【转载】对于保存客户银行卡信息，PCIDSS 是不是必须遵守的？非支付平台的商户系统是否可以保存银行卡信息？

1. PCIDSS是不是政策法规要求的，什么情况下必须要遵守，什么情况下不用？

按照要求所有处理 Visa、MasterCard、Jcb、AEMX、Discover 品牌信用卡的机构都需要实施 PCI DSS。

2. PCIDSS是否只针对信用卡，不针对储蓄卡？

PCIDSS认证是针对信用卡的。

3. 某些非支付平台且可能未通过PCIDSS认证的商户网站上有银行卡绑定功能，从域名上看这个功能是在这些网站上的，那么是不是意味着客户的银行卡信息是保存在这些网站的数据库里？ 如果不是，绑定银行卡和提现功能应如何实现。

通常说的绑定其实有两类含义：

a、代扣绑定：绑定某张银行卡，并授权系统从银行卡直接代扣。

b、关联某张银行卡：只是让用户关联提现用的银行卡，系统只需要银行卡卡号

如果只是为了提现而让用户关联某张银行卡（非代扣），只需要存放银行卡卡号即可，银行卡号是可以存放到本地。

「提现」的业务流程是怎样的？ - 梁川的回答关于提现方案的回答，供参考。

另外，如果只是关联提现银行卡，建议避免使用“绑定”之类容易引起用户误解的术语。

附：

信用卡信息分为两部分：敏感信息、敏感认证信息，其中前者可以按照行业要求保护后存储，后者除了你是发卡或制卡机构无论如何都不允许存储。

敏感信息：持卡人姓名、卡号、有效期等。

敏感验证信息：磁条信息、密码、CVV2等。

4. 将客户第一次支付时输入的银行卡信息保存下来，下次用时免输入能明显提高客户使用的便捷性，但这种做法对于非支付平台的商户系统是否被允许。似乎只有几大第三方支付平台有快捷支付，实现快捷支付又需要什么条件。

在商户端存放银行卡信息，如果不考虑PCI认证需求，从实际操作层面是可以的（例如携程等实名的行业商户）。只不过由于信息泄露等风险（例如前一阵携程的信用卡信息泄露事件），目前一般第三方支付、银联及银行只对大商户开放此功能接口（所谓得商户端开通、授权）。

网站自己要实现快捷支付基本上不可能，除非有代扣或ePOS（信用卡无磁无密支付）接口，自己在上面进行包装。一般都通过第三方支付或银联、银行提供的接口。

5. 充值和提现是否要求必须同卡进同卡出，我看到一些网站上充值一般允许来自不同卡，但只能绑定一张卡来提现。 这是不是有问题，如可以绕开银行转账了？

到目前为止，同卡进出只是第三方支付及相关机构基于风险考虑自己做的策略限制，并非政策强制性要求。

在《关于促进互联网金融健康发展的指导意见》中对资金同卡进出有要求，但目前尚未颁布实施。

余额宝为何选择多卡进出策略？ - 梁川的回答以前的一个回答，供参考。

作者：梁川

链接：https://www.zhihu.com/question/37443458/answer/72033540

来源：知乎

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

作者：田永智

链接：https://www.zhihu.com/question/37443458/answer/72017891

来源：知乎

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。