商人们是……那些从信用卡公司那里收到付款的企业这些机构都属于PCI安全标准委员会（PCI SSC）的成员。该委员会的成员包括Mastercard、Discovery、American Express、JCB International以及VISA等知名企业。因此，如果你接受在线支付业务，那么你几乎肯定属于 Merchant 类别中的一员。根据年交易额的不同，商户可以分为四个不同的PCI合规等级。

PCI Level 1——那些年交易量超过600万笔的超级大商家们。
PCI Level 2——那些年处理交易数量在100万到600万之间的大型商家。
PCI Level 3——那些年营业额在2万到100万笔交易之间的中型商家。
PCI Level 4——年处理交易额低于20,000笔的小型商家

服务提供商

服务提供商们那些负责处理持卡人数据的机构，但在客户交易过程中并不直接接收信用卡相关数据。

这一类别包括那些负责存储、传输和处理持卡人数据的组织例如，这可能包括聘请专业机构来对公司财务状况进行分析。此外，这些服务提供商还可以为商家提供所需的基础设施，或者负责管理诸如防火墙之类的安全服务。总的来说，PCI合规性分为两个级别：

一级：那些每年处理超过300,000笔卡片交易的大型服务提供商。
二级：那些每年处理交易数量不超过30万的小型到中型服务提供商。

商家适用的4个PCI DSS等级标准

PCI Level 1

PCI Level 1涵盖了所有从事数据处理业务的公司。超过600万每年都有大量的信用卡交易发生。

这一级别几乎涵盖了所有主要的国际零售商。一级分类则包含了与该级别相关的特定关税。

第三方审计被归类为一级的企业必须聘请外部审计师。采用经过PCI认证的技术/方法具备资质的安全评估师(QSA)。PCI审计将审查该组织的物理访问政策以及数字数据的安全控制措施。他们将确定该组织是否遵守了相关法规。
关于PCI合规性的报告在审计流程结束后，各公司会获得一份报告。合规报告ROC指出了可以改进的领域，以及实现完全符合PCI-DSS要求的途径。
合规证明（AOC）一级组织必须完成AOC的填写，并将其提交给PCI-DSS SSC。关于合规性的确认/证明。描述了该组织的合规策略。它补充了ROC的功能，并且能够更详细地解释那些特定的安全问题。
定期的网络扫描一级组织必须每季度进行一次网络扫描。每次网络扫描都应由第三方来执行。已批准的扫描供应商ASVs会指出系统中的漏洞。客户应依据这些建议采取行动，并修复网络扫描过程中发现的任何问题。年度渗透测试也值得推荐。

PCI Level 2

二级组织负责处理相关事务。在100万到600万之间每年，持卡人都会进行各种交易。

对于二级商户来说，其安全需求通常比一级商户要简单一些。不过，二级商户仍然需要采取一定的措施来确保符合PCI安全标准。

自我评估问卷通常，外部审计并不是必需的。但是，二级认证的公司必须向PCI-DSS安全委员会提交一份书面自我评估问卷。这些问卷可以在PCI SSC的网站上找到，其内容会根据相关组织的合规要求而有所不同。
特定情境下的审计在某些情况下，二级商家可能需要进行外部审计。这种情况适用于那些在去年遭遇过数据泄露或其他网络攻击的组织。
关于PCI合规性的报告二级公司必须提交一份ROC合规表格。不过，这份表格可以由公司内部人员自行填写。通常不需要外部人员的协助。
符合 PCI-DSS 标准的控制措施每个二级商家都必须证明自己符合PCI-DSS的要求。他们必须定期由认可的供应商进行渗透测试和网络测试。此外，他们的风险评估机制还必须包含有强有力的数据安全措施的证明。

PCI Level 3

属于 PCI-DSS 第 3 级标准的商家，能够妥善处理相关事务。在20,000到100万之间每年都有大量的交易发生。

这一级别的要求与二级要求类似。实际上，JCB International并不认可三级标准。它认为，所有处理超过20,000笔交易的公司都属于二级组织。否则，三级商户就必须遵守相应的要求。

自我评估问卷第3级的企业必须提交SAQ报告，以证明其完全符合相关的PCI-DSS标准。
符合 PCI-DSS 要求的控制措施与测试流程企业必须聘请经过批准的供应商来执行季度网络扫描工作。同时，他们还必须采取措施来修复由ASV发现的任何安全漏洞。渗透测试是一种良好的安全实践，但对于三级商家来说，这并不是必须的。

PCI Level 4

符合 PCI-DSS 第 4 级标准的商家，指的是那些规模较小的、负责处理支付事务的机构。不到20,000每年都会发生大量的交易。重要的是，VISA将那些处理最多100万笔交易的商家归类为第4级商家。

四级商户无需进行外部审计或渗透测试。他们也不需要提交ROC报告。四级商户的责任相对简单，主要包括以下内容：

季度网络扫描四级商家的员工必须聘请一名ASV，该人员每年需要对他们的网络进行四次扫描。
自我评估问卷对于所有四级组织来说，自我评估合规表是必须填写的表格。
合规证明该机构向PCI-DSS委员会提供了有关该商户的合规策略以及数据泄露历史记录的信息（如果有的话）。

针对服务提供商而言，PCI DSS分为两个级别。

虽然商人们可以分为四个等级，对于服务提供商来说，只有两个PCI级别。而了解它们之间的差异，也是确保符合PCI安全规范的重要部分。

否则，大多数服务提供商都会属于以下所述的PCI级别之一。

一级服务提供商

一级服务提供商负责处理相关事务。超过30万信用卡交易每年都会发生。

这一类别也适用于所有处理超过250万笔美国运通交易的服务提供商。

一级服务提供商的要求包括：

外部审计提供商必须聘请具备相关资质的安全评估师，以进行年度数据安全审计。审计结果必须以《合规报告》的形式呈现出来。
网络扫描一级公司必须雇佣网络管理员来执行季度网络扫描工作。
渗透测试每年都需要进行渗透测试。这是必须的。
PCI合规性的证明/确认所有一级组织都必须完成年度AOC的提交工作，并将该文件提交给PCI SSC。

二级服务提供商

二级服务提供商负责处理相关事务。少于30万每年都会发生信用卡交易行为（适用于Visa、Mastercard以及Discovery卡）。

这一类别也适用于那些处理的美国运通卡持卡人数据交易量低于250万次的公司。

二级服务提供商的职责包括：

自我评估问卷每位内部安全评估员每年都必须填写一份自我评估问卷。不需要外部人员的协助。
网络测试ASV必须每年对网络进行四次扫描。这包括对本地网络的漏洞进行扫描。此外，每年还需要进行渗透测试。
合规证明二级服务提供商必须同时完成ROC和AOC的认证。这样，监管机构就能获得关于该组织数据安全状况的详细信息。

不过，也有一些重要的例外情况。终端服务始终被归类为二级级别。如果愿意的话，二级级别的签证处理机构也可以将其PCI合规等级提升为一级。这样，该机构就可以在Visa的PCI-DSS合规服务提供商注册表中获得相应的资格。

实际上，许多二级服务提供商选择采用一级级别的控制措施。这是因为，主要的商业合作伙伴通常要求更严格的安全保障措施以及相应的认证流程。

如何确定一个组织的PCI等级呢？

实现 PCI 合规所需的成本与复杂性在不同层面上有差异。

较小的组织可能会浪费宝贵的资源在那些并不需要的审计工作上。而规模较大的组织则面临不同的问题。它们可能需要重新评估自己的合规状况，并相应地调整其PCI等级。

因此，了解如何确定合适的合规等级是非常重要的。

首先，商家必须……了解交易水平他们所使用的每一家信用卡公司都需遵守相应的要求。这一点非常重要，因为PCI-DSS的合规要求在不同合作伙伴之间可能会有一些差异。
接下来，确定您的年度交易额。与相关的信用提供方合作。商家通常可以通过与银行沟通来获取所需的信息。银行会提供过去52周内的持卡人数据信息。
请选择合规程度最高的服务提供商。可以将其作为参考点。例如，如果您的公司被归类为二级签证处理机构，但实际上又属于一级Amex处理机构，那么就应该采用一级的合规措施。
请检查相关合规要求。或者，就是那个特定的级别。您可能需要联系您的支付合作伙伴，以了解具体的规则。现在，请遵循PCI的安全指南，并选择经过PCI认证的供应商来执行必要的审计工作。

了解自己的PCI-DSS达标等级有很多好处。这可以帮助您调整安全措施，以符合PCI标准。良好的合规性有助于降低数据泄露的风险，同时也能让客户更加放心。此外，这种方式还使得商家和服务提供商能够安全地进行业务运营，同时与商业合作伙伴的合作也变得更加容易。

马上抢免费试听资格

上一篇： PCI DSS对密码的要求是什么？

下一篇： PCI DSS要求

意向课程：		*必选
姓名：		*必填
联系方式：		*必填请填写正确手机号
QQ：