近日，一则国外的信用卡新闻引起了我们的注意，新闻里表示“加拿大有34个联邦机构接受信用卡支付，但其中一半没通过PCI DSS安全测试。”

在17个不合规的机构中，有13家与加拿大共享服务公司（SSC）有关。创建于2011年的SSC，负责它们的数据系统营运及维护。但是，另外4家，包括议会图书馆、国防部、加拿大国家电影局和加拿大职业健康与安全中心则需要为自己的IT系统的安全负责。

那么，PCI认证到底是什么？都有哪些认证标准和项目？

关于PCI认证

PCI全称Payment Card Industry，即支付卡产业联盟，由Visa、Mastercard、American Express、Discover和JCB共同主导成立于2006年，制定和维护PCI PTS(PIN Transaction Security，产品安全标准)、PCI DSS(Data Security Standards，数据安全标准)和PCI PA-DSS(Payment Application Data Security Standards，支付应用数据安全标准)等安全标准体系，旨在促进保护全球支付行业的交易数据安全。负责制定统一的标准，并开展检测认证工作。

PCI组织主要负责维护四类标准和认证业务。

PCI DSS是针对系统和账户信息安全的，适用于收单机构、专业化服务公司以及一些大型商户。国内的银行卡检测中心在2013年就获得了PCI DSS合规评估和安全扫描资质(ASV)授权。

PCI PA-DSS：支付应用数据安全标准,主要针对于“作为授权或结算的一部分，存储、处理或传输持卡人数据，并出售、分发或许可给第三方的机构”。

P2PE标准主要是为银行卡产品中需要进行加密的环节提供技术解决方案。P2PE标准主要包括：加密、解密和密钥管理等几部分。

PCI PTS针对PIN输入设备，也就是各类受理设备，适用于各类终端厂商。

PCI DSS是全球最严格、级别最高的金融机构安全认证标准

上文介绍了PCI主要负责的四项标准和认证业务，而其中PCI DSS的认证可以说是最重要、也是最难的。

PCI DSS认证全称Payment Card Industry（PCI）Data Security Standard（DSS），其信息安全标准有6大项目，12个小项的要求，是目前全球最严格、级别最高的金融机构安全认证标准。

PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体，包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS包括一组保护持卡人信息的基本要求，并可能增加额外的管控措施，以进一步降低风险。

因此对于国内的大型支付机构而言，要想保证数据和信息的安全，通过PCI DSS认证就非常重要了。

那么PCI DSS认证到底有多重要，认证标准涉及哪些项目？认证到底如何才能合规？11月15日，2018第三届中国移动金融安全大会上，移动支付网将邀请清华大学网络与信息安全研究室高级安全顾问，PCI DSS审核员魏克，来为大家详细介绍PCI DSS合规和网络信息安全体系建设。

嘉宾简介：

魏克，现任清华大学网络与信息安全研究室高级安全顾问，CISSP，PCI DSS审核员，ISO27001主任审核员，北京三思网安科技有限公司创始人之一。北京航空航天大学软件工程硕士/经济学硕士（双硕士），主要研究方向为网络与信息安全。

主要承担网络与信息安全方向的科研工作,从事互联网安全威胁监测、安全漏洞检测分析与渗透测试等基础技术的研究与工程实践工作，及支持CCERT服务工作。曾参与国家自然科学基金、863计划、242信息安全计划等多项余项研究课题，申请软件著作权3项，出版合著畅销书《Metasploit渗透测试魔鬼训练营》。

详情见大会官网：http://www.mpaypass.com.cn/MFSC2018/