# PCI DSS 合规指南

在卡支付中，卡支付要素（卡号有效期CVV）是用户非常敏感的信息，一旦泄露则可能引发盗卡。因此卡世界有特别的技术规范框架PCI DSS严格地限制接触和使用银行卡的敏感信息。

PCI DSS全称是Payment Card Industry Data Security Standard，翻译为中文是支付卡行业数据安全标准。这是一个用来帮助保护个人银行卡信息的全球性标准。PCI-DSS是由主要的信用卡组织（如Visa、MasterCard、American Express等）共同参与制定的。它的主要目的是给处理、存储或传输信用卡信息的任何组织提供一个安全的环境。该标准在避免信用卡欺诈和数据泄露方面发挥着至关重要的作用。

根据银行卡组织的规定，每个接受银行卡支付的商家都必须遵守 PCI DSS要求。该标准在全球范围内适用，对于不遵守要求的组织，卡组会进行惩罚。PCI DSS认证，须承担一定的成本，包括但不限于违规评估费用、法律费用、取证调查费用、现场评估费用和安全更新费用等，且每年均须填写一份 PCI SSC 官方验证文件，以验证其是否符合 PCI DSS标准。

::: warning Note:
对于商户而言，如果**收集、处理、存储或传输持卡人数据（如：卡号、CVV、有效期等），则必须符合PCI DSS要求以及完成认证，并向PayerMax提供证明材料，提交后PayerMax在`1 ~ 3天`内完成审核**。
:::

如果商户希望支持银行卡支付，但又不想承担PCI DSS认证的成本，有两种方式：

- 使用无PCI DSS要求的集成模式：[收银台支付](https://docs.payermax.com/202606-version/acquiring/start-integration/payment-acceptance/cashier-payment/payermax-checkout.md)、[前置组件支付](https://docs.payermax.com/202606-version/acquiring/start-integration/payment-acceptance/drop-in/card.md)、[链接支付](https://docs.payermax.com/202606-version/acquiring/start-integration/paybylink.md)。

- 使用纯API支付下的[Tokenization](https://docs.payermax.com/202606-version/acquiring/start-integration/advanced-capabilities-integration/tokenization/direct-api-integration.md)支付。