1.PCI DSS簡介

PCI安全標準協會 是一個全球論壇，旨在建立賬戶數據保護的安全標準。 協會由五大支付卡品牌（American Express、Discover Financial Services、JCB International、MasterCard 和 Visa Inc.）創立。

PCI數據安全標準界定儲存、處理或傳輸支付卡資料實體（包括商戶、結算公司、收單機構、發卡機構和服務供應商）的操作和技術要求。 PCI DSS由協會負責管理，而PCI DSS合規性遵守由支付卡品牌執行。

2.PCI DSS適用性

PCI數據安全標準適用於儲存、處理或傳輸支付卡資料的所有實體。 商戶根據支付卡品牌的年交易量分為1級至4級共四個等級。 商戶等級識別原則由支付卡品牌決定。 因此，商戶需要透過與收單銀行確認以確定對應等級。 協會已針對中小型商戶建立了自我評估問卷機制，以驗證PCI DSS的合規性。

商戶需要進一步確定適用的調查問卷類型，並按照說明和指引填寫調查問卷。 對於某些類型的業務，例如SAQ A-EP、SAQ B-IP、SAQ C、SAQ D-Merchant和SAQ D-Service Provider，需由PCI SSC認可的掃描服務商（ASV）進行季度漏洞掃描。 最後，商戶必須完成合規證明，並將全部要求的文檔交由收單銀行進行驗證。

3. 阿里雲PCI DSS合規性

PCI DSS包含6個類別12項要求，包括建立並維護安全的網絡和系統、保護持卡人資料、維護漏洞管理計劃、實施強效存取控制措施、定期監察並測試網絡以及維護資料安全策略，以便適用實體評估是否維護了一個安全的環境來保護其附屬支付卡賬戶數據。

阿里雲聘請PCI SSC認可的合格安全評估機構（QSA）進行年度現場評估，即通過PCI DSS v3.2.1 level 1認證。 PCI DSS評估範圍包括在全球12個地區（包括中國香港）提供的雲端產品、安全服務及CDN服務。 合規證明（AOC）報告可供下載。 有關範圍詳情，請參閱AOC報告。

4.如何在阿里雲上遵守PCI DSS

-了解符合PCI DSS要求的責任的職責

阿里雲PCI DSS合規並不意味著我們的客戶亦滿足PCI DSS要求。 阿里雲的評估環境是支援阿里雲服務的底層實體與虛擬化基建，包括實體伺服器、主機作業系統、網絡、虛擬化以及阿里雲平台及服務管理營運的控制環境。 透過遵守PCI DSS，阿里雲能夠提供高度安全的雲端服務平台、產品及安全服務，協助客戶滿足PCI DSS的安全要求。

遵循安全責任共擔模式，阿里雲及其客戶共同承擔以阿里雲為本搭建的客戶應用程式的安全責任。 在12項PCI DSS要求中，實體安全相關要求僅適用於阿里雲，持卡人資料環境和資料安全政策相關要求主要僅適用於客戶，其餘要求由阿里雲及其客戶共同承擔責任 。

-阿里雲產品

我們為客戶提供阿里雲國際服務PCI DSS責任管理矩陣 ，了解如何依據阿里雲的PCI AOC報告以及他們在每項要求下應承擔的責任。 有關詳情，請下載文檔。

一般而言，客戶有責任以安全的方式配置和使用各類雲端產品，並基於這些雲端產品的安全能力，以安全可控的方式搭建自己的雲端應用程式和服務，保障雲端數據的安全。 阿里雲提供智慧健全阿里雲 — 安全服務概述 ，探索六個域的關鍵安全場景。

-阿里雲生態系統其他支援

在阿里雲市集中，客戶可免費享受LGMS（一家國際PCI合資格安全評估公司）確定業務類型和PCI DSS合規等級，並提供市集有供應的LGMS PCI DSS Compliance SAQ Wizard、ASV 掃描和合規證明服務，滿足您的需求。

如果您希望與他人分享您在PCI DSS合規過程中的最佳實踐或遇到的困難，請隨時在 阿里雲論壇 - 解決方案 上發布。