您正在网上购物，将商品添加到购物车，并准备用信用卡付款。您期望当您点击“结帐”时，您的付款信息是安全的。这种信任感主要归功于PCI DSS（支付卡行业数据安全标准）。

PCI DSS 是针对您的信用卡及其数据的安全系统。就像您不会因为商店将您的信用卡信息留在便签上而感到安心一样，PCI DSS 确保企业格外小心地对待您的支付数据，使其加密、得到妥善保护，并防止任何不应访问的人获取。因此，每次您购买商品时，PCI DSS 都会在幕后工作，确保您的财务信息免遭数字“入侵”。

根据2024 年Thales数据威胁报告 - 金融服务版，39% 的美国金融服务机构报告称，他们过去曾经历过数据泄露。更令人震惊的是，18% 的机构报告称，他们遭受过勒索软件攻击。此外，IBM 2024 年数据泄露成本报告显示，金融服务在平均数据泄露成本方面位居行业垂直领域之首，达到 608 万美元。

什么是 PCI？

支付卡行业 (PCI) 数据安全标准 (DSS) 由 Visa、Mastercard、American Express、Discover 和 JCB 等主要信用卡品牌于 2004 年制定。目标是为处理持卡人数据的所有实体创建一套统一的安全要求。

为什么我需要符合 PCI 标准？

金融机构、在线支付处理商、接受支付卡的商家、处理支付卡交易、存储或访问支付卡信息的任何组织以及在卡处理生态系统的任何地方开展业务的任何服务提供商都必须遵守 PCI DSS。

重要日期

PCI DSS 4.0 的关键截止日期是 2024 年 3 月 31 日，届时旧版本 (PCI DSS 3.2.1) 将退役。在此日期之后，必须遵守 PCI DSS 4.0。但是，PCI DSS 4.0 的一些要求在 2025 年 3 月 31 日之前被标记为最佳实践，届时它们也将成为强制性要求。

不符合 PCI 标准

假设商家和服务提供商未能遵守 PCI DSS。在这种情况下，处罚可能包括每月 5,000 美元至 100,000 美元的罚款、增加审计要求以及商家银行或信用卡品牌可能关闭信用卡活动。这些处罚取决于交易量、商家或服务提供商应遵守的 PCI DSS 级别以及不合规的时间。

Thales的 PCI 合规解决方案

没有任何单一工具能够让组织 100% 合规，但值得庆幸的是，Thales拥有符合 PCI 要求的全面数据安全解决方案。Thales的愿景是保护数据及其所有路径，让您更加合规、更加安全。Thales数据安全平台是制定全面数据安全策略和增强风险管理的关键。它可让您查看数据中的威胁，并允许您使用强大的数据加密、密钥管理和硬件安全模块随时随地发现、保护和控制对敏感数据的访问。轻松实现 PCI 合规。

Thales顶级 PCI DSS 4.0 数据安全用例

Thales的数据安全平台如何帮助满足 PCI 合规性

数据加密：

• CipherTrust 透明加密 (CTE) 在操作系统/文件系统、数据库和应用程序级别提供静态数据加密。它还可以跨多个云、大数据和容器环境加密数据。CTE 旨在以最少的干扰、工作量和成本满足 PCI DSS 要求和最佳实践。

数据屏蔽：

• Thales的数据脱敏解决方案可以将敏感数据替换为非敏感数据，以用于测试和开发目的，从而降低敏感信息泄露的风险。

密钥管理：

• Thales的密钥管理解决方案确保密钥与数据分开存放。它们可以安全地生成、存储和管理加密密钥，而这些密钥对于有效的数据加密至关重要。

硬件安全模块 (HSM)：

• Thales HSM 为加密操作提供了高度安全的环境，保护敏感数据和加密密钥免受各种威胁。
• 静态：HSM 在强化的、防篡改的 FIPS 140 验证设备中为敏感数据提供安全存储，即使物理存储设备受到威胁，也能保护其免遭未经授权的访问。

Tokenization：

• Thales的Tokenization解决方案可以用独特的标记替换敏感的持卡人数据，从而降低数据泄露的风险并简化合规工作。

数据治理和访问控制：

• Thales提供解决方案帮助您实施强大的数据治理和访问控制策略，确保只有授权个人才能访问敏感数据。

安全分析：

• Thales的安全分析工具可以帮助您监控网络中的可疑活动并识别潜在的安全威胁。
• 符合 PCI DSS 要求：Thales安全分析可以帮助组织遵守与安全监控和事件响应相关的 PCI DSS 要求。

云安全：

• Thales提供云安全解决方案，帮助您保护云中的数据，确保符合云环境中的 PCI DSS 要求。

数据库活动监控 (DAM)：

• 检测未经授权的访问：DAM 可以检测对数据库的未经授权的访问，包括窃取敏感持卡人数据的企图。
• 符合 PCI DSS 要求：DAM 可以帮助组织遵守与数据库安全相关的 PCI DSS 要求。

数据发现和分类：

• 敏感数据识别：数据发现和分类可帮助您识别需要保护的敏感数据。
• 符合 PCI DSS 要求：数据发现和分类可帮助您遵守与数据保护相关的 PCI DSS 要求。

借助 Thales 的解决方案深度，您现在可以满足 PCI 合规性要求，而无需通过多家供应商投资购买一套令人困惑的工具。Thales 数据安全平台不断增加高级安全性和合规性功能，使您能够应对不断发展的 PCI 挑战。

满足 PCI 要求

Thales CipherTrust 数据安全平台是组织实现或保持 PCI 合规性的核心。CipherTrust 数据安全平台是 Gartner数据安全平台市场指南中的一项重要内容，它是一套以数据为中心的集成解决方案，可消除数据安全的复杂性、加快合规性时间并确保云迁移安全。CipherTrust 平台将数据发现、分类、数据保护以及密钥和机密的集中管理统一到一个平台中。这样可以减少专用于安全操作的资源，实现无处不在的合规性控制，并显著降低整个企业的风险。

作为Thales的合作伙伴，揽阁信息会为您提供基于PCI DSS的专业产品、技术支持和解决方案，欢迎您与我们联系。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 您准备好迎接 PCI DSS 4.0 了吗？
• 在AWS上使用Thales CDSP的标记化解决方案，满足PCI DSS合规性要求
• 在 2025年4月30日之前满足 DORA 合规性需要采取的 3 个步骤
• 超越补偿控制：PCI DSS 标记化的长期价值
• PCI DSS 4.0 中的补偿控制、定制方法和标记化
• Thales HSM：为PCI DSS 4.0合规性打造坚不可摧的数据安全基石