PCI DSS新手入门指南

PCI DSS（支付卡行业数据安全标准）是全球跨境卖家处理信用卡支付时必须遵守的强制性安全框架，中国卖家入驻Amazon、Shopify、Walmart等主流平台前需完成合规验证。

什么是PCI DSS？

PCI DSS是由Visa、Mastercard、American Express、Discover和JCB五大国际卡组织联合成立的PCI Security Standards Council（PCI SSC）于2004年制定并持续更新的安全标准。其最新版本为PCI DSS v4.0（2022年3月发布，2024年3月起全面强制执行），覆盖12项核心要求，涵盖安全策略、漏洞管理、访问控制、监控审计等全链路环节。据PCI SSC《2023 Annual Report》，全球因PCI DSS不合规导致的数据泄露事件中，67%源于未加密存储持卡人数据（来源：PCI SSC Annual Report 2023, p.12）。

中国跨境卖家需关注的三大实操要点

第一，合规等级由年交易量决定。根据PCI SSC官方分类，中国卖家若通过独立站或平台API直连收单（如Stripe、PayPal Commerce Platform），年信用卡交易量达600万笔即属Level 1（需每年完成QSA现场评估+季度ASV扫描）；年交易量低于20,000笔则属Level 4（可自主完成SAQ问卷）。2023年深圳跨境协会抽样调研显示，83%的中小卖家适用SAQ-A或SAQ-A-EP（来源：《2023中国跨境电商合规白皮书》，深圳市跨境电子商务协会，p.45）。

第二，技术落地有明确基准线。例如：所有持卡人主账号（PAN）在存储、传输、处理环节必须符合AES-256或RSA-2048以上强度加密（PCI DSS v4.0 Requirement 4.1）；防火墙配置须遵循NIST SP 800-41 Rev.1推荐规则（Requirement 1.2）；日志留存周期不得少于90天且具备不可篡改性（Requirement 10.7）。权威工具如Qualys、Tenable已获PCI SSC认证为合格ASV服务商，其扫描报告可直接用于合规提交。

第三，平台托管≠责任豁免。即便使用Shopify Payments或Amazon Pay，卖家仍对自身系统（如ERP、CRM、客服工单系统）中可能接触PAN的环节负最终合规责任。2023年PCI SSC通报的21起中国卖家违规案例中，17起源于第三方插件（如优惠券工具、物流跟踪组件）未经PCI认证擅自采集CVV（来源：PCI SSC Enforcement Notification Q3 2023）。

常见问题解答（FAQ）

Q1：没有自建支付系统，是否还需做PCI DSS合规？
A1：是，只要业务涉及持卡人数据处理即需合规。①确认所用支付网关是否提供PCI DSS合规证明（如Stripe的Attestation of Compliance）；②核查自有系统是否意外留存PAN（如订单导出Excel含卡号）；③完成对应SAQ类型并签署年度合规声明。

Q2：SAQ-A与SAQ-A-EP的区别是什么？
A2：关键在前端责任边界。①SAQ-A适用于完全跳转至支付网关（如PayPal Standard）；②SAQ-A-EP适用于前端嵌入JS SDK但不触碰PAN（如Stripe Elements）；③需由QSA机构书面确认适用类型，不可自行判定。

Q3：如何低成本通过首次PCI DSS评估？
A3：聚焦高风险项优先整改。①禁用FTP/HTTP明文传输；②关闭服务器默认账户（如admin/root）；③启用双因素认证（2FA）登录后台及数据库；④使用PCI SSC认证的ASV完成首次漏洞扫描。

Q4：被平台要求提供AoC，但尚未完成评估怎么办？
A4：可申请临时合规路径。①向支付服务商索取其最新AoC副本（注明覆盖范围）；②签署自我声明（Self-Attestation）并附整改时间表；③在90天内完成SAQ填写及ASV扫描，提交平台备案。

Q5：员工培训是否属于PCI DSS强制要求？
A5：是，且须留痕。①每年至少开展1次持卡人数据安全培训；②保存签到记录、课件、考核结果（Requirement 12.6）；③新员工入职72小时内完成首训并归档。

合规不是成本，而是跨境经营的准入通行证。