嗯，首先，写的是以下内容：支付卡公司要求商家符合 PCI-DSS。PCI-DSS 不适用于不处理信用卡交易的任何人。DSS 要求规定了访问控制、日志记录等。这些都不适用于持卡人。

客户没有与商家相同的合同。尝试在客户端机器上记录活动没有任何好处。个人卡号很可能在许多地方被盗，并且对一个人的计算机进行取证分析以获取一张丢失的信用卡的成本/收益低于理智。最后，人们只是不会接受这一点。如果使用信用卡太难，发卡机构会看到交易量减少。

这是合规标准的典型范围界定问题。让商家承担全部责任——但如果商家的客户不保护他们的浏览器，则完全否定他们的所有努力。

但是，范围界定仍然存在疑问的是，商家是否有任何类型的 CSR 代表或员工/承包商/顾问（后台、通过商业智能、CRM、会计、官员或其他方式）使用浏览器或其他应用程序访问支付卡数据。

我听说商户选择的个人以与客户相同的方式访问持卡人数据的方式被排除在外——但这取决于 QSA（PCI DSS 评估员）来决定：即由他们自行决定。

为了证明上述信息是准确的，请允许我在一系列幻灯片中引用 Gene Kim 的PCI 范围界定工作——他讨论了使用 IIA（负责 COSO）的 GAIT-R 进行合规性“原则”识别与“控制” " 标识（其中 PCI DSS 很重）。自人类历史以来，这在刑事/民事司法和法律改革法案中被经典地描述为“法律精神”与“法律条文”。

在2010 07 BSidesLV Mobilizing The PCI Resistance 1c的幻灯片 35 和 37 中，很明显：

1. 第 3 类设备不在 PCI DSS 范围内，而第 2 类和第 1 类设备在 PCI DSS 范围内
2. 传输 CHD、无法解密 CHD 并且也不通过本地物理/虚拟网段连接到 1 类设备的设备可以被视为 2A、2B、2C 类设备，甚至是 3 类设备
3. 根据范围，客户（或完全像客户一样传输 CHD 的人）被视为第 3 类设备（因此不在 PCI DSS 范围内）。这里的诀窍是确保 CSR 代表（或其他商家员工/承包商/顾问）也不会违反幻灯片 37 中规定的任何其他范围界定工作流程，例如通过浏览器缓存 CHD（或代理、应用程序层-网关等）或将 CHD 保存在浏览器 HTML 表单自动完成功能中
4. 老实说，我觉得你需要欠我一杯啤酒才能回答这个问题

这已经得到了充分的回答，但我会改写同样的事情：

PCI 不是法律，它是收单机构（信用卡公司）和商家之间的合同。这意味着它不能对客户实施任何限制，因为没有（具有约束力的）合同可以用来要求这样做。因此，客户端 Web 浏览器获得免费通行证。

但是，这很重要，如果被审计的商家拥有运行 Web 浏览器的机器——例如，如果某些操作是由客户在商店使用商家的计算机完成的——那么它们就是PCI 范围的一部分。如果他们提出的风险很低，他们确实有一些回旋余地，但这是由审计师逐案决定的。

因此，重申一下，客户端 Web 浏览器不属于商家的 PCI 范围的唯一原因是商家无法对它们施加任何控制。如果可以，它们将成为范围的一部分。

我知道这不是一个直接的答案，但我认为这需要提出：一般的想法是你的安全模型不应该依赖于客户端的安全性，因为客户端可能是恶意的、被黑客攻击的、被病毒感染的、被修改的，过时或配置错误...服务器应该检查客户端是否安全（遵循安全协议），如果不是，它应该拒绝服务。