对于保存客户银行卡信息,PCIDSS 是不是必须遵守的?非支付平台的商户系统是否可以保存银行卡信息?

理由
举报 取消

本人是软件技术人员,在支付开发上是小白。现工作中遇到系统想增加绑定银行卡及提现功能,用来支持理财功能。上网查了下,发现PCIDSS认证,于是有疑问:1. PCIDSS是不是政策法规要求的,什么情况下必须要遵守,什么情况下不用?2. PCIDSS是否只针对信用卡,不针对储蓄卡?3. 某些非支付平台且可能未通过PCIDSS认证的商户网站上有银行卡绑定功能,从域名上看这个功能是在这些网站上的,那么是不是意味着客户的银行卡信息是保存在这些网站的数据库里? 如果不是,绑定银行卡和提现功能应如何实现。4. 将客户第一次支付时输入的银行卡信息保存下来,下次用时免输入能明显提高客户使用的便捷性,但这种做法对于非支付平台的商户系统是否被允许。似乎只有几大第三方支付平台有快捷支付,实现快捷支付又需要什么条件。5. 充值和提现是否要求必须同卡进同卡出,我看到一些网站上充值一般允许来自不同卡,但只能绑定一张卡来提现。 这是不是有问题,如可以绕开银行转账了?

2017年8月25日 5 条回复 1374 次浏览
用户头像

发起人:韦昌明 初入职场

任何关于 Live 的问题(功能使用、推荐讲者等等)都可以联系 live@zhihu.com

回复 ( 5 )

  1. 田永智
    田永智 初入职场
    0
    举报 回复
    理由
    举报 取消

    我只能回答 PCI DSS 相关的吧:

    1. 信用卡信息分为两部分:敏感信息、敏感认证信息,其中前者可以按照行业要求保护后存储,后者除了你是发卡或制卡机构无论如何都不允许存储。

    2. 按照要求所有处理 Visa、MasterCard、Jcb、AEMX、Discover 品牌信用卡的机构都需要实施 PCI DSS。

    3. 卡品牌拥有者(卡组织)会对不同类型的机构有不同的 PCI DSS 实施要求,可以是自评估或外部审计。

    4. 真对商户(最终商户)如果你的交易量不大(具体数值待查,每家各不一样)可以自评估,但自评估也是需要按照 PCI DSS 的要求来的。

    5. 其实以上都是废话,核定原则就是敏感认证信息绝对不能存,敏感信息就是能别存就别存,存了就要保护,保护方法必须业界认可(例如自己拍脑袋写一个所谓的私有加密算法就不能受到认可),至于要不要实施 PCI DSS 和如何实施,看你的银行要求,卡品牌是通过收单银行对商户实施监管的。

    附:

    敏感信息:持卡人姓名、卡号、有效期等。

    敏感验证信息:磁条信息、密码、CVV2等。

  2. 梁川
    梁川 初入职场
    0
    举报 回复
    理由
    举报 取消

    1. PCI的相关要求, @田永智 已经说的比较清楚。

    通俗地说:作为商户,如果你要让网站经过PCI认证,在网站上挂上经过PCI认证的标志,打消用户信息泄露的疑虑,才需要PCI认证。

    2. PCIDSS认证是针对信用卡的。

    3. 通常说的绑定其实有两类含义:

    a、代扣绑定:绑定某张银行卡,并授权系统从银行卡直接代扣。

    b、关联某张银行卡:只是让用户关联提现用的银行卡,系统只需要银行卡卡号

    如果只是为了提现而让用户关联某张银行卡(非代扣),只需要存放银行卡卡号即可,银行卡号是可以存放到本地。

    「提现」的业务流程是怎样的? – 梁川的回答 关于提现方案的回答,供参考。

    另外,如果只是关联提现银行卡,建议避免使用“绑定”之类容易引起用户误解的术语。

    4. 在商户端存放银行卡信息,如果不考虑PCI认证需求,从实际操作层面是可以的(例如携程等实名的行业商户)。只不过由于信息泄露等风险(例如前一阵携程的信用卡信息泄露事件),目前一般第三方支付、银联及银行只对大商户开放此功能接口(所谓得商户端开通、授权)。

    网站自己要实现快捷支付基本上不可能,除非有代扣或ePOS(信用卡无磁无密支付)接口,自己在上面进行包装。一般都通过第三方支付或银联、银行提供的接口。

    5、到目前为止,同卡进出只是第三方支付及相关机构基于风险考虑自己做的策略限制,并非政策强制性要求。

    在《关于促进互联网金融健康发展的指导意见》中对资金同卡进出有要求,但目前尚未颁布实施。

    余额宝为何选择多卡进出策略? – 梁川的回答 以前的一个回答,供参考。

  3. 飞天大C
    飞天大C 初入职场
    0
    举报 回复
    理由
    举报 取消

    先介绍关系:

    PCIDSS是Visa、Mastercard、JCB等几家发卡行联合推出的一套安全级别认证标准。同理ADSS是银联推出的一套安全级别认证标准。

    据我了解,PCIDSS和ADSS的申请要求非常类似。

    回答题主问题:

    1.不是政策法律,但如果要储存几个大发卡行发出的国际信用卡信息,就必须通过申请。否则只能采用和第三方支付渠道合作的方式实现绑定卡及消费

    2.只针对信用卡

    3.如果没有拿到PCI认证,但商户做了native层绑卡并储存信息的话,是有风险的。但PCI是有几个安全级别的,最低级别被查的可能性不大。如果无PCI,想实现网站绑卡,需要和具备PCI资质的第三方支付公司合作,在对方提供的页面中绑卡,在日常消费扣款过程中,用token与网站交互

    4.不被允许,但是可以钻空子,小公司可以用,但是出了问题就是事。几个大的支付平台有快捷支付还并不是因为他们有PCI,可能他们有ADSS也可以做。就中国市场来讲,如果你不需要外卡,那么不需要PCI,即使是双通道卡,那么在国内是强制走银联通道结算的

    5.充值不一定,因为似乎你可以替别人充值。但是提现你就必须要本人卡了,否则就成了转账了。转账这块就可以绕过银行了,这是不被允许的。

  4. 转圈的邮筒
    转圈的邮筒 初入职场
    0
    举报 回复
    理由
    举报 取消

    PCI DSS标准在支付产业中指“支付卡”数据安全标准,理论上是包括信用卡和储蓄卡的。但是就标准合规要求来看因标准本身不是强制标准,大多数机构执行PCI认证是出于业务发展的需要,例如来自合作的收单银行要求,或者国际卡组织的要求。而目前PCI标准产业是有五个国际卡组织维护和推广,所以在国际卡组织监管的范围内多以信用卡为主。

    在支付产业银联也维护了账户数据安全标准ADSS。不论哪个标准都以保持持卡人数据为目的,也有预付费卡公司采用PCI DSS标准作为数据安全建设的基线标准。

    在国内多见的双标卡(银联和VISA或者万事达标共存的卡片)也会被视为PCI审核范围内。

  5. 老杨
    老杨 初入职场
    0
    举报 回复
    理由
    举报 取消

    国内支付如果通过银联网关,可以不通过pcidss认证,但是需要经过银联的adss认证

我来回答

Captcha 点击图片更换验证码