PCI-DSS 合規性與 WooCommerce

什麼是 PCI-DSS?

Payment Card Industry Data Security Standard(PCI-DSS)是由 Payment Card Industry Security Standards Council(PCI SSC)制定的一套可執行規則。主要目標是促進全球一致的資料安全實踐並減少信用卡詐騙。

這些規則適用於儲存、處理或傳輸持卡人資料的任何人。關於 PCI-DSS 的更多資訊,請查閱 Quick Reference Guide。

我需要符合 PCI-DSS 嗎?

若儲存、處理或傳輸 PCI SSC 術語表中定義的持卡人資料,則 PCI-DSS 適用於你。

若使用在外部網站處理付款或透過託管欄位(如 Stripe、PayPal 或 WooPayments)的金流,商店不會直接處理原始持卡人資料。但因為商店仍提供結帳頁面,PCI-DSS 仍然適用 — 儘管合規性範圍可能大幅縮小。

推薦的金流

選擇支援託管欄位的金流是符合 PCI 規範的最佳選擇。

PCI-DSS 核心要求

12 項 PCI-DSS 核心要求如下:

1. 安裝並維護網路安全控制。
2. 對所有系統元件套用安全設定。

保護帳號資料|

3. 保護儲存的帳號資料。
4. 在開放公共網路傳輸持卡人資料時使用強加密保護。

維護漏洞管理計畫|

5. 保護所有系統與網路免受惡意軟體攻擊。
6. 開發並維護安全的系統與軟體。

實施強存取控制措施|

7. 根據業務需知原則限制對系統元件與持卡人資料的存取。
8. 識別使用者並驗證對系統元件的存取。
9. 限制對持卡人資料的實體存取。

定期監控與測試網路|

10. 記錄並監控所有對系統元件與持卡人資料的存取。
11. 定期測試系統與網路的安全性。

維護資訊安全政策|

12. 以組織政策與計畫支援資訊安全。

最後更新: 2025 年 6 月 6 日。此摘要反映 PCI DSS v4.0.1 定義的 12 項核心要求。完整詳情及最新文件請造訪 PCI SSC 網站。

回報合規性

PCI 合規性通常由金流業者執行,可能要求完成自我評估問卷(SAQ)或接受 核准掃描供應商(ASV)的掃描。

WooCommerce 與 PCI 合規性

PCI DSS 合規性最終是商店所有者的責任。WooCommerce 核心外掛並未獲得 PCI 認證,因為它不處理持卡人資料或直接處理付款。但商店一旦開始接受信用卡付款 — 即使透過如 WooPayments 等安全的託管金流 — 仍屬於 PCI DSS 範圍。商店可透過使用安全的主機環境、遵循安全最佳實踐並整合符合 PCI 規範的金流來符合合規性要求。

許多 PCI 要求適用於更廣泛的環境 — 包括主機供應商、使用的外掛,以及使用者存取、更新和安全掃描的政策。

以下是一些考量事項:

1. 與主機商或網路管理員合作適當設定防火牆。
2. 使用強密碼並確保主機環境安全。
3. WooCommerce 絕不儲存信用卡詳細資訊,官方 WooCommerce 金流使用付款代幣時僅保留部分資料(例如末四碼)。
4. 在結帳頁面使用 SSL,並確保主機支援。
5. 詢問主機商關於惡意軟體防護與安全系統維護。
6. 使用 WordPress 角色並在管理管理員使用者時遵循最小權限原則。
7. 盡可能記錄並審查管理員級別的活動,並限制對敏感區域的存取。
8. 與主機商或開發人員協調以保護資料存取與儲存。
9. 若金流業者要求,使用 ASV。
10. 制定並維護關於 PCI-DSS 的政策,並進行定期風險評估。

若要達成 PCI 合規性,首先:

• 使用強密碼並最小化對管理員環境的存取。
• 絕不在伺服器或商店儲存信用卡資料。
• 使用 SSL 加密結帳與帳號頁面的流量。
• 保持外掛、主題、WordPress 與 WooCommerce 更新。
• 使用 ASV 定期掃描商店。