要了解如何遵守 PCI DSS，首先要了解哪些数据属于（哪些不属于）支付卡数据。通常，该规定仅适用于支付卡的主要帐号 (PAN)。如果仅显示其他数据元素（例如持卡人姓名、有效期和/或安全代码），而没有任何 PAN，则不适用 PCI DSS。但是，如果这些其他数据元素 与 PAN 一起存储、处理或传输，或以其他方式存在于持卡人数据环境 (CDE) 中，则必须根据 PCI 安全标准委员会网站上适用的 PCI DSS 要求对其进行保护。更新。 

PCI 法规要求在存储 PAN 时，通过加密、截断、令牌化或单向哈希使其无法读取（PCI FAQ 1222）。无论卡是否已加密或令牌化，PCI 要求仍然适用于存储该号码的系统，因为如果加密密钥或令牌查找表遭到泄露，则 PAN 可能会被撤消。但是，如果号码被截断（未屏蔽），导致系统最多仅存储 PAN 的前 6 位数或后 4 位数，则该号码将不再被视为 PAN（PCI FAQ 1091），以使该系统符合 PCI 要求。 

Zendesk 如何帮助我满足 PCI 合规要求？

Zendesk 有一个名为 PCI 合规工单字段的功能。您可以将主要帐号 (PAN) 放入 Zendesk 专员界面的自定义工单字段中。然后将此数字的最后 4 位数标记为密文， 然后 将数据提交到用户界面。这满足了 PCI 合规的支付卡保护要求。请记住，此符合 PCI DSS 的功能仅适用于 Support 产品。要了解更多关于 Zendesk 采用的安全和隐私控制的信息，包括那些有助于支持 PCI 合规的控制，请参阅 “Zendesk 是否符合 PCI 合规”。 

请求一份合规证明 (AoC) 副本 （位于“Artifacts”下）

如果我不希望终端用户将完整的 PAN 存入我的 Zendesk 实例怎么办？ 

虽然我们强烈建议仅通过 PCI 合规工单字段输入 PAN，以确保符合 PCI 标准，但您可以实施缓解措施，以减少在此专用字段之外输入的数据泄露。 

自动标记为密文

Zendesk 有一个名为“自动标记为密文”的功能。当您在管理中心启用此功能后，您可以用来将支付卡相关的新数据标记为密文。这样系统将能够搜索 12 到 16 个字符之间的号码，并将其标记为密文。 前 6 位数字和最后 4 位数字。从而减少敏感数据被过度共享或误用的可能性更新。它还支持消息传送工单。请注意，自动标记为密文不适用于帮助中心、Zendesk Chat 或其他 Zendesk 产品。 

手动标记为密文（使用 API 工具）

要使用数据丢失防护 (DLP) 和 API 工具，您需要将 Zendesk 工单数据导出到安全的位置。要了解如何操作，请参阅 通过 CSV 或 XML 导出工单数据文档。然后，您可以使用 Incremental API 提取特定日期范围内的工单，或使用 Listing Comments APII 从工单中提取工单评论。隔离必要的支付卡数据后，您可以应用众多可用的开源工具之一，例如 PAN。通过标记为 密文 API，您可以从工单评论中移除此信息。 

使用量和存储空间控制

您还可以仅在绝对必要和合法业务需求范围内存储支付卡数据，从而最大程度地减少帐户所有者敏感数据的暴露。还应避免通过电邮、即时消息、在线交谈或其他公报共享未受保护的 PAN，以符合 PCI DSS。 

同样，PAN 在存储时应始终为不可读，包括在备份位置、日志和便携式设备中。也可以使用单向哈希加密、仅显示 PIN 后四位数的截断，以及类似的加密、屏蔽和/或截断的存储控制方法。 

作为一般安全最佳实践，您还应培训员工识别并报告系统或日常运营中支付卡数据的任何违规暴露、使用或分发。 

如何确定应用程序或系统是否在 PCI 合规范围内？

系统是否存储、传输或处理支付卡数据？如果是，则其在 PCI 范围内。每家公司负责识别其环境中哪些系统适用 PCI DSS 要求。在进行评估时，请务必记住，PCI 不仅要求所有存储、传输或处理支付卡数据的基准系统在 PCI 的范围内，而且 还 要求任何直接连接到这些基准系统的系统必须在 PCI 的范围内。范围界定可通过以下步骤进行探索：

1. 首先，识别并记录所有已知的 预期 传输、处理和/或存储支付卡数据的数据流和系统。这些系统组成了您的基准 CDE。
2. 其次，记录所有与基准环境 直接相关 的系统组件。这些系统也被视为您的 CDE 的一部分。
3. 第三，调查 CDE 以外您有理由相信 可能 正在传输、处理和/或存储支付卡数据的系统。记录您找到的所有问题，并追溯其路径回到 CDE。最常见的例子包括电邮系统、服务台、人力资源库、财务报告系统、公司电子表格等。

如何使 PCI DSS 合规性更易于管理？ 

为了使 PCI DSS 合规性更易于管理，您需要缩小总体 PCI 范围。审阅您的 CDE，并仔细检查任何传输、处理或存储支付卡数据的界面。遵循数据保护最佳实践，要求您仅获取和使用对您的运营至关重要的敏感数据。问问自己以下问题：

• 我们的业务流程是否需要使用支付卡？我们如何使用 PAN？
• 我们是否要存储完整的 PAN 作为参考号，还是将其用于支持其他业务流程（例如自动帐单结算或退款）？如果我们使用完整的 PAN 作为参考号，是否可以通过截断它来限制使用和存储空间？
• 我们是否可以控制卡号是否进入特定系统？例如，系统是否与网络表格、电邮、 服务台或其他面向客户的界面关联？如果是，我们是否可找到一种方法，在数据进入系统时将其移除或标记为密文？
• 是否存在我们并不真正需要的连接到 CDE 的辅助系统？我们是否可以通过防火墙规则对这些系统进行细分，甚至完全移除这些界面？
• 我们的关键业务流程在架构上是否完善？我们是否可以简化一些流程，并将系统移出 PCI 范围？
• 我们存储支付卡数据是否是为了方便起见？内部干系人是否明确同意并理解存储用例，或者存储存储用例是为了满足将来可能出现或不出现的需求？
• 访问完整的 PAN 是一种边缘案例还是常见做法？我们的架构是否过度包容这些边缘用例？

缩小 PCI 范围的好处是，减少涉及 PCI 要求的系统数量、审核流程成本，并限制环境中攻击面的数量。根据您的经验、资源和您的空闲时间，最好是让 PCI 专家来帮助指导您完成范围界定工作。

 

法律声明

 

术语表

收单机构 – 也称为“商户银行”、“收单银行”或“收单金融机构”。 为接受支付卡而发起并维护与商户的关系的实体。收单行通常负责监测其商户帐户的 PCI 合规情况。

AoC —— 合规证明的首字母缩写词。这是显示组织是否以及如何符合 PCI 合规的审核报告。

持卡人数据 – 持卡人数据至少包含完整的主要帐号 (PAN)。持卡人数据也可能以完整的 PAN 加上以下任何一项的形式显示：持卡人姓名、过期日期和/或服务代码。

CDE – 持卡人数据环境。存储、处理或传输持卡人数据或敏感身份验证数据的人员、流程和技术。

DLP – 数据丢失防护。数据丢失防护软件旨在检测潜在的数据泄露或数据丢失事件。

加密 – 将信息转换为除特定密钥持有者之外无法理解的形式的过程。使用加密可以在加密过程和解锁过程（加密的逆过程）之间保护信息，防止在未经授权的情况下泄露。

Luhn 检查 – 也称为“Mod 10”算法，是一种简单的检验和公式，用于验证各种标识号，例如信用卡号。大多数信用卡都使用该算法作为区分有效号码和输入错误或其他错误号码的简单方法。

掩码 – 在显示或打印时隐藏数据段的方法。如果业务不需要查看整个 PAN，则可以使用屏蔽。屏蔽涉及对 PAN 显示或打印时的保护。

PCI 合规工单字段 ——此字段设计用于接受专员的信用卡号，并自动将信用卡号的最后 4 位数标记为密文，然后再将数据提交到 Zendesk 平台。要受益于 Zendesk 的 AoC，必须启用此字段。

PCI-SSC ——支付卡行业安全标准委员会的首字母缩略词。该委员会由五家信用卡品牌（Visa、万事达、美国运通、发现和 JCB）于 2006 年成立。

PCI-DSS – 支付卡行业数据安全标准。PCI SCC 创建了一个所有商户和服务提供商都将受到约束的统一标准。

PAN – 主要帐号。也称为“帐号”。 识别发卡行和特定持卡人的唯一支付卡号（通常用于信用卡或借记卡）。

服务提供商 – 代表另一个实体直接参与持卡人数据处理、存储或传输的企业实体（非支付卡发卡行）。这也包括提供控制或可能影响持卡人数据安全服务的公司。例如提供托管防火墙、IDS 和其他服务的托管服务提供商，以及托管提供商和其他实体。

合格安全保障 —— 符合资格的安全评估者。PCI SCC 已授权公司进行 PCI 评估并协助 PCI 验证；该指定是 Q SA 公司，或者类似地， Q SA 公司的个人也可以被认证为个人 Q SA。

标记为密文 – 当不再需要时移除敏感信息（例如 PAN）的过程。

SAQ – 自我评估问卷。验证 PCI 合规性的实体将接受 Q SA 的外部评估，或填写 SAQ 并将其提交给卡品牌或其商户银行。

令牌化 – 将一系列有意义的文本（例如信用卡号）分解为称为令牌（代表实际数据）的数据元素的过程，但单独使用是没有意义的。令牌化是一种从系统或数据库中移除信用卡数据的方法，从而缩小 CDE 的范围。

截断 – 通过永久移除一部分 PAN 数据来使整个 PAN 不可读的方法。截断涉及对存储在文件、数据库等中的 PAN 的保护。