警惕PCI DSS合规证书

PCI安全标准委员会（PCI SSC）经常被问及是否可以使用合规证书来证明组织对PCI数据安全标准（PCI DSS）的合规性。

根据PCI SSC常见问题1220“是否认可合规证书用于PCI DSS验证？”：

唯一被认可用于PCI DSS验证的文件是来自PCI SSC官方网站的官方表格文件。任何其他形式的证书或为记录PCI DSS或任何其他PCI SSC标准合规性而签发的文件，均未经PCI SSC授权或验证，且不可用于证明合规性。根据PCI DSS要求12.8和/或要求12.9，使用证书或其他未经授权的文件来验证PCI DSS要求的合规性也是不可接受的。

PCI SSC网站是报告模板和表格的官方来源，这些模板和表格经PCI SSC批准用于记录PCI DSS或任何其他PCI SSC标准的合规性。这些包括合规报告（ROC）、合规证明（AOC）、自我评估问卷（SAQ）和ASV扫描的扫描合规证明的模板版本。

收到声称表明符合PCI DSS或其他PCI SSC标准的证书或文件的实体，如果这些文件不是PCI SSC网站上提供的上述模板形式，应要求使用官方PCI SSC模板提供文件。任何发行、提供或使用非PCI SSC提供的证书或其他文件作为符合PCI DSS或其他PCI SSC标准证据的组织，也必须能够使用官方PCI SSC表格和模板提供相应的文件。

PCI SSC不认可使用或发行合规证书作为PCI DSS合规证据。请注意，收到此类合规证书的组织没有义务接受它们，并鼓励要求使用官方PCI SSC表格或模板提供文件。此类组织可以参考常见问题1220作为支持。

请注意，PCI SSC不提供合规证书或合规徽标，组织无权在声称PCI DSS合规的证书或文件上使用PCI SSC或PCI DSS徽标。除PCI SSC网站上的官方表格或文件外，任何表明PCI DSS合规的证书或文件均非来自委员会，也不是PCI DSS合规的官方验证。

查看常见问题1220