對於任何處理信用卡或其他支付卡交易的企業來說,了解 PCI 合規性對於維持一個安全的環境至關重要,這不僅能保護您的客戶,也能保護您的整個營運。

簡而言之,PCI 合規性要求企業遵循一系列技術和營運安全預防措施清單來保護持卡人資料。無論您的企業是已經具備規模還是剛起步,PCI 合規性的基礎知識並不像您想像的那麼複雜。

這份易於遵循的指南將提供 PCI 合規性的概覽、誰需要遵守,以及如何保護包含持卡人資料的電子郵件通訊。

什麼是 PCI 合規性?

PCI 代表支付卡產業 (Payment Card Industry),而 PCI DSS 代表支付卡產業資料安全標準 (Payment Card Industry Data Security Standard)。

PCI DSS 是一系列全球安全標準的集合,旨在確保所有接受、處理、儲存或傳輸信用卡資訊的公司都能確保該資訊的安全。

這些標準由 PCI 安全標準委員會管理,該委員會是由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc. 共同創立的團體。

雖然 PCI 合規性並非法規,但它是主要信用卡公司在與商家的合約中強制要求的項目。

為什麼 PCI 合規性很重要?

PCI 合規性對於保護您的企業和客戶免受資料外洩和詐騙至關重要。不合規可能會導致嚴厲的處罰、法律後果以及失去客戶的信任。

確保您符合 PCI DSS 要求有助於保護敏感資料,並提升您作為受信任實體的聲譽。

誰需要符合 PCI 合規性?

全球任何處理支付卡交易的企業都需要符合 PCI 合規。這包括線上零售商、實體商店以及任何處理信用卡付款的組織。如果您的企業接受、傳輸或儲存任何持卡人資料,您就必須遵守 PCI DSS 要求(新視窗)

小企業本身也被要求符合 PCI 合規 —— 即使他們使用像 Stripe 這樣的金流處理服務商。雖然使用符合 PCI 標準的金流處理服務商可以協助滿足部分要求,但企業仍有責任確保其自身的系統和實務做法符合 PCI DSS 標準。

PCI 合規檢查表

為了符合 PCI 合規,企業必須遵循 PCI DS(新視窗)S(新視窗) 概述的 12 項要求。

  1. 安裝並維護防火牆以保護持卡人資料。
  2. 系統密碼和其他安全參數請勿使用廠商提供的預設值。
  3. 透過加密和安全的儲存方法來保護已儲存的持卡人資料。
  4. 在開放且公共的網路上,對傳輸的持卡人資料進行加密。
  5. 保護所有系統不受惡意軟體侵害,並定期更新防毒軟體或程式。
  6. 開發並維護安全的系統與應用程式。
  7. 根據業務知情需求限制對持卡人資料的存取。
  8. 。辨識並驗證對系統元件的存取。
  9. 限制對持卡人資料的實體存取。
  10. 追蹤並監控對網路資源和持卡人資料的所有存取。
  11. 定期測試安全系統和流程
  12. 維護一項針對所有人員處理資訊安全的政策。 

然而,值得注意的是,這些要求中的每一項都進一步細分為各個子要求。遵守其中的每一項都至關重要。

雖然沒有明確提到電子郵件安全,但該標準要求在透過公共網路(包括電子郵件)傳輸期間對持卡人資料進行加密。

安全電子郵件對於 PCI 合規性至關重要

PCI 合規性的一個關鍵方面是確保包含客戶信用卡資料的電子郵件通訊經過適當的加密和保護。未能保護這些寶貴資訊可能會導致資料外洩,這不僅會損害您的企業聲譽,還會導致毀滅性的財務損失。

以下是您可以採取的一些步驟,以確保您的電子郵件通訊安全:

使用端對端加密

端對端加密可確保資料在寄件者的裝置上加密,且只能在收件者的裝置上解密。 以 Proton Mail 為例,它提供了這種等級的安全保護,確保即使是 Proton 也無法存取您的電子郵件內容。

使用多重因素驗證

多重因素驗證(例如 雙重身分驗證 (2FA))在密碼之外增加了一層額外的安全性,並且可以顯著增強您對未經授權存取的防禦。透過 Proton for Business 方案,您可以強制要求組織使用 2FA,以加強並確保安全。

定期安全稽核

定期進行安全稽核,以確保您的電子郵件通訊和其他系統符合 PCI DSS 要求。這些稽核可以發現過時的防火牆組態和不當的存取控制中的弱點。這有助於在潛在漏洞被利用之前識別並解決它們。

與 Proton 一起保持 PCI 合規性

當您使用 Proton 時,您可以保護您的業務資料,讓任何人都無法存取,即使是 Proton 也不行。您最寶貴資訊的金鑰始終由您持有。這種對隱私和安全的承諾使 Proton 成為致力於達成並維持 PCI 合規性企業的理想解決方案。

Proton 最初是由在 CERN(歐洲核子研究組織)相遇的科學家領導的一項專案。我們的目標是重塑網際網路,讓個人和組織能夠控制自己的資料。

使用我們的 Easy Switch 功能切換到 Proton Mail 非常簡單,讓您可以從其他服務無縫遷移組織所有的電子郵件、聯絡人和行事曆,且團隊不需要任何培訓。如果您需要額外的協助,我們的支援團隊也會 24/7 全天候提供即時支援。Proton Mail(我們的端對端加密電子郵件)和 Proton Drive(我們的端對端加密雲端儲存空間服務),讓滿足資料保護和隱私要求變得簡單。

使用 Proton for Business 可享有額外的好處,包括:

  • Proton Mail:透過端對端加密電子郵件保護您的商務通訊,確保只有您和指定的收件者可以閱讀訊息。
  • Proton VPN:透過高速 VPN 存取,確保您的網際網路連線安全並保護您的線上活動。
  • Proton Calendar:使用加密行事曆管理您的行程,確保您的商務事件保有私隱。
  • Proton Pass:使用我們的加密密碼管理程式安全地儲存與管理您的密碼。
  • Proton Drive透過端對端加密安全地儲存和分享檔案,確保您的資料保持私有並受到保護。

透過註冊 Proton for Business 聯繫我們的銷售團隊以獲取更量身定制的解決方案,了解 Proton 如何為您的組織簡化合規性。

當您將業務轉移到 Proton 生態系統時,您就在保護自己和客戶的資料、保持合規,並協助建立一個隱私為預設設置的未來。