关于 PCI-DSS 的罚款以及违规行为的相关说明

目前，市场主要由数字交易所主导，因此，信用卡的安全性对于在线卖家来说至关重要。这也意味着……各公司必须了解PCI-DSS安全标准。. 这些规则适用于所有在线处理持卡人数据的企业。 而违反PCI规范的行为所带来的惩罚则相当严重。 多年来，PCI DSS相关的罚款金额差异很大，这主要取决于企业违反规定的程度。 例如，英国航空公司曾在2017年因一次涉及50万客户的违规行为而被处以2.29亿美元的罚款。 在2013年发生数据泄露事件后，有超过4100万客户的支付信息被泄露。之后，Target同意以1850万美元的赔偿金额来解决问题。 TJX公司因在2005年至2006年期间泄露了超过9400万个客户信息，而被处以4090万美元的罚款。 小型企业可能会面临PCI DSS规定的罚款，罚款金额从每月5,000美元到100,000美元不等。而大规模的数据泄露事件则可能导致数百万美元的罚款。

这篇文章将探讨以下内容：PCI-DSS规定被违反的方式是什么？我们将学习以下内容：

• 什么行为属于违反PCI-DSS的行为呢？
• 最常见的违规行为类型
• 如何实施PCI合规性？
• 避免支付PCI罚款的方法

什么行为可以被视为违反PCI-DSS的规定呢？

简单来说，违反PCI-DSS的行为就是……任何违反PCI-DSS规定的行为或未能遵守该规定的行为。

PCI-DSS是一种安全框架，它为处理持卡人数据的组织提供了安全操作规范。该法规由PCI安全委员会负责监督。对于违反这些规定的机构，其成员以及收购银行将面临严重的财务处罚。

违规行为有多种形式。企业可能会以不安全的格式存储信用卡数据，或者在没有进行加密处理的情况下传输持卡人的信息。因此，受监管的机构需要了解最常见的违规行为。

最常见的PCI违规行为有哪些呢？

大多数违反PCI规定的行为并非出于故意，比如欺诈或数据窃取等行为。往往属于疏忽行为的例子。这些公司可能甚至没有意识到，他们的数据保护系统并不符合PCI-DSS的要求。不过，这种情况并不会改变PCI相关处罚程序的结果。

在某些情况下，企业可能采用不充分或过时的安全控制措施。随着时间推移，企业的安全防护措施可能会逐渐失效。此外，企业还可能因为需要应对新的安全威胁而不得不修改现有的PCI政策，从而带来新的安全漏洞。

1. 网络扫描政策过于宽松

PCI-DSS要求遵守该标准的组织每年进行审计，并每季度对网络进行扫描。这一要求旨在及时发现安全问题以及应对出现的威胁。许多组织都忽视了自身的审计职责。

公司可以未能进行网络扫描，或者选择了不符合要求的扫描方式。根据PCI-DSS的要求，企业必须每年使用一家经过批准的扫描供应商来进行数据扫描操作。不过，由于时间和成本方面的限制，许多企业会选择减少对这类服务的依赖。

在PCI-DSS框架下企业还必须进行内部和外部的扫描工作。各组织可以检查其内部系统是否存在未打补丁的软件或加密问题。不过，他们可能无法对网络边界进行渗透测试。

2. 质量较差的审计流程

审计是PCI-DSS法规中的关键组成部分。各组织必须监控用户的活动，并记录网络上的各种事件。此外，他们还必须安全存储审计数据，并采取措施防止数据被篡改。同时，这些审计数据应能够被用于评估过程中。

不幸的是，文档的维护质量并不总是达到要求的水平。文档中可能不会记录用户访问请求的时间戳。此外，文档中也可能不会记录任何管理上的变更，或者网络扫描的结果。

此外，企业也可能违反PCI-DSS的要求。未能满足报告要求PCI规则要求各组织必须提交年度审计报告——这些报告可以以自我评估问卷的形式，也可以以全面的公司审计结果的形式呈现。此外，这些规则还要求组织及时报告与数据泄露或其他安全事件相关的信息。

质量低下的审计行为属于严重的PCI违规行为。如果没有适当的记录管理和数据存储机制，企业就无法证明自己已经遵守了相关法规。此外，这样的审计方式还可能无法发现安全漏洞，从而导致一系列的PCI违规行为。

3. 不安全的数据存储系统

PCI-DSS合规性要求持卡人的数据必须被加密处理，从而确保数据不会受到外部攻击者的侵害。这适用于存储在公司服务器或云存储系统中的静态数据。同样，这也适用于正在传输中的持卡人数据。例如，在信用卡交易过程中，数据会从销售点传输到中央客户数据库中。

违规行为往往发生在以下情况下：一些公司未能确保数据的安全存储。企业应当始终使用强大的256位加密技术来存储持卡人的数据。同时，他们还必须确保加密密钥得到安全存储。信用卡公司不会等到发生大规模的数据泄露事件才采取行动。任何由于加密措施不当而导致的数据泄露行为都属于违规行为。

公司也可能如此。存储了过多的数据，且无法及时删除这些数据。例如，各机构不应存储信用卡上的CVV码、PAN码或磁条数据。将这些敏感数据保存在卡片授权之后的阶段，属于严重的违规行为。

4. 访问控制措施不足

符合 PCI 标准的公司应该能够完全控制谁可以访问持卡人数据环境。用户只有在有业务需求的情况下，才应被允许访问信用卡信息。并且必须拥有正确的身份证明。否则，系统应该拒绝访问。不过，实际情况并不总是如此。

公司通常会采用这种方式来运作。弱访问控制机制，导致用户能够拥有过多的卡片数据访问权限。管理员可能会暂时提升用户的权限，但却忘记恢复原来的权限设置。此外，用户也可以共享登录凭据，从而获得他们本不应有权访问的资源。

薄弱的访问控制措施也会带来安全漏洞的风险。黑客可以利用那些没有受到保护的客户数据进行攻击，除非有防火墙工具和访问管理系统来阻止他们。因此，必须始终限制对数据的访问。

5. 不安全的数据存储与处理方式

出于商业考虑，企业需要存储持卡人的数据。但是……根据PCI-DSS的规定，当数据不再需要使用时，必须将其删除。而且，各组织必须……确保客户数据的安全处理。同时，也不会让数据被窃贼获取。

当企业长期保留数据时（通常超过一年），就会发生数据泄露的情况。此外，企业也可能未能从客户数据库中彻底删除所有个人信息，或者忽视了销毁存储着客户数据的物理设备。因此，安全团队应妥善处理纸质记录，同时确保在不再需要这些设备时，能够安全地销毁其中存储着客户数据的物理设备。

PCI-DSS规定的罚款以及违反该规定所带来的后果是什么？

需要注意的是，不同支付处理机构所收取的PCI罚款金额是不同的。由于PCI安全标准的架构允许支付处理机构和银行自行决定罚款的幅度，因此影响PCI合规罚款金额的因素有很多。

• 不遵守规定的历史记录。那些屡犯者很可能会受到更严厉的惩罚。不过，初次违法的人或许会有更好的运气。
• 不遵守规定的程度一个被泄露的客户信息记录属于违规行为，但这种行为并不像在数据泄露事件中丢失数百万张信用卡号码那样严重。罚款的幅度则反映了这种行为的严重程度。
• 不遵守规定的持续时间即使没有记录被窃取，但如果数据被暴露数月之久，那么所面临的处罚也会比短期暴露时更严重。
• 缓解措施/努力。采取补救措施有时可以减轻罚款的额度。如果企业能够提供证明自己已经改正了违规行为的相关证据，那么信用处理机构可能会降低其处罚的严重程度。

• 在不符合要求的情况下，需要等待1到3个月。对于规模较小的PCI组织，每月的罚款为5,000美元。而对于那些交易量较大的商家来说，每月的罚款则高达10,000美元。
• 在不符合规定的情况下，需要等待4到6个月的时间。对于规模较小的PCI组织，每月的罚款为25,000美元。而对于那些交易量较大的商家来说，每月的罚款则高达50,000美元。
• 7个月及以上时间处于不合规状态对于规模较小的PCI组织，每月的罚款为50,000美元。而对于那些交易量较大的商家来说，每月的罚款则高达100,000美元。
  
  

即使没有违反规定的证据，也有可能面临罚款。如果发生数据泄露的情况，商家通常会受到相应的处罚。在数据泄露事件中，信用卡处理机构通常会对每一条被暴露的客户信息记录处以50到90美元的罚款。此外，这些公司还可能被银行或信用卡处理机构暂时或永久性地排除在外。

是谁负责执行PCI-DSS的罚款措施呢？

PCI合规性相关的罚款并非由PCI组织本身来执行的。相反，这些罚款是由其他机构来实施的。执行工作则由各个PCI成员自行负责。这包括了世界上所有主要的信用卡公司，比如Visa、Mastercard、American Express、Discover以及JCB。这些公司在确保金融服务的网络安全方面发挥着至关重要的作用，它们有助于维护整个行业的信任与数据安全。

PCI相关的处罚措施与中介机构合作实施这种关系存在于商人与其支付处理商之间。实际上，这通常涉及到……接收银行收购银行有责任确保其客户符合PCI标准。

商家的信用卡公司负责处理与违规行为相关的决策以及相应的处罚措施。例如，Visa可能会认为某个卖家没有为支付卡提供足够的加密保护。在这种情况下，Visa会依法对该商家的银行进行处罚。不过，这笔罚款最终还是会由该商家来承担。

企业该如何避免面临PCI违规的处罚呢？

应尽可能避免实施PCI相关的处罚措施。因为违规行为带来的后果远远超出了经济上的惩罚。不遵守规定的企业会遭受声誉损失，同时也会失去客户的信任。这些企业可能被迫更换银行或信贷处理机构。此外，它们还面临着更高的网络攻击和数据泄露的风险。因此，采取必要的措施至关重要。

企业可以参考我们的PCI-DSS检查清单，以确保其系统符合PCI的安全要求。不过，这些实用建议也有助于降低违规风险，从而确保信用卡处理的顺利进行。

请注意PCI相关的要求。

请研究PCI-DSS的相关法规，确保自己了解这些法规对您的公司有何要求。定期进行评估，以了解是否有新的PCI-DSS更新内容。随着法规的更新，新的要求也会不断出现，这些新要求可能会影响到您的业务。

将PCI要求与安全措施相结合

应制定符合PCI-DSS规定的政策。同时，还需要配备防火墙、加密技术、访问管理工具、远程访问解决方案以及威胁扫描系统。所有与PCI-DSS相关的要求都应得到相关安全解决方案的满足。

将审计作为您安全策略的核心组成部分。

糟糕的审计流程是导致PCI违规的常见原因。应定期由ASV进行季度网络扫描，同时至少每年进行一次渗透测试。还应定期进行PCI审计，以发现并弥补任何安全漏洞。

保护持卡人的数据安全

数据安全是满足PCI合规要求的关键环节。请对您的CDE进行映射，并对所有客户数据实施加密处理。请注意，无论是在本地服务器还是云服务器上，都要对静态数据进行加密处理。同时，也要对传输中的数据实施加密措施。确保您拥有完善的事件响应机制，以应对数据泄露事件。使用最新的入侵检测工具来保护数据安全。

根据员工的职位来限制访问权限

访问控制机制可以保护数据免受未经授权的人员侵害。应遵循“最小权限原则”，严格限制对信用卡数据的访问权限。只有在用户有业务需求的情况下，才允许其访问这些数据。同时，所有访问请求都应被记录下来，以便进行审计。

请保持合规状态，以避免违反PCI规定。

PCI-DSS规定旨在保护信用卡数据，从而确保在线交易的安全性。所有电子商务运营商都必须遵守这些规定，否则将面临严重的财务处罚。

通过改善数据安全措施，可以降低您面临PCI-DSS罚款的风险。需要制定行动计划，以符合PCI标准的要求，控制数据访问权限，并使用加密技术来保护数据。强大的数据安全措施才是避免违规行为以及避免严重损害企业声誉的唯一可靠方法。