介绍

PCI DSS即Payment Card Industry Data Security Standard（付款卡行业数据安全标准），是由金融机构、支付品牌（如VISA、Mastercard等）为了保障支付卡数据安全所共同制定的标准。该标准主要包括6个方面的要求：

1.建立和维护安全的网络环境，保护网络资产，防止恶意程序的侵入。

2.管理系统和应用程序的安全，设定安全密码，限制用户访问权限。

3.维护数据的安全，加密传输的数据，保护存储的数据和加强访问控制。

4.实施安全的访问控制，确保授权的访问和限制没有授权的访问。

5.保护支付卡信息，保障数据机密性和完整性，防止信息泄露及篡改。

6.监测和测试网络环境与系统的安全性能，确保网络环境和系统安全合规。

GO Distributor PCI DSS

PCI提供了一系列旨在增强持卡人安全性的要求，包括持卡人数据存储安全、数据传输安全和数据访问安全。此标准有助于降低数据盗窃、身份欺诈和未经授权的交易等风险。

DerbySoft使用各种技术和流程来保护存储在DerbySoft服务器上的信息，加密客户传输的数据，限制对系统组件和客户信用数据的访问，并有效跟踪和监控信用数据链接。基于AWS服务，构建了一个完全符合PCI安全合规要求的数据环境。其中，在限制对系统组件和客户信用数据的访问方面，公司采用防火墙规则来严格控制有效的客户IP，以确保数据访问安全。

随着产品功能的逐步完善，使用该产品的客户数量逐渐增加，因此客户自助服务的需求也逐渐增加，为了确保客户信用数据的安全，提高产品服务效率，减少人工干预，DerbySoft建议构建一个新的PCI环境，不仅满足PCI安全合规性要求，还满足产品开发的需要。

安全说明

数据存储安全

新PCI环境的数据存储安全仍然由系统部门的SDC服务保证。

数据传输安全

在开放或公共网络访问过程中，所有系统请求都采用HTTPS协议，以确保客户端和服务器之间的加密数据传输，并确保在网络传输过程中客户端数据不会被截取或窃听。

数据访问安全

数据访问安全主要分为数据入口安全和数据出口安全，新PCI环境将通过颁发具有指定有效期的API密钥来验证数据发送方（渠道）的真实身份，以确保数据入口的安全。至于数据出口安全，它依赖于数据接收方（供应商）端的安全有效设置，以确保客户数据安全地交付给指定接收方。上述数据访问安全性取决于API Key和Endpoint的操作安全性。只有确保涉及API Key和Endpoint的操作可靠且可认证，才能真正保证数据访问安全。

合规性声明

GO Console 中的所有客户操作都将通过日志系统进行记录，以确保可以查询、跟踪和验证操作历史，以满足PCI合规性审核。

信用卡信息安全流程

API密钥和端点安全过程

所有涉及API密钥和端点的安全操作（创建、修改等）都是由客户在POA环境之外的GO Console 上启动的。验证后，它们由POA环境中的安全网关处理。

API密钥有效期

所有客户的API密钥均由指定的哈希算法生成，有效期为六个月。