1.PCI DSS 簡介

PCI 安全標準協會是一個開放的全球論壇，致力於帳戶資料安全標準發展及完善。 PCI 安全標準協會創始成員包括 American Express、Discover Financial Services、JCB International、MasterCard和 Visa Inc.。

支付卡行業數據安全標準 PCI DSS 適用於涉及儲存、傳輸或處理支付卡資訊的所有實體，包括商家、處理商、收單機構、發卡機構和服務提供者。 該標準為保護支付卡資訊提供了技術基線和操作要求。 PCI安全標準委員會負責對 PCI DSS 標準進行持續完善，支付卡品牌則直接或間接的對 PCI DSS 的合規提出強制性要求。

2.PCI DSS 適用性

PCI DSS 適用於涉及存儲，處理或傳輸支付卡資訊的所有實體。PCI DSS 適用性取決於每年與各支付卡品牌的總交易量。 根據各支付卡品牌的要求，商家可以被分別4個級別，需要滿足不同合規驗證要求。 商家應依各支付卡品牌的要求或與收單機構決定所對應的等級。 PCI 安全標準協會已建立了針對中小型商家的自我評估問卷機制，以驗證 PCI DSS 的合規性。

商家需要進一步確定使用的自我評估問卷（SAQ）類型，並根據說明和指南完成問卷填寫。 對於某些類型的業務，例如 SAQ A-EP，SAQ B-IP，SAQ C，SAQ D-Merchant 和 SAQ D-Service Provider，需要由 PCI 安全標準協會認可的授權掃描服務商（ASV）進行季度漏洞掃描。 最後，商家必須完成合規性證明（AOC），並將所有要求的文件提交給收單銀行進行驗證。

3. 阿里雲 PCI DSS 合規性

PCI DSS 包括6個類別的12項要求，包括建立和維護安全的網路和系統、保護持卡人資料、維護漏洞管理計劃、實施強效的存取控制措施、定期監控並測試網路以及維護資訊安全策略 ，以供適用的實體評估他們是否維護了一個安全的環境來保護其附屬支付卡帳戶資料。

阿里雲作為服務供應商，由 PCI 安全標準協會認可的安全性評估機構（QSA）進行年度現場評估，根據 PCI DSS v3.2.1要求通過了一級認證。 阿里雲 PCI DSS 認證範圍包括在全球12個區域（包括香港）在售的公有雲產品，安全服務和 CDN 服務。有關認證範圍的詳細信息，請參閱合規性證明（AOC）。

4.如何在阿里雲上遵守 PCI DSS

-了解滿足 PCI DSS 要求的責任

阿里雲 PCI DSS 的合規性並不代表其客戶也直接符合 PCI DSS 的要求。 阿里雲的 PCI DSS 評估環境包含支援阿里雲服務的底層基礎架構，其中包括實體伺服器、主機作業系統、網路、虛擬化以及對阿里雲平台和服務的管理和營運的控制環境。 透過遵守 PCI DSS 要求，阿里雲能夠為客戶提供高度安全的雲端服務平台，以協助其滿足 PCI DSS 的安全要求。

遵循共享安全責任模型，阿里雲及其客戶共同承擔基於阿里雲建構的客戶應用的安全性。 在12個 PCI DSS 要求中，實體安全相關要求僅適用於阿里雲，持卡人資料環境與資訊安全政策相關要求僅主要適用於客戶，其餘要求應由阿里雲與其客戶共同承擔安全責任。

-阿里雲提供的合規性支持

我們為客戶提供阿里雲國際服務 PCI DSS 責任管理矩陣，了解如何依據阿里雲的 PCI AOC 報告以及他們在每項要求下應承擔的責任。 有關詳情，請下載文檔。

一般而言，客戶需要負責以安全的方式配置和使用各種雲端產品，並基於這些雲端產品的安全能力以安全且可控的方式建構自己的基於雲端的應用應用和業務，保障雲端上的資料安全。 阿里雲透過提供阿里雲端安全服務概述，探討了包含網路安全、應用安全、營運安全、主機安全、雲端服務安全及合規安全六個網域的關鍵安全方案。

-阿里雲生態系統其他支援

在阿里雲市集中，客戶可免費享受 LGMS (一家國際 PCI 合資格安全評估公司) 確定業務類型和 PCI DSS 合規等級，並提供市集有供應的 LGMS PCI DSS Compliance SAQ Wizard、ASV 掃描和合規證明服務，滿足您的需求。

LGMS PCI DSS Wizard >

如果您希望與他人分享您在 PCI DSS 合規過程中的最佳實踐或遇到的困難，請隨時在 阿里雲論壇 - 解決方案 上發布。