PCI 合规概述

本文内容：

• PCI 合规摘要
• PCI 合规概述
• PCI 期望
• PCI 职责
• 我们 PCI 计划的变更
• PCI 文档
• PCI 详细要求
• PCI 合规成本

PCI 合规摘要

每个接受支付卡的 Toast 客户必须符合 PCI 合规，因此了解这意味着什么非常重要。Toast 正在不断加强其支付系统和平台，并代表客户满足更多这些要求。我们 PCI 计划的最新更新使客户更容易履行其 PCI 职责。本文提供了 PCI 的概述，如何访问责任文档，以及这些变更如何影响 Toast 客户。

返回顶部

PCI 合规概述

“PCI”是“PCI DSS”的缩写，代表支付卡行业数据安全标准。这指的是一套处理您客人支付卡信息的规则，以最小化卡数据被盗的风险。每个接受信用卡支付的商家，即使每月只有少数几张信用卡，也必须确保以符合这些要求的方式进行支付。这就是所谓的“PCI合规”。
 
要理解如何符合PCI标准，首先必须了解为什么必须合规，谁负责执行每项PCI要求，以及每年需要做什么。本文旨在帮助减少关于Toast的PCI合规的混淆，并帮助您确保满足这些要求。

PCI期望

作为Toast的客户，您需要符合PCI标准。Toast也需要符合PCI标准。 请注意，如果您与其他商户支付提供商有其他协议（例如，针对不相关的业务），他们也可能要求您符合PCI标准。 

然而，重要的是要理解这些义务并不重叠：其他商户支付提供商对您施加的任何PCI要求不应包括您的Toast设备或服务，因为我们的设备只能用于通过Toast的商户处理服务处理客户支付卡数据。同样，当您接近满足Toast处理的客户支付卡数据的PCI合规要求时，您在Toast的PCI合规不应包括其他商户服务提供商提供的设备或平台。

这听起来可能很明显，但Toast的客户常常错误地假设，因为他们必须提交自我评估问卷（SAQ）或获得合规报告（ROC）以满足其他商户支付提供商的义务，因此他们必须在此报告中包括他们的Toast设备。 Toast在我们的“QSA指南”中提供了关于此主题的更技术性讨论，可以向客户服务代表请求。

PCI职责

现在，关于在Toast设备和平台上符合PCI标准的义务，在使用Toast平台和批准的设备接受信用卡支付时，Toast负责大部分PCI要求。 

正式文件称为责任指南。 Toast有多个责任指南，涵盖我们与支付处理相关的各种产品和能力，可以通过您的入职顾问、客户成功与服务团队或客户支持请求。查看适当的责任指南，以了解您的责任与Toast承诺代表您满足的责任之间的详细信息。还有一些责任是共享的，提供了每项责任的详细信息，以了解这对您的环境意味着什么。与您的管理层和IT团队合作，实施这些文件中概述的政策，以满足您的Toast PCI要求.

我们PCI程序的变更

Toast很高兴地宣布，它已获得对其支付软件的独立验证，该软件在所有Toast POS产品中使用，并完成了所有支持的卡捕获设备和POS设备的迁移，以使用强化配置、强加密和微分段。 我们现在已完成对我们支付生态系统的独立第三方评估，并确认所有支付设备均符合或超过PCI要求，从而消除了许多网络级控制的需要。 由于这些改进，Toast很高兴通过对许多PCI DSS要求承担全部责任来传递这些改进的好处。

PCI文档

最后，虽然许多POS提供商和商户处理器要求其客户每年提交称为SAQ（自我评估问卷）和/或AOC（合规性证明）的文档，但大多数Toast客户不需要提交此类PCI合规文档或聘请公司进行漏洞扫描。Toast不会发送电子邮件要求您完成任何这些文档。如果您收到这样的电子邮件，请仔细检查以确定它是否来自其他平台提供商——也许您忘记取消之前的POS服务提供商或商户账户？

PCI要求详细信息

关于PCI要求的所有讨论，但它们到底是什么？  下表是PCI DSS的一般概述。这些要求中的每一个都包含多个子要求，正如上面所述，可能由Toast、您或两者的组合来执行。请查看我们的Toast PCI责任指南以获取更多信息，包括按责任划分的完整要求列表。

PCI合规成本

未能维持PCI合规的企业将面临数据泄露的风险，这可能会对其品牌造成损害，导致罚款、卡片更换费用、取证审计费用等。使用不符合许多这些要求的销售点系统、电子商务平台和其他支付服务的企业必须花费时间和费用来保护这些系统，以避免这些后果。使用满足这些需求的平台是明智的选择。

幸运的是，Toast就是这样一个平台。它代表其客户遵守几乎所有的PCI要求。这几乎消除了Toast客户额外的PCI相关费用的需要。请查看Toast PCI责任指南以了解更多信息。活跃客户可以通过客户服务请求这些指南，具体取决于他们的支付渠道。