PCI代表支付卡行业。支付卡行业数据安全标准(PCI DSS)是一套要求,旨在确保所有处理、存储或传输信用卡信息的公司保持一个安全的环境。
我们的服务器是PCI DSS 3.2认证的一级,防止信用卡数据泄露,消除了自己处理合规的巨大成本和麻烦。我们让您接受领先的支付方式,而不必担心执行PCI标准。
谁须提供符合规定的证明?
PCI合规性适用于任何接受、传输或存储任何持卡人数据(无论大小)的商户或组织。如果您接受使用信用卡或借记卡的客户的交易,PCI DSS要求适用。BigCommerce是一个PCI DSS兼容的服务提供商,作为共享托管提供商,每年都会对所有要求(1-12项)进行认证。
PCI遵从性的最终责任权在于您,考虑到您的电子商务商店的体系结构和多个集成渠道。 与大商业和责任矩阵的整合。
如何让ASV扫描我的网站?
您可能有业务需要,需要您的网站扫描PCI合规以外的我们自己的PCI DSS合规认证。如果您选择让您的网站进行外部扫描,您将需要选择ASV(批准扫描供应商)。
在您扫描您的网站之前,确保您选择的ASV是通过PCI安全标准委员会批准的。请参阅此批准扫描供应商列表。
当你选择了ASV,在启动扫描之前,有一些事情需要考虑:
- 您需要向ASV提供您的域名。请勿使用该IP地址。因为BigCommerce商店托管在GCP(谷歌云平台)上,对IP地址的扫描通常会发现BigCommerce没有使用的服务。这可能会导致假阳性,要求您重新扫描您的网站。
- 在进行传统渗透测试时,经常以某种形式使用动态扫描,但BigCommerce可接受使用政策禁止动态扫描。
如果您不确定向您选择的ASV提供哪些信息,或对哪些信息是允许的或不允许的有疑问,请联系我们,我们的支持团队可以帮助指导您完成整个过程。
你如何证明符合规定?
如果您正在使用第三方平台,如BigCommerce,并要求您提供PCI DSS合规认证,您可以在这里下载:2021 – 2022 PCI DSS合规认证。
此文档允许您提供您的存储是PCI兼容的证明。
这份证明的日期是去年的。它过时了吗?PCI认证封面上的日期指的是标准最后一次修订的时间。它不涉及何时完成认证。报告的交付日期在文件的第10页。
要了解什么是PCI DSS,如何为您的业务实现它,以及合规清单,请参阅我们关于实现PCI合规所需了解的一切的博客文章。
PCI合规性指南是一个常见问题,直接来自于管理PCI合规性标准的组织,是PCI合规性需求的一个很好的来源。
为什么我需要每90天重置密码?
这是支付卡行业数据安全标准3.2版要求8中规定的要求的一部分。要保持与PCI兼容,密码必须至少每90天更改一次。详细信息请参见PCI合规性密码要求。
为什么我退出了我的商店?
PCI遵从性的另一个要求是,如果在一段时间内没有活动,会话就必须超时。默认情况下,这个时间设置为两个小时,这意味着如果您登录到商店的控制面板,但两个小时内没有单击任何东西,系统将登出您。有关如何调整此设置的详细信息,请参阅调整控制面板超时窗口。
错误地存储信用卡数据
BigCommerce是PCI-DSS一级服务提供商。因此,我们的账户数据存储每年由合格的安全评估师(QSA)审核。
支付卡行业数据安全标准对账户数据的定义如下:
- 持卡人数据
- 主帐号
- 持卡人的名字
- 截止日期
- 敏感的身份验证数据
- 安全代码(CVV)
虽然该标准订明在信贷交易完成前须储存持卡人资料,但并没有考虑储存敏感的身份验证资料。
为了减少持卡人数据的泄露,BigCommerce的政策是不存储任何账户数据。
BigCommerce执行持续的安全扫描,以确保符合我们平台的数据安全。如果商家存储的数据违反了上面提到的任何政策,数据将被删除,商家将收到违规提醒。
重复计费软件
如果您需要存储客户信用卡数据以进行重复计费,BigCommerce应用程序市场中有可以满足此需求的重复计费应用程序。
信用卡存储功能
在BigCommerce中,存储的信用卡不会在您的商店中存储信用卡信息。相反,支付网关存储此信息,这与PCI遵从性保持一致。