PCI批准的设备，如果我的POS是符合PCI的，如果它只是将信息传递给网关而不存储加密的卡片数据，这是否重要？

Question

如果我的硬件设备在PCI列表上，https://www.pcisecuritystandards.org/approved_公司_提供者/核定数_引脚_事务_security.php

我的POS是否需要兼容PCI，因为POS无法解除数据的加密，因为它是点对点批准的PCI加密解决方案？加密的点对点解决方案将卡片数据发送到网关，POS只接收令牌信息。

Answer 1

在您参考的PCI安全标准网站上，您可以找到这视频，其中总结了针对小型企业的点对点加密(P2PE) (假设您是一家小型企业)。

视频的要点是，由于P2PE加密敏感卡数据，而您作为商人无法访问它，因此在PCI审核期间，您的系统被排除在卡数据保护要求之外。相反，专门保护卡持有者数据的责任转移到了P2PE服务提供商。这取决于服务提供商获得他们为您提供的P2PE解决方案的自己的认证。表面上，如果你是一个商人，这就抽象出了保护数据的成本和精力。

这很容易让人认为这可以免除您遵守PCI的要求，但是视频最后警告您，作为一个商人，您仍然受到PCI的约束。这是因为PCI不仅仅是保护敏感卡数据.您还需要保护事务发生的环境。例如，如果您不在POS系统上使用密码，您可能会失败PCI审计，因为这样任何人都可能会出现并破坏P2PE解决方案。或者打开不安全的网络连接。或者干脆中断P2PE实现来拒绝合法的事务(同样违反PCI的DoS攻击)。

在您的POS上实现P2PE解决方案意味着您作为商家更有可能被认证为符合PCI的，因为这样您就可以免于保护持卡人的数据。但PCI不仅仅是保护数据，而是保护事务本身和事务中的所有各方。