tag
compliance
该标签下有 2 篇文章
2026-07-04
PCI DSS 是什么 — 处理信用卡数据所需遵守的安全标准
PCI DSS(Payment Card Industry Data Security Standard)是存储、处理或传输卡数据的商户需要满足的国际安全标准,由各卡组织制定,要求网络保护、存储数据加密、最小权限访问控制、监控/日志、脆弱性管理等。实务中最安全的做法是:干脆不要自己持有卡号,把卡处理交给合规的支付服务商(令牌化),从而把适用范围缩到最小。
2026-07-04
GDPR 是什么 — 欧盟的个人数据保护规则与泄露时的通知义务
GDPR(General Data Protection Regulation)是保护欧盟境内个人数据的欧盟综合性规则,只要向欧盟的人提供服务,即便是境外商户也可能适用。它要求合法依据(如同意)、明确目的、数据最小化、当事人权利(查阅/删除),以及向监管当局的泄露通知(原则上 72 小时内),重大违规还有高额罚款。技术上的要点可归结为:只收集、只持有需要的个人数据,安全地保护它,并能在泄露时迅速检测并通知。