PCI合规证书

认证 · PCI DSS

已完成所有控制领域的独立质量安全评估 (QSA)

Shufti 已获得 PCI DSS 认证，该认证由合格安全评估师 (QSA) 进行评估。QSA 是一家独立的、经 PCI 理事会认可的审计机构，通过证据审查、技术测试和访谈验证了 Shufti 的控制措施。集成 Shufti 即意味着您集成了一个经过独立审计的平台，该审计标准与您自身的卡片处理基础设施必须满足的标准相同。

预约演示联系我们

什么是PCI DSS？

支付卡行业数据安全标准 (PCI DSS) 是一项全球安全标准，适用于任何存储、处理或传输支付卡数据的组织。它由支付卡行业安全标准委员会 (PCI SSC) 负责执行，涵盖 6 个安全领域的 12 项要求。对于 Shufti 集成而言，PCI DSS 的两个版本至关重要。

12项控制要求

网络安全、数据保护、漏洞管理、访问控制、监控和信息安全策略。QSA（合格安全评估师）会根据实际生产环境证据、防火墙配置、加密实施、访问日志、补丁记录、渗透测试结果和事件响应流程来验证每个域。

PCI DSS 4.0（2025 年 3 月）

PCI DSS 4.0 新增了一些要求，许多平台仍在努力跟进：强制所有持卡人数据环境访问使用多因素身份验证 (MFA)、增强审计日志记录以及进行针对性的风险分析。这些要求于 2025 年 3 月强制生效。Shufti 已提前满足这些要求，在强制执行之前就已部署了相关功能。

为什么重要

如果您的验证工作流程涉及支付或财务数据（对于大多数金融科技、银行和电子商务部署而言，这种情况很常见），那么该流程中任何未获得 PCI DSS 认证的供应商都会给您的持卡人数据环境带来合规风险。评估您基础设施的合格安全评估机构 (QSA) 会询问有关第三方供应商的信息。

我们可以直接向您的合格安全评估机构 (QSA) 提供我们的合规性证明 (AoC)。

这样就缩小了他们对 Shufti 集成层的评估范围。他们不再需要您的团队独立验证 Shufti 控制措施，而是直接接受合规性声明 (AoC) 作为证据。这可以节省您下次 PCI 审核周期的时间和成本。

每月 100 万美元

PCI合规性违规的最高罚款金额，还不包括单独计算的审计费用（最高可达500万美元）。Shufti的合规协议（AoC）使我们从贵公司QSA的合规责任范围中移除。

Shufti如何维护IT

Shufti 的 PCI DSS 合规性证明由 QSA 在每次年度评估后颁发。所有传输中的数据均使用 TLS 1.2 或更高版本；所有存储的身份证明文件图像和生物识别数据均使用 AES-256 加密。在访问持卡人数据环境的每个入口点都强制执行多因素身份验证 (MFA)，QSA 评估期间审查的访问日志可对此进行审计。

我们在QSA周期之间每季度进行漏洞扫描，每年进行一次渗透测试。这两项测试的证据都包含在AoC文档包中。

认证细节

评估者

经 PCI 委员会批准的独立合格安全评估师 (QSA)。

版本

PCI DSS 4.0，全部 12 项要求，全部 6 个安全域。

适用范围

身份文件处理、生物识别数据和验证输出流程。

评估类型

由独立QSA进行评估，而非自我评估。

你得到什么

您的合格安全评估师 (QSA) 可直接签署申请，获得合规性证明 (AoC)。