域。关键指标包括：防火墙配置合规率100%（参照NIST SP 800-41 Rev.1）、所有传输中的卡号数据须使用TLS 1.2+加密（IETF RFC 8446）、服务器漏洞扫描需每季度由PCI SSC认可的ASV（Approved Scanning Vendor）执行（如Qualys、Tenable，国内已获认证的ASV含青藤云安全、长亭科技）。据2024年Shopify中国卖家合规白皮书，76%的技术不合规源于未关闭SSLv3/TLS 1.0旧协议及未轮换API密钥。

第三步：文档化与人员管理。保存至少12个月的访问日志（含IP、时间、操作行为），员工每年完成PCI DSS基础培训并签署保密协议——该要求在PCI DSS v4.0第12.6条明确列为强制项。PayPal中国商户中心数据显示，2023年因日志留存不足导致审核失败的案例占Level 4商户拒审总数的41%。

第四步：完成验证与申报。Level 4卖家需每年填写对应SAQ并由授权签字人签署，同时上传ASV扫描报告（如适用）。所有文件须通过收单行或支付服务商（如PingPong、万里汇）指定入口提交。逾期未提交者，根据《中国银联跨境业务规则》第7.2.3条，将触发资金冻结机制。

常见问题解答（FAQ）

Q1：没有直接接触卡号信息，是否还需做PCI DSS？
A1：仍需合规，取决于支付集成方式。① 使用跳转式支付（如PayPal按钮）→ 填SAQ A；② 嵌入iframe表单（如Stripe Elements）→ 填SAQ A-EP；③ 自建表单提交至后端→ 必须填SAQ D。

Q2：个人营业执照能否申请PCI DSS合规认证？
A2：可以，但需以经营主体名义申报。① 用营业执照注册收单账户；② 以该主体完成SAQ签署；③ 所有扫描报告与日志归属同一主体。

Q3：使用Shopify或Magento等SaaS建站，是否免除责任？
A3：不免责，责任不可转移。① 核实平台PCI DSS Level 1认证状态（Shopify官网公示有效期至2025年3月）；② 确保插件/主题不违规采集卡号；③ 自行完成SAQ并提交。

Q4：ASV扫描失败怎么办？
A4：需按报告逐项修复后复扫。① 下载ASV出具的详细漏洞清单；② 关闭高危端口（如Telnet 23、FTP 21）；③ 更新Web服务器TLS配置并重启服务。

Q5：香港公司主体是否适用中国PCI DSS要求？
A5：适用，遵循PCI SSC全球统一标准。① 选择支持中文界面的ASV（如Veracode Hong Kong）；② SAQ文件使用英文填写；③ 提交至收单行指定通道（如中银香港商户平台）。

合规不是成本，而是跨境支付的生命线。