1.支付行业数据安全标准（PCI DSS）

PCI 安全标准协会是一个开放的全球论坛，致力于账户数据安全标准发展及完善。PCI 安全标准协会创始成员包括 American Express、Discover Financial Services、JCB International、MasterCard和 Visa Inc.。

支付卡行业数据安全标准PCI DSS 适用于涉及存储、传输或者处理支付卡信息的所有实体，包括商户、处理商、收单机构、发卡机构和服务提供商。该标准为保护支付卡信息提供了技术基线和操作要求。PCI安全标准委员会负责对PCI DSS标准进行持续完善，支付卡品牌则直接或间接的对PCI DSS的合规提出强制性要求。

2.PCI DSS合规性

PCI DSS适用于涉及存储，处理或传输支付卡信息的所有实体。PCI DSS适用性取决于在12月期间与各支付卡品牌的总交易量。根据各支付卡品牌的要求，商户可以被分别4个级别，需要满足不同合规验证要求。商户应根据各支付卡品牌的要求或与收单机构确定所对应的级别。PCI 安全标准协会已经建立了针对2级到4级的中小型商户的自我评估调查表（SAQ）机制，以验证PCI DSS的合规性。

根据业务类型，商户需要进一步确定使用的自我评估调查表（SAQ）类型，并根据说明和指南完成调查表填写。对于某些类型的业务，例如SAQ A-EP，SAQ B-IP，SAQ C，SAQ D-Merchant和SAQ D-Service Provider，需要由PCI 安全标准协会认可的授权扫描服务商（ASV）进行季度漏洞扫描。同时，商户必须完成遵从性证明书（AOC），声明其按照PCI DSS 要求和安全评估程序所做的自我评估的结果，并联系收单机构或支付卡品牌递交相关资料。

3.阿里云PCI DSS合规性

PCI DSS包含12大要求，分为6个类别，包括建立并维护安全的网络和系统、保护持卡人数据、维护漏洞管理计划、实施强效访问控制措施、定期监控并测试网络和维护信息安全政策，旨在建立及维护安全可靠的支付处理环境。商户应根据PCI DSS要求，与收单机构合作，为所有客户提供安全交易。

阿里云作为服务提供商，由PCI安全标准协会认可的安全性评估机构（QSA）进行年度现场评估，根据PCI DSS v3.2.1要求通过了一级认证。 阿里云PCI DSS认证范围包括在全球12个区域（包括香港）在售的公共云产品，安全服务和CDN服务。有关认证范围的详细信息，请参阅左侧的合规性证明（AOC）。

4.如何在阿里云上符合PCI DSS要求

-了解满足PCI DSS要求的责任

阿里云PCI DSS的合规性并不意味着其客户也直接符合PCI DSS的要求。阿里云的PCI DSS评估环境包含支持阿里云服务的底层基础架构，其中包括物理设备，分布式云操作系统，阿里巴巴骨干传输网络，虚拟化和阿里云平台和服务的管理和运营的控制环境。通过遵守PCI DSS要求，阿里云能够为客户提供高度安全的云服务平台，以帮助其满足PCI DSS的安全要求。

遵循共享安全责任模型，阿里云及其客户共同承担基于阿里云构建的客户应用的安全性。在12个PCI DSS要求中，物理安全相关要求仅适用于阿里云，持卡人数据环境和信息安全政策相关要求仅主要适用于客户，其余要求应该由阿里云与其客户共同承担安全责任。

-阿里云提供的合规性支持

阿里云为客户提供了《阿里云国际服务PCI DSS责任管理矩阵》，以帮助客户了解如何依赖阿里云的PCI 合规性证明（AOC）报告以及他们在每个PCI DSS要求之下应承担的责任。有关详细信息，请参阅左侧文档。

一般而言，客户需要负责以安全的方式配置和使用各种云上产品，并基于这些云产品的安全能力以安全且可控的方式构建自己的基于云的应用应用和业务，保障云上的数据安全。阿里云通过提供阿里云安全服务概述，探讨了包括网络安全、应用安全、操作安全、主机安全、云服务安全及合规安全六个域的关键安全方案。

-阿里云生态提供的合规性服务

在阿里云市场中，客户可以免费享受 LGMS （国际PCI安全标准协会认可的安全性评估机构（QSA））提供的PCI DSS向导服务来确定业务类型和级别。LGMS还同时提供PCI DSS合规性SAQ向导，ASV扫描和合规性认证服务以满足客户需求。客户可通过以下链接直达云市场购买这些服务。

如果您希望与他人分享您在PCI DSS合规性过程中的最佳实践或遇到的挑战，请随时发布在阿里云论坛–解决方案。