电子商务 PCI DSS 合规性：支付安全指南

每笔涉及支付卡的电子商务交易都会根据 PCI DSS（支付卡行业数据安全标准）产生合规义务。不合规并不是理论上的风险：信用卡品牌（Visa、Mastercard、Amex）每月可以向收单银行征收 5,000 至 100,000 美元的罚款，收单银行通过支付处理协议将责任直接转嫁给商户。违规后，不合规的商户将面临每张卡受损 50 至 90 美元的罚款、卡品牌取证调查费用，以及在最严重的情况下终止其商户帐户。

PCI DSS v4.0 于 2022 年 3 月发布，自 2025 年 3 月起强制合规，对加密要求、身份验证标准以及支付页面上的脚本处理进行了重大更改。本指南为电子商务团队提供了完整的实施路线图。

要点

• 自 2025 年 3 月 31 日起强制实施 PCI DSS v4.0 — 所有电子商务商家都必须遵守新版本
• 范围界定是最关键的第一步：尽可能减少持卡人数据环境 (CDE)
• 使用支付处理器的托管支付页面（Stripe、Braintree、Adyen）可大幅缩小范围
• SAQ A 适用于大多数托管支付页面商家 — 但前提是没有持卡人数据接触您的服务器
• 新的 v4.0 要求包括所有 CDE 访问的 MFA、支付页面上的脚本完整性控制以及有针对性的风险分析
• 支付页面脚本清单中的新要求 6.4.3 解决了网页浏览（Magecart 攻击）问题
• 年度渗透测试和季度漏洞扫描仍然是强制性的
• 违规处罚由卡品牌→收单银行→商户传递

---

PCI DSS 框架基础知识

PCI DSS 由支付卡行业安全标准委员会 (PCI SSC) 维护，该委员会由 American Express、Discover、JCB、Mastercard 和 Visa 创立。当前标准是 PCI DSS v4.0。

该标准分为 6 个目标的 12 项要求：

合规性适用于存储、处理或传输持卡人数据或可能影响持卡人数据安全的任何实体。这包括商家、支付处理商、收单机构、发行机构和服务提供商。

---

步骤 1 — 定义并缩小范围

持卡人数据环境 (CDE) 是存储、处理或传输持卡人数据 (CHD) 或敏感身份验证数据 (SAD) 的任何系统。最小化范围是您可以采取的最有影响力的步骤。

持卡人数据与敏感身份验证数据：

电子商务范围缩小策略：

1. 使用托管支付页面：将客户重定向到支付处理商的托管支付页面（Stripe Checkout、Braintree Hosted Fields、Adyen Drop-in）。持卡人数据不会接触您的服务器，并且您有资格参加 SAQ A——最简单的自我评估问卷。

2. 令牌化：授权后立即用处理器生成的令牌替换卡号。仅存储令牌，这对于无法访问处理器的令牌化库的攻击者来说是无用的。

3. 基于 iFrame 的支付表单：将支付处理器的 JavaScript 渲染表单嵌入到您的结帐页面中。卡数据直接输入到处理者域（而不是您的域）托管的表单中。

4. 网络分段：使用防火墙将 CDE 系统（支付处理服务器、数据库）与范围外的系统隔离。正确分段的网络可以极大地缩小审计范围。

---

第 2 步 — 确定您的 SAQ 类型

自我评估问卷 (SAQ) 是一种验证工具，适用于不需要合格安全评估员 (QSA) 现场评估的商家和服务提供商。 SAQ 类型取决于您接受付款的方式：

SAQ A — 适用于将支付处理完全外包给符合 PCI DSS 的第三方的无卡（电子商务）商家。您的系统或场所不会存储、处理或传输电子持卡人数据。您的付款页面完全由您的付款处理器提供。大约 22 个要求。

SAQ A-EP — 适用于部分外包支付处理但仍然在自己的服务器上托管支付页面并嵌入第三方支付 iframe 的电子商务商家。您的网络服务器间接影响支付处理的安全性。比 SAQ A 要求更多。受到新 v4.0 要求 6.4.3 的严重影响。

SAQ D — 适用于不符合任何其他 SAQ 类型标准或存储持卡人数据的商户。涵盖全部 12 项要求。对于运行自己的支付处理基础设施的商家来说是必需的。通常大约有 300 多个子要求。

等级（Mastercard/Visa 标准）：

---

步骤 3 — PCI DSS v4.0 电子商务的主要变化

PCI DSS v4.0 引入了几项特别影响电子商务商家的要求。自 2025 年 3 月 31 日起，所有这些都是强制性的。

要求 6.4.3 — 支付页面脚本管理

此要求直接针对 Magecart/网络窃取攻击 - 攻击者将恶意 JavaScript 注入电子商务支付页面以实时窃取持卡人数据。根据第 6.4.3 条，使用 SAQ A-EP 或更高版本的商户必须：

• 维护授权在支付页面上执行的所有脚本的清单
• 证明每个脚本的业务或技术必要性
• 实施一种方法来确认每个脚本的完整性（第三方脚本的子资源完整性哈希值或内容安全策略指令）

对于拥有完全外包支付页面的 SAQ A 商家，此要求适用于您的支付处理商的页面 — 他们必须代表您证明合规性。

要求 11.6.1 — 支付页面的更改和篡改检测

商户必须部署一种机制（例如内容安全策略、脚本监控服务）来检测对支付页面上的 HTTP 标头和脚本内容的未经授权的修改。任何未经批准的更改必须在 7 天内生成警报。

要求 8.4.2 — 对 CDE 的所有访问的 MFA

现在，所有有权访问 CDE 的用户帐户都需要进行多重身份验证，而不仅仅是远程访问。这包括从公司网络内部访问生产支付系统的内部用户。

要求 3.3.1.1 — SAD 授权后不能保留

明确禁止在授权后存储敏感身份验证数据（完整跟踪数据、CVV、PIN）。这一直是被禁止的，但现在措辞更精确，以弥补某些系统在调试/诊断输出中记录 SAD 的漏洞。

目标风险分析 (TRA)

v4.0 引入了目标风险分析的概念——如果商家执行记录在案的风险分析显示同等保护，则可以展示满足某些要求的替代方法。这为更大、更复杂的环境提供了灵活性。

---

步骤 4 — 网络安全架构

对于系统超出 SAQ A 范围的商家来说，网络安全是核心合规领域。

要求 1 — 安装和维护网络安全控制：

• 在不可信网络（互联网）和 CDE 之间实施防火墙
• 在CDE和其他内部网络之间实施防火墙（分段）
• 记录所有防火墙规则以及业务理由
• 至少每 6 个月审查一次防火墙规则
• 拒绝所有未明确要求的流量（默认拒绝姿势）
• 对于电子商务：在 Web 服务器前面实施 WAF（Web 应用程序防火墙）

网络分段测试：

一个常见的误解是网络分段会自动缩小范围。 PCI SSC 要求您测试分段是否有效 - 渗透测试必须包括尝试跨越分段边界。如果渗透测试人员可以从范围外的网络访问 CDE 系统，则分段无效，并且更广泛的环境会进入范围。

电子商务的 DMZ 架构：

Internet → WAF/Load Balancer → DMZ (Web Servers) → Internal Firewall → CDE (Payment Servers, DB) → Internal Network

DMZ 中的 Web 服务器为您的店面提供服务。只有特定的、有记录的流量（HTTPS 到支付 API、特定端口上的 SQL 到特定数据库）从 DMZ 穿越到 CDE。所有其他流量均被阻止。

---

步骤 5 — 应用程序安全要求

要求 6 — 开发和维护安全系统和软件：

• 维护范围内所有定制和第三方软件的清单
• 作为正式漏洞管理流程的一部分解决漏洞
• 保护面向 Web 的应用程序免受已知攻击（OWASP Top 10）
• 在重大变更的生产部署之前进行安全代码审查或应用程序渗透测试
• 仅使用来自信誉良好且具有承诺安全补丁流程的供应商的软件

Web 应用程序防火墙 (WAF) — 要求 6.3.2 和 6.4.2：

WAF 对于所有面向公众的 Web 应用程序都是强制性的，配置为阻止攻击或生成警报并在 1 小时内进行审查。对于电子商务，WAF 必须涵盖：

• SQL注入预防
• 跨站脚本（XSS）保护
• 跨站点请求伪造（CSRF）保护
• 恶意机器人检测
• 防止暴力破解的速率限制

依赖关系和第三方软件管理：

电子商务平台（WooCommerce、Magento、Shopify 定制）严重依赖插件和扩展。必须评估范围内的每个插件的安全性。维护库存并在补丁 SLA 范围内应用补丁（关键：供应商补丁发布后 7 天）。

---

步骤 6 — 访问控制和身份验证

要求 7 — 限制对系统组件和持卡人数据的访问：

• 基于最小权限实现基于角色的访问控制
• 默认所有访问权限为“拒绝所有”，并记录了明确的授权
• 至少每 6 个月审查一次用户访问权限

要求 8 — 识别用户并验证访问权限：

• 为每个有权访问 CDE 的人分配一个唯一的 ID
• 密码最少 12 个字符（v4.0 从 v3.2.1 中的 7 个增加），复杂性要求
• 最多 10 次无效尝试后锁定帐户（v4.0 默认值，或根据 TRA）
• CDE 会话最多 15 分钟不活动后会话超时
• 所有 CDE 访问都需要 MFA（仅从远程进行 v4.0 扩展）
• 服务帐户和系统帐户必须与用户帐户分开管理

---

步骤 7 — 漏洞管理和测试

要求 11 — 测试系统和网络的安全性：

季度内部漏洞扫描：扫描所有范围内的系统。在下次扫描之前修复所有高严重性和关键漏洞。扫描可以由内部员工使用批准的工具（Nessus、Qualys、OpenVAS）进行。

由经批准的扫描供应商 (ASV) 进行的季度外部漏洞扫描：所有外部可访问系统的外部扫描必须由 PCI SSC 批准的 ASV 进行。扫描必须通过（没有公开的高/严重漏洞），然后您才能证明合规性。

年度渗透测试：由合格的内部资源或信誉良好的外部公司进行。必须涵盖：

• 所有范围内的系统和网络
• 分段控制（验证 CDE 是否正确隔离）
• 面向 Web 应用程序的 OWASP Top 10
• 社会工程（针对高风险环境）

修复所有渗透测试结果并进行验证测试以确认修复。

文件完整性监控 (FIM)：在所有关键系统文件、配置文件和内容文件上部署 FIM。任何未经授权的更改都会在 1 小时内发出警报 (v4.0)。

---

电子商务 PCI DSS 合规性检查表

• 定义和减少支付处理范围（在可能的情况下使用托管支付页面或标记化）
• 根据付款接受方式识别的 SAQ 类型
• 网络分段实施并记录
• 持卡人数据清单已完成 — 任何地方都没有存储 SAD
• 所有持卡人数据存储均已加密（AES-256 或同等格式）
• 所有支付数据传输均强制执行 TLS 1.2+
• 记录支付页面脚本清单（要求 6.4.3）
• 在支付页面上部署更改/篡改检测（要求 11.6.1）
• WAF 部署在所有面向公众的 Web 应用程序前面
• 对所有 CDE 访问强制执行 MFA（要求 8.4.2）
• 唯一的用户 ID、强密码、配置的帐户锁定
• 季度漏洞扫描（内部 + ASV 外部）已完成
• 年度渗透测试已完成，结果已修复
• 部署在 CDE 系统上的文件完整性监控
• 过去 6 个月内审核的防火墙规则
• 为所有接触 CDE 的员工完成安全意识培训
• 事件响应计划涵盖支付卡违规场景
• 供应商/服务提供商 PCI DSS 合规性已验证

---

常见问题

我们的商店使用 Shopify - 我们还需要 PCI DSS 合规性吗？

Shopify 是 PCI DSS 1 级认证的服务提供商。如果您使用 Shopify 的标准付款处理（Shopify Payments 或 Shopify 托管的结帐），您的合规范围将大大缩小。您仍然有义务（主要是 SAQ A）来涵盖您对 Shopify 服务的使用。如果您将自定义 JavaScript 添加到 Shopify 结帐或使用在 Shopify 环境之外处理卡数据的第三方支付应用程序，范围就会扩大。

PCI DSS 合规性和 PCI DSS 认证有什么区别？

商户没有正式的“PCI DSS 认证”。商户通过自我评估问卷或（1 级商户）通过 QSA 进行的合规报告 (RoC) 证明合规性。服务提供商可在 Visa 的全球服务提供商注册处列出。 “认证”和“合规”这两个术语在市场沟通中经常互换使用，但从技术上讲，商家自我证明或具有 QSA 证明的合规性。

违规商家会面临哪些处罚？

处罚并非直接来自 PCI SSC——它们是由卡品牌通过收单银行产生的。每月罚款通常为 5,000 至 100,000 美元，具体取决于商家级别和违规持续时间。违规后，信用卡品牌可能会对每张卡处以罚款（每张 Visa 卡 50 至 90 美元，与万事达卡类似）、取证调查费用（20,000 美元至 200,000 美元以上）以及强制重新发行卡的费用。在严重的情况下，商户完全失去接受银行卡支付的能力。屡犯者或造成重大违规影响的商家将面临最高的处罚。

什么是 Magecart 攻击以及 PCI DSS v4.0 如何解决它？

Magecart 是指将恶意 JavaScript 注入电子商务结账页面以在客户输入持卡人数据时实时拦截的攻击。这些攻击利用商家在支付页面上包含的第三方脚本（分析、聊天小部件、标签管理器）。 PCI DSS v4.0 要求 6.4.3 和 11.6.1 直接解决了这一问题：商户必须清点并验证支付页面上所有脚本的完整性，并部署监控以检测对支付页面代码的未经授权的更改。

我们如何处理无头电子商务架构的 PCI DSS？

无头电子商务将前端表示层与后端商务引擎分开。就 PCI DSS 而言，重要的是持卡人数据流向何处。如果您的无头前端使用 Stripe Elements 或类似的基于 iFrame 的解决方案，卡数据会直接从浏览器传输到支付处理器，而无需接触您的前端服务器 - 这是 SAQ A 领域。如果您的无头架构涉及自定义服务器端支付处理，则范围会显着扩大，您应该聘请 QSA 来获取范围指导。

我们是否需要 QSA 来进行 PCI DSS 评估？

只有 1 级商户（Visa/Mastercard 每年超过 600 万笔交易）需要聘请 QSA 来提供年度合规报告 (RoC)。 2-4 级商家可以通过 SAQ 进行自我证明。然而，即使不需要，许多商家也会自愿聘请 QSA 或合格安全评估公司 (QSAC) 提供指导，特别是当他们不确定其范围或拥有复杂的基础设施时。

---

后续步骤

PCI DSS 合规性可保护客户的支付数据、限制您的责任风险，并且是维持卡接受的先决条件。对于 Shopify 或自定义平台上的电子商务企业来说，第一步始终是缩小范围 - 通过正确使用托管支付页面进入 SAQ A 是最快且最具成本效益的路径。

ECOSIRE 的电子商务实施团队在构建符合 PCI DSS 的 Shopify 商店和定制商务平台方面拥有丰富的经验，其支付架构是从头开始设计的，可最大限度地减少 CDE 范围。

开始使用：ECOSIRE Shopify 服务

免责声明：本指南仅供参考，并不构成法律或合规建议。 PCI DSS 要求可能会因卡品牌和收单机构的不同而发生变化。聘请 QSA 以获得针对您环境的明确合规性指导。