技能 pci-compliance
🥉 75 青铜
1
下载技能 ZIP
2
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
3
开启并开始使用
测试它
正在使用“pci-compliance”。 支付处理后我可以合法存储哪些数据?
预期结果:
- 你可以存储(如果已加密):主账号 (PAN)、持卡人姓名、有效期、服务代码。
- 你不可以存储:完整的磁条磁道数据、CVV/CVC 代码、PIN 或 PIN 块。
- 最佳实践:使用令牌化以完全避免存储 PAN——让你的支付处理器处理敏感数据存储。
正在使用“pci-compliance”。 我如何减少我的 PCI 合规范围?
预期结果:
- 使用托管支付页面(SAQ A - 最低要求)
- 使用 Stripe.js 或类似工具实施客户端令牌化
- 切勿通过你的服务器传输卡数据
- 对网络进行分段以隔离任何接触卡数据的系统
- 将支付处理外包给 PCI 认证提供商
安全审计
安全v1 • 2/24/2026
All static analysis findings are false positives. The detected 'backtick execution' patterns are markdown code fence syntax (```), not shell commands. The 'env_access' and 'sensitive' detections reference placeholder values in educational code examples. This skill is documentation teaching secure payment handling practices including encryption, tokenization, and access control - promoting security rather than introducing risks.
1
已扫描文件
481
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude
质量评分
38
架构
100
可维护性
87
内容
50
社区
100
安全
100
规范符合性
你能构建什么
支付系统开发
构建支付处理系统的开发人员可使用此技能从一开始就实施符合 PCI 标准的数据处理、加密和令牌化。
合规性审计准备
准备 PCI DSS 评估的安全团队可利用检查清单和需求文档来识别差距和补救需求。
电子商务集成
集成支付网关的团队可了解如何通过托管支付页面和令牌化策略最小化 PCI 范围。
试试这些提示
基本 PCI 要求概述
解释 12 项 PCI DSS 要求,以及哪些适用于使用 Stripe Checkout 的电子商务商店。
加密实现
展示如何在 Python 中使用 AES-256 加密静态持卡人数据,包括密钥管理最佳实践。
令牌化策略
比较 Stripe 令牌化与构建自定义令牌保险库。每种方法对 PCI 范围有什么影响?
审计日志设置
创建一个符合 PCI 要求的审计日志系统,跟踪对支付数据的所有访问,包括必需字段和日志保留策略。
最佳实践
- 在任何情况下都不要存储 CVV、PIN 或完整磁道数据
- 对涉及持卡人信息的所有数据传输使用 TLS 1.2 或更高版本
- 实施基于角色的访问控制,并记录对支付数据的所有访问
避免
- 在应用程序日志中记录完整卡号或 CVV 代码
- 对持卡人数据使用弱加密算法如 DES 或 RC4
- 将卡数据发送到自己的服务器而不是直接发送到支付处理器
常见问题
PCI DSS 合规级别之间有什么区别?
一级商户年交易量超过 600 万笔,需要年度合规报告 (ROC)。二级商户年交易量 100-600 万笔,需要年度自我评估问卷 (SAQ)。三级涵盖 2 万至 100 万笔电子商务交易。四级为年电子商务交易少于 2 万笔或总交易量少于 100 万笔。级别越高,验证要求越严格。
如果我使用 Stripe 或 PayPal,我需要 PCI 合规吗?
是的,但使用托管支付页面可以显著减少你的合规范围。使用 Stripe Checkout 或 PayPal 按钮时,你通常符合 SAQ A(最简单的形式),因为卡数据永远不会接触你的服务器。你仍需完成年度验证并维护基本安全实践。
我必须保留 PCI 审计日志多长时间?
PCI DSS 要求保留审计日志至少一年,其中至少三个月的日志可立即用于分析。日志必须包括用户标识、时间戳、事件类型、成功/失败状态和访问的资源。
我可以将完整信用卡号通过电子邮件发送给客户吗?
不可以。电子邮件未加密,无法满足 PCI DSS 传输要求。切勿通过电子邮件、短信或聊天发送完整 PAN、CVV 或任何持卡人数据。如果客户需要卡信息,仅通过经过身份验证的门户提供安全访问。
PCI DSS 要求什么加密标准?
PCI DSS 要求使用强加密算法,如 AES-256、RSA-2048 或更高版本,或同等算法。禁止使用弱算法如 DES、RC4 和 1.2 以下版本的 SSL/TLS。加密密钥必须安全管理,并具有适当的轮换策略。
PCI 合规需要防火墙吗?
是的。要求 1 强制要求安装和维护防火墙以保护持卡人数据环境。防火墙必须限制不受信任的网络与处理支付数据的系统之间的连接,并具有文档化的配置标准和定期审查。