如果你的在线商店在涉及支付表单的页面上加载了哪怕一个第三方脚本,你就不能再假设最简单版本的 PCI 合规性适用于你。埋在 PCI DSS v4.0.1 常见问题解答(FAQ)中的这一行文字,在 2026 年悄然重新划定了数十万小规模商户的合规版图——其中许多人直到收单机构要求提供他们无法出示的证据时才会意识到这一点。
PCI DSS v4.0.1 并非只是轻微的更新。自 2025 年 3 月 31 日起,64 项新增或更新的要求已成为强制性要求,2026 年的所有评估都将依据这一新标准进行。此外,最简便的自我评估问卷(SAQ)的适用规则也已收紧,这让大多数采用外包模式的电子商务商店措手不及。好消息是,对于头脑清晰且备有清单的小企业来说,该标准仍然是可以应对的。坏消息是,“我们使用 Stripe Checkout,所以没问题”已不再是万能的挡箭牌。
本指南将详细介绍发生的变化、你的业务真正需要哪份问卷、吞噬了旧版 SAQ A 的两项新要求(6.4.3 和 11.6.1)、让小团队栽跟头的身份验证规则,以及搞错这些要求的现实代价。
2026 年 PCI DSS 的现状
支付卡行业数据安全标准(PCI DSS)是由主要卡组织(Visa、Mastercard、American Express、Discover、JCB)制定的契约性规则手册,适用于任何存储、处理或传输持卡人数据的业务。你不需要“向政府提交”这些材料。你的收单机构(允许你接受卡片支付的银行或处理器)通过商户协议强制执行该标准,并在出现问题时收取罚金。
PCI DSS v4.0 发布于 2022 年 3 月。v4.0.1 作为澄清版本而非新标准,于 2024 年年中成为正式版本。过渡时间表已于 2025 年 3 月 31 日结束:从该日期起,所有 51 项延期生效的要求都已进入合规范围,且没有宽限期,2026 年期间进行的所有评估都将依据 v4.0.1 进行。v3.2.1 选项已不复存在。
12 个高层级的要求系列保持不变,组织在六个控制目标下:
- 建立并维护安全的网络:防火墙和供应商默认设置(要求 1–2)
- 保护持卡人数据:存储的数据和传输中的数据(要求 3–4)
- 维护漏洞管理计划:防恶意软件和安全开发(要求 5–6)
- 实施强效访问控制:按需知密原则、身份识别、物理访问(要求 7–9)
- 定期监控和测试网络:日志记录和测试(要求 10–11)
- 维护信息安全政策:治理(要求 12)
v4.0.1 的变化在于深度而非广度。该标准现在要求你思考脚本如何在支付页面上执行、你多久审查一次自己的控制措施、你如何验证管理员身份,以及你的簿记员五年前设置的密码是否仍然合格。
商户级别:大多数小企业的归属
卡组织根据年度交易量将每家商户划分为四个级别。级别决定了合规性如何验证,而非标准是否适用。
- 1 级:每年超过 600 万笔卡交易,或任何遭受过已证实的账户数据泄露的商户。需要由合规安全评估师 (QSA) 进行年度现场评估,并由认可的扫描服务商 (ASV) 进行季度扫描。
- 2 级:每年 100 万至 600 万笔交易。通常需要年度 SAQ 或现场 QSA 评估,具体取决于卡品牌。
- 3 级:每年 20,000 至 100 万笔电子商务交易。需要年度 SAQ 以及季度 ASV 扫描。
- 4 级:每年少于 20,000 笔电子商务交易,或所有渠道合计交易量在 100 万笔以下。需要年度 SAQ,且对于大多数渠道,需要季度 ASV 扫描。
如果你经营一家在线精品店、一个 SaaS 计费流程、一项区域性服务业务或一家单点餐饮店,你几乎肯定属于第 4 级。这是全球绝大多数商户的现状。虽然验证过程更简单,但底层标准是完全相同的——年交易量仅 200 笔的商户发生的卡号泄露,与大型企业的泄露处理方式并无二致。
自我评估问卷:选择正确的一份
自我评估问卷(SAQ)是 2 级至 4 级商户证明合规性的方式。PCI 委员会维护着 9 种 SAQ,选择哪一种取决于你的支付数据具体如何流转。选错 SAQ 是小规模商户最常犯的错误。
- SAQ A:将所有持卡人数据功能完全外包给经过 PCI DSS 验证的第三方的电子商务或邮件/电话订单商户。这曾经是使用 Shopify、Stripe Checkout 和 PayPal 的商户的“捷径”,但请参阅下一节,因为适用规则已经收紧。
- SAQ A-EP:部分外包支付处理,但其网站仍会影响交易安全的电子商务商户(例如,自行构建结账页面并调用支付 API 的网站)。
- SAQ B:仅使用压印机或独立的拨号终端的商户。没有互联网连接接触卡数据。
- SAQ B-IP:使用独立 IP 连接支付终端(大多数现代台式终端)的商户。
- SAQ C-VT:通过隔离工作站上的虚拟终端输入卡数据的商户。
- SAQ C:拥有连接到互联网且不存储数据的支付应用程序的商户。
- SAQ P2PE:使用经过验证的点对点加密 (P2PE) 解决方案的商户。
- SAQ D-Merchant:不符合任何其他 SAQ 要求的商户的“兜底”分类,也是篇幅最长的一种。
- SAQ D-Service Provider:适用于符合自我评估条件的第三方服务提供商。
每份 SAQ 仅询问与该受理模式相关的 300 多项控制措施中的子集。SAQ A 只有不到 30 个问题;SAQ D-Merchant 则有超过 250 个。工作量的差异是巨大的,这就是为什么商户只要条件允许,都希望符合 SAQ A 的要求。
SAQ A 资格陷阱
2026 年小型电子商务商户需要了解的最大变化是,究竟谁才有资格申请 SAQ A。PCI 安全标准委员会在 2025 年初发布了 FAQ 1588,并显著收紧了评判标准。
在 v4.0.1 版本下,只有当你能够确认你的电子商务页面——包括包含嵌入式支付 iframe 或重定向的页面——不受可能影响支付环境的脚本攻击时,才可以使用 SAQ A。这是为了应对席卷而来的数字盗刷攻击(通常被称为“Magecart”)。在这类攻击中,攻击者通过入侵第三方 JavaScript 库,即使是在那些认为自己已经外包了所有支付环节的网站上,也能窃取卡片数据。
在实践中,你可以通过以下两种方式之一来满足这一要求:
- 自行实施要求项 6.4.3 和 11.6.1 中的脚本保护措施。 盘点支付页面上加载的每一个脚本,授权每一个脚本,说明其必要性,并部署一种变更和篡改检测机制,以便在 HTTP 响应头或页面内容发生异常变化时向你发出警报。该机制必须至少每七天评估一次支付页面,或者按照你通过针对性风险分析确定的频率进行评估。
- 从你的支付处理器处获得书面确认,证明其嵌入式解决方案已代表你内置了针对基于脚本攻击的保护功能。
第二条路径是大多数小商户会选择的,但它并不是自动生效的。你需要一份来自处理器的证明文件,而不仅仅是一个营销页面。许多 Stripe、Adyen、Braintree 和 Square 的商户会发现他们的处理器已经发布了合规证明;但一些规模较小的网关尚未发布。如果你的处理器无法为你提供书面确认,那么你将面临申请 SAQ A-EP 或自行构建控制措施的局面。
如果你的“外包”结账流程实际上加载了任何由商户控制且可能影响支付表单的 JavaScript(如分析工具、A/B 测试、聊天小组件、标签管理器),那么保守的解读是,无论你的处理器如何承诺,你都不再符合 SAQ A 的资格。
身份验证:困扰小团队的两条规则
无论适用哪种 SAQ,v4.0.1 中的两项访问控制变更几乎让所有小企业措手不及。
要求项 8.3.6:密码必须至少 12 个字符。 如果系统仅支持 8 个字符,你可以维持 8 个,但任何功能更强的系统都必须提高要求。密码必须同时包含数字和字母字符。v3.2.1 中旧的 7 个字符最低要求已成为历史。
要求项 8.4.2:对进入持卡人数据环境的所有访问实施多重身份验证 (MFA)。 以前,MFA 仅要求管理员进行远程访问时使用。在 v4.0.1 下,任何人——无论是管理员、开发人员、第三方支持人员,还是你本人——每次访问持卡人数据环境中的任何系统组件时都需要 MFA,而不仅仅是从网络外部连接时。MFA 本身必须能够抵御重放攻击,并至少包含以下两项:你知道的信息、你拥有的物品、你的生物特征。
对于小商户来说,实际的转化工作是:在你的处理器门户、托管控制面板、域名注册商、DNS 提供商、电子商务管理后台、POS 系统后台以及任何接触这些系统的笔记本电脑上开启 MFA。请使用身份验证器应用程序或硬件密钥——尽管标准在技术上仍允许基于短信的 MFA,但它越来越被认为是不够安全的。
针对性风险分析:你可能需要的文件
PCI DSS v4.x 引入了针对性风险分析 (TRA)——这是一份简短的证明文件,用于证明你执行某些控制措施的频率是合理的。大约有十二项要求将“由实体的针对性风险分析定义的频率”作为一个选项。
要求项 12.3.1 明确了 TRA 必须包含的内容:识别受保护的资产、缓解的威胁、影响可能性和后果的因素,以及选择该频率的理由。PCI 委员会在标准的附录 E2 中发布了一个模板。
对于第 4 级 (Level 4) 商户,这通常是针对每项控制措施的一页纸文档。要避免的错误是完全忽略它。如果你的评估员或收单机构询问你为什么每 30 天而不是每 7 天扫描一次支付页面的篡改情况,回答“我们认为这足够了”是不可接受的;而“这是我们日期为 2026 年 1 月 14 日、由负责人签字的 TRA”则是标准答案。
请远离 v4.0 的自定义方法 (customized approach)。它是为拥有专门安全团队、风险管理成熟的企业设计的;对于小商户来说,带有明确清单的定义方法 (defined approach) 更快、更省钱且更容易辩护。
违规的实际代价
小商户往往低估了财务风险,因为在罚款真正降临之前,它们听起来像是假设性的。然而,从收单机构费率表和行业报告中收集的数据令人警醒。
常规违规——例如未能提交 SAQ、ASV 扫描过期——通常会触发收单机构的每月罚款,起步价为每月 5,000 至 10,000 美元。在违规持续三到六个月后,这些罚金通常会升级到每月 25,000 至 50,000 美元,长期违规甚至可达每月 100,000 美元以上。收单机构还可以提高你的每笔交易处理费或终止商户账户,这往往比罚款更具杀伤力。
确认发生的数据泄露则完全是另一个量级。卡组织会针对每条泄露记录收取大约 50 到 90 美元的罚金,此外还有强制性的鉴证调查费用(15,000 美元起)、卡组织转嫁给商户的补卡费,以及由于欺诈交易产生的拒付。行业研究表明,中型商户发生支付卡泄露的平均总成本在 15 万至 300 万美元之间,大型泄露的损失更是数以百万计。对于第 4 级商户,每年的合规成本可能只需 3,000 美元,而一次泄露就可能抹掉十年的利润。
各州法律和联邦贸易委员会 (FTC) 也会介入。通知成本、律师费、集体诉讼风险以及监管机构的后续行动,其费用通常会超过卡组织本身的罚金。
2026 年小商家实用合规清单
虽然标准总体上令人望而生畏,但典型的小型电子商务或服务商家的清单是有限的。请按以下顺序进行操作。
- 以书面形式向你的收单机构确认你的商家级别。 级别是根据收单关系分配的,而非全球统一。
- 绘制你的持卡人数据流向图。 画一张图表,显示卡片数据从哪里进入、流向何处以及从哪里离开。如果卡片数据曾进入你的服务器,你的合规范围将大幅扩大。
- 选择正确的 SAQ(自评估问卷)。 仔细阅读每个选项。如果你是声明 SAQ A 的电子商务商家,请根据 FAQ 1588 验证你的资格。
- 从你的支付处理商处获得书面确认,了解其嵌入式解决方案的脚本攻击保护情况。将其归档至你的合规记录中。
- 盘点支付页面上的每个脚本。 如果无法获得处理商的确认,请准备实施要求 6.4.3(授权脚本)和 11.6.1(篡改检测)。
- 在管理员可以触及支付系统的任何地方启用多因素身份验证 (MFA)。 使用身份验证器应用程序,而非短信 (SMS)。
- 将密码提高到 12 位以上,并包含数字和字母混合内容。
- 如果你的 SAQ 要求(大多数面向互联网的系统都需要),请安排每季度一次的 ASV 扫描。
- 针对任何由你自行设定频率的控制措施,记录一份针对性风险分析。
- 编写信息安全策略(要求 12)。一份简单的一页文档,涵盖可接受的使用规范、事件响应联系人和年度审核计划,即可满足小商家的基本要求。
- 每年培训每一位接触支付的员工。保留签到表或在线学习记录。
- 按期向你的收单机构提交 SAQ 和合规证明 (AOC)。将其列入日程表。
即使按照这种详细程度,一个专注的周末工作加上几百美元的 ASV 扫描费用,就能覆盖大多数小商家的需求。
簿记如何与此关联
PCI 合规不仅是一项安全任务——它具有直接的会计后果。合规成本(SAQ 工具、ASV 扫描、MFA 硬件、篡改检测服务)、随合规状态变化的支付处理费,以及任何罚款或补救支出,都会流经你的账簿。数据泄露产生的收入影响也是如此:退单 (Chargebacks)、退款、收单机构转嫁的重新发卡费,以及事件响应期间损失的销售额。
对每一项与支付相关的支出(按处理商、安全工具和合规服务进行拆分)保持清晰的逐项簿记,将在三个方面带来回报。它证明了合规投资确实在进行(当收单机构或保险公司询问时很有用)。它揭示了每个受理渠道的真实成本,有助于你协商处理费率。而且,如果确实发生泄露,它能为你的法证会计师提供清晰的线索,以便量化保险理赔的损失。
保持你的合规记录处于审计就绪状态
无论你是在回复收单机构的调查问卷、网络保险承保人,还是泄露后的法证会计师,能够平稳度过 PCI 事件的商家,其账簿和记录都能说明清晰的情况。Beancount.io 提供纯文本、版本控制的会计服务,为你提供每一笔支付处理费、安全工具和合规支出的透明且带有时间戳的线索——无黑箱,无供应商锁定,并为 AI 辅助财务时代做好了准备。免费开始使用,将你的合规工作与经得起审查的簿记相结合。