在线安全和保护措施：所有电子商务所有者都需要了解PCI合规性

现代科技世界可能是一个令人恐惧的地方。当然，互联网为发达国家带来了信息的民主化，而且还在继续新兴和发展中国家在全球范围内。大数据开始达到催化剂点，其使用及其盈利能力并行增长 - 并以指数率增长。然而，随着我们所有现代技术和创新，一个非常真正的关注仍然在大多数消费者的心中重视：安全性。

在电子商务行业，情况更是如此——这个行业充斥着入侵和黑客攻击的故事。无论是沃尔玛、塔吉特还是家得宝，几乎没有零售商是安全的。事实上，2014年的报告显示一些43％的公司数据被泄露了。

这是很多信息落入了错误的手，但在我们真正开始担心之前，知道这一点：有解决方案。

PCI(支付卡行业)数据安全标准

的PCI安全标准委员会(PCI SSC)定义了一系列与所有商户相关的特定数据安全标准(DSS)，而不考虑收入和信用卡交易量。

实现和维护PCI合规是组织承诺，以确保他们遵守PCI SSC定义的安全标准。

SSC定义和管理这些标准，而信用卡公司自己执行这些标准。同样，这些标准适用于处理持卡人数据的所有组织。持卡人数据专门指信用卡号码，以及持卡人姓名、到期日和安全代码(CSC)。

而且，这是踢球者：零售商有责任确保PCI合规性。对于操作的在线零售商，操作基于SaaS的电子商务商店，没有任何信用卡持卡人数据（对于大多数现代SaaS商务平台的情况），您需要完全减轻PCI合规性的需求。沉重的提升被专家们正在处理您的技术后端。

如果您托管并管理您自己的电子商务平台，您将需要确保您的组织的PCI遵从性，而第一步是确定所需的遵从性水平。

所有在线商家都以12个月的时间内基于信用卡或借记卡交易量的四个级别之一。1级是最严格的DSS要求，其中4级是最不严格的：

几乎所有中小型企业（SMBS）分类为较低级别的3级或4级商家，但这并不排除必须保持与更大组织相同的勤奋的遵守情况。事实上，在SMBS中遇到的，这是一个昂贵的误解，她们认为他们根本不需要担心合规性，因为他们没有足够的在线或店内销售。

如何自行实现PCI合规性

PCI DSS遵循镜像安全最佳实践的常识步骤。遵守PCI DSS有三个步骤 - 这不是一个事件，而是一个连续的，正在进行的过程：

• 第一的，评估:确定您负责的持卡人数据，清点您的IT资产和用于支付卡处理的业务流程，并分析它们是否存在可能暴露持卡人数据的漏洞。
• 第二，纠正:修复漏洞，不存储持卡人数据，除非你绝对需要。无论何时何地，持卡人的数据都可以由外部的合格机构而不是您自己保存，这是最理想的，因为没有什么比完全不存储或传输信用卡数据更快地达到即时合规。
• 第三,报告:编制并提交所需的补救验证记录(如适用)，并向与您有业务往来的收单银行和信用卡品牌提交合规报告。

请记住，在一定规模上的网上商家需要季度外部漏洞扫描。最大的商家需要遵守余额审计。

总之，网络安全和数据保护标准不断提高。SaaS技术将这种类型的保护构建到它们的平台中，对于不使用SaaS解决方案的在线企业，它们需要达到类似于任何其他在线商户的合规级别。

我相信内特·西尔弗说得很好。在最近一期《魔鬼经济学》播客中，希尔简要谈到了大规模采用新技术时的人为错误。

他说:“20世纪70年代，个人电脑开始在工作场所普遍使用，然后在80年代初进入家庭使用。过了一段时间，经济中才出现生产率提高的任何有形迹象——这意味着10年、15年甚至20年。所以我认为人们喜欢新技术，但是他们高估了阻碍他们的人为因素。我并不是想耍小聪明，我只是想说人们需要学习如何使用这些工具，他们能做什么，不能做什么。”

网络安全正开始达到市场饱和的高度。这意味着，就像电脑一样，人们将网络数据保护视为必需品，而不是必需品。当然，大公司的违规行为将这个问题带入了公众的视野，但从那以后，已经做了很多工作来教育公众和网上商家，让他们了解问题的全面范围和可能的解决方案。

PCI合规只是拟订的许多法规之一，以保护两家在线企业以及客户。