1.PCI DSS 简介

PCI 安全标准协会是一个开放的全球论坛，致力于账户数据安全标准发展及完善。PCI 安全标准协会创始成员包括 American Express、Discover Financial Services、JCB International、MasterCard和 Visa Inc.。

支付卡行业数据安全标准 PCI DSS 适用于涉及存储、传输或者处理支付卡信息的所有实体，包括商户、处理商、收单机构、发卡机构和服务提供商。该标准为保护支付卡信息提供了技术基线和操作要求。PCI 安全标准委员会负责对 PCI DSS 标准进行持续完善，支付卡品牌则直接或间接的对 PCI DSS 的合规提出强制性要求。

2.PCI DSS 适用性

支付卡行业数据安全标准 PCI DSS 适用于涉及存储，处理或传输支付卡信息的所有实体。PCI DSS 适用性取决于每年与各支付卡品牌的总交易量。根据各支付卡品牌的要求，商户可以被分别4个级别，需要满足不同合规验证要求。商户应根据各支付卡品牌的要求或与收单机构确定所对应的级别。PCI 安全标准协会已经建立了针对中小型商户的自我评估调查表 (SAQ) 机制，以验证 PCI DSS 的合规性。

商户需要进一步确定使用的自我评估调查表（SAQ）类型，并根据说明和指南完成调查表填写。对于某些类型的业务，例如 SAQ A-EP，SAQ B-IP，SAQ C，SAQ D-Merchant 和 SAQ D-Service Provider，需要由 PCI 安全标准协会认可的授权扫描服务商（ASV）进行季度漏洞扫描。最后，商户必须完成合规性证明（AOC），并将所有要求的文件提交给收单银行进行验证。

3.阿里云 PCI DSS 合规性

PCI DSS 包括 6 个类别的 12 项要求，包括建立和维护安全的网络和系统、保护持卡人数据、维护漏洞管理计划、实施强效的访问控制措施、定期监控并测试网络以及维护信息安全策略，以供适用的实体评估他们是否维护了一个安全的环境来保护其附属支付卡账户数据。

阿里云作为服务提供商，由 PCI 安全标准协会认可的安全性评估机构（QSA）进行年度现场评估，根据 PCI DSS v3.2.1要求通过了一级认证。 阿里云 PCI DSS 认证范围包括在全球12个区域（包括香港）在售的公共云产品，安全服务和 CDN 服务。有关认证范围的详细信息，请参阅合规性证明（AOC）。

4.如何在阿里云上符合 PCI DSS 要求

-了解满足 PCI DSS 要求的责任

阿里云 PCI DSS 的合规性并不意味着其客户也直接符合 PCI DSS 的要求。阿里云的 PCI DSS 评估环境包含支持阿里云服务的底层基础架构，其中包括物理服务器、主机操作系统、网络、虚拟化以及对阿里云平台和服务的管理和运营的控制环境。通过遵守 PCI DSS 要求，阿里云能够为客户提供高度安全的云服务平台，以帮助其满足 PCI DSS 的安全要求。


遵循共享安全责任模型，阿里云及其客户共同承担基于阿里云构建的客户应用的安全性。在12个 PCI DSS 要求中，物理安全相关要求仅适用于阿里云，持卡人数据环境和信息安全政策相关要求仅主要适用于客户，其余要求应该由阿里云与其客户共同承担安全责任。

-阿里云提供的合规性支持

阿里云为客户提供了《阿里云国际服务 PCI DSS 责任管理矩阵》，以帮助客户了解如何依赖阿里云的 PCI 合规性证明（AOC）报告以及他们在每个 PCI DSS 要求之下应承担的责任。有关详细信息，请随时下载该文档。

一般而言，客户需要负责以安全的方式配置和使用各种云上产品，并基于这些云产品的安全能力以安全且可控的方式构建自己的基于云的应用和业务，保障云上的数据安全。阿里云通过提供阿里云安全服务概述，探讨了包括网络安全、应用安全、操作安全、主机安全、云服务安全及合规安全六个域的关键安全方案。

-阿里云生态提供的合规性服务

在阿里云市场中，客户可以免费享受 LGMS（国际 PCI 安全标准协会认可的安全性评估机构（QSA））提供的 PCI DSS 向导服务来确定业务类型和级别。LGMS 还同时提供 PCI DSS 合规性 SAQ 向导，ASV 扫描和合规性认证服务以满足客户需求。

如果您希望与他人分享您在 PCI DSS 合规性过程中的最佳实践或遇到的挑战，请随时发布在阿里云论坛–解决方案。