超级会员免费看
云服务安全合规与架构解析
支付卡行业合规问题
在云环境中,支付卡行业数据安全标准(PCI DSS)是常见的合规要求。PCI DSS旨在为组织内支付卡账户数据的安全设定最低安全控制基线,包含12项高级要求和更多低级要求,且该标准会由PCI DSS委员会定期更新。
不同支付卡发卡机构(如Visa、MasterCard和American Express)对商户进行分层,通常按每年支付卡交易数量划分。不同层级商户面临不同的审计和报告要求,Level 1通常是最高层级,需满足最严格的要求。例如,Visa和MasterCard将年交易超过600万笔的商户归为Level 1,American Express标准为250万笔,JCB则为100万笔。此外,American Express只有3个商户层级,而Visa和MasterCard有4个层级。
PCI DSS的部分要求在云部署中可能引发问题,如定期漏洞评估和对托管环境进行物理审计的要求。违规处罚包括巨额罚款(如每次事件50万美元),甚至可能被取消处理受影响发卡机构发行卡片的资格。
一些云服务提供商声称符合PCI DSS,使用这些服务的消费者可对其合规性有一定信心。但消费者需全面了解提供商的合规范围,以实现符合要求的解决方案。PCI安全标准委员会发布了关于PCI合规云方面的有用指南,可在 此处 查看。
组织还可考虑使用第三方支付提供商等替代方案存储支付卡信息,这样可减轻自身的PCI DSS负担,因为组织无需接触PC
订阅专栏 解锁全文
扫一扫
1521
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
