当作为信用卡详细信息的传递时，符合PCI的要求。

Question

我在一家初创公司工作，我们从发卡商那里生产预付费万事达卡。在我们的数据库中，我们保存了一个卡片参考id，而不是16位数字的PAN或CVC。稍后，我们对发卡者进行API，以获取PAN和CVC，并将它们发布到零售商在线商店(零售商正在使用Salesforce Commerce Cloud)。在零售商站点上，PAN和CVC由支付处理器进行处理。

所有的通信(从我们的服务器到发卡者，从我们的服务器到零售商商店)都是通过SSL完成的。我认为，因为我们不存储PAN或CVC，而是作为一个传递，我们不需要是符合PCI的。这是正确的吗？

Answer 1

来自：https://www.pcicomplianceguide.org/faq/#2

PCI DSS适用于接受、传输或存储任何持卡人数据的任何组织，无论交易大小或数量如何。

正如您在上述声明中所述，您都接受并将持卡人数据从您自己发送到零售商，所以是的，您需要符合PCI。

Answer 2

另一个答案是，由于您对PAN有任何程度的可见性，所以您需要满足PCI要求。

有一些结构性的划分，比如ISP不需要提交关于跨线传输的PAN遵从性的报告，因为这些PAN是ISP的客户的责任。但是，这个问题描述了一个明确的创建和交换can的场景，这样您就可以被证明负有责任，并且应该保持遵从性实践。

遵从程度取决于您参与的交易数量，而在您的情况下，由于您似乎在每个持卡人交易中都看到了PAN，这可能是相当大的。在遵约要求方面也存在着重大差异，这取决于你是“将”平底锅“存放在休息处”，还是只是“在运输中”与它们一起工作，后者所涉及的要求较少。

听起来，您应该能够保持您的遵从在传输条件，但您可以很容易地发现自己的一个at rest架构，如果你做一些简单的事情，如“暂时”缓存平底锅在一个红色。

总之，我对一件事很好奇--你需要和谁建立这种合规关系。它应该通过收购银行支持你的发卡者--如果他们自己不是一家银行--而你与发行人的合同应该包含这方面的语言。如果没有--如果你已经在这个行业中，并且你目前不知道你需要向谁或谁提交RoC或类似的东西，你可能已经为你自己创造了很多的责任。

PCI从根本上只是一堆商业合同，而不是像HIPAA这样的政府监管。如果你参与了面盆的制造和交换，但出了什么问题，而且你没有合同条款和保护条款，或者保险为你提供保险，那么就会出现一场诉讼，让你破产。

我建议先看一下你们与发行人的协议，那里一定有什么东西。

Answer 3

PCI的遵从性是契约性的，所以重要的问题是您与谁签订了一项要求您遵守合同的合同，以及谁将要求您验证您的遵从性。在这种情况下，您的关系是与一个预付的万事达发行人，所以您与他们的合同无疑将要求您遵守PCI并向他们提供一份合规报告(RoC)。