PCI的全称是the Payment Card Industry Data Security Standard（支付卡行业数据安全标准，PCI DSS），是一项由世界主要信用卡公司共同主持的信息安全规范条例，其目的是加强对持卡人信息的保护，以减少信用卡欺诈犯罪。

背景

自 2005 年以来，累计有超过 110 亿条消费者记录在 8500 多次数据泄露中遭到泄露。这是来自隐私权信息交换所的最新数据，其中报告了自 2005 年以来对消费者造成重大影响的数据泄露和安全漏洞事件。

为了提高消费者数据的安全性和对支付系统的信任，相关组织设立了一个数据安全的最低标准。Visa、Mastercard、American Express、Discover 和 JCB 于 2006 年成立了支付卡行业安全标准委员会（PCI SSC），负责管理信用卡数据处理公司的安全标准。在 PCI SSC 设立之前，这五家信用卡公司都有自己的安全标准程序，且都具有大致相似的要求和目标。他们通过 PCI SSC 联合起来，实施同一项标准政策，即 PCI 数据安全标准（即 PCI DSS），在互联网时代为消费者和银行提供基线水平的保护。

PCI DSS内容概要

• 建立并维护安全的网络
• 安装并维护防火墙设定以保护持卡人数据；不能使用供应商提供的默认密码和其他安全参数。
• 保护持卡人信息
• 保护存储的持卡人资料；加密通过开放的公用网络传输的持卡人数据。
• 维护漏洞管理程序
• 为所有系统提供恶意软件防护并定期更新杀毒软件或程序；开发并维护安全系统和应用程序。
• 实施严格的存储控制措施
• 按业务知情需要限制对持卡人资料的访问；为具有电脑存取权的每个人指定唯一的ID；限制对持卡人数据的实际存储。
• 定期监控并测试网络
• 追踪并监控对网络资源及持卡人资料的所有访问；定期测试安全系统和程序。
• 维护信息安全政策
• 维护针对所有人员的信息安全政策。

PCI适用于什么公司？

凡是在经营中会接触到持卡人信息的公司或组织，无论所属什么行业、交易规模大小，都适用于PCI认证。

PCI DSS 是面向所有存储、处理或传输持卡人数据和/或敏感验证数据的所有实体的全球性安全标准。

对于消费者来讲

PCI DSS 为消费者设定了一个基准保护级别，能够帮助减少整个支付系统的欺诈和数据泄露问题。它适用于任何接受或处理支付卡的组织。

对于企业来讲

PCI认证作为刷卡安全性的凭证，既能让消费者在企业的店铺消费更加放心，保障消费者用卡安全，卡信息不泄露，同时对企业来说，本身也代表了一层保护。