简洁版本：

PCI-DSS 没有明确指出您描述的步骤。然而，这些都是常识性的步骤，可以合理地包含在几个 PCI-DSS 要求中。它们并不少见，我认为它们是第三方在卡处理环境中对非 PCI-DSS 合同协议的要求。

长版：

从技术上讲，PCI-DSS仅规定了“系统组件”的安全性，而不是人员：

PCI DSS 安全要求适用于 持卡人数据环境中包含或连接的所有系统组件。

也就是说，很多 DSS 都涉及影响系统组件以外的事物的策略。以下要求可以被合理地解释为通过您描述的两项措施（在 CDE 中禁止不受控制的数据/相机设备，在 CDE 中控制纸张使用）来解决：

7.3 确保限制访问持卡人数据的安全政策和操作程序记录在案、在使用中，并为所有受影响方所知。

虽然 7.3 没有说明应如何实施限制，但它表示您应该将访问限制作为策略的一部分。CDE 中对手机/相机和纸张的控制是合理的限制。

9.5 物理保护所有媒体：确认保护持卡人数据的程序包括物理保护所有媒体（包括但不限于计算机、可移动电子媒体、纸质收据、纸质报告和传真）的控制措施。

防止纸张离开 CDE 是保护纸质媒体的一种形式，防止手机/相机进入是对“可移动电子媒体”的控制。

12.3 制定关键技术的使用政策并定义这些技术的正确使用。（...平板电脑、可移动电子媒体、电子邮件使用和互联网使用。）

您还会注意到呼叫中心通常不允许访问 Internet 和电子邮件，出于同样的原因 - 它们是员工可以用来从环境中获取卡号的方法。

这些要求并不是“矫枉过正”，它们是相当标准的。它们可能会导致“真正的”问题（例如，不仅仅是给人类带来不便）——例如，您如何通过电子邮件将密码重置链接发送给无法访问电子邮件的呼叫中心员工？如果没有个人智能手机，您如何通过回调验证身份或设置没有软令牌的多因素身份验证？但它们确实提供了真正的安全价值。

这就是为什么您会将这些要求视为 PCI-DSS 驱动政策的一部分和合同协议的一部分。

您将呼叫中心与星巴克在处理信用卡方面的要求进行比较。最大的不同是星巴克处理信用卡的方式与呼叫中心完全不同。

星巴克咖啡师不会以任何方式处理您的信用卡数据。发生的情况是，您将信用卡插入星巴克银行提供的机器，信号直接发送到银行，然后从银行返回到机器。星巴克绝不会自己处理您的信用卡详细信息。

我不知道星巴克应用程序如何处理信用卡，但合乎逻辑的解释是这些详细信息要么存储在您的设备本地，要么存储在星巴克服务器上。在这两种情况下，星巴克咖啡师都不会接触到您的信用卡凭证。处理星巴克帐户支持的客户服务代表也没有。他们最多只能看到您信用卡的最后 4 位数字，没有到期日期，也没有 CVC 代码。

gowenfawr 指出，有时，服务员会通过手持设备浏览您的信用卡。这显然是对 PCI 合规性规则的严重违反，但这与 PCI 合规性没有任何关系，都与常规犯罪活动有关。在这种情况下，从技术上讲，星巴克仍然符合 PCI 标准，因为窃取您凭据的不是星巴克，而是服务员。

此外，如果您看到有人刷信用卡，请立即向经理报告。几乎每家公司都非常关心他们的客户，以至于他们会立即解雇违规者。显然，请联系您的信用卡发卡机构并告诉他们您认为您的卡已被盗用。他们将撤销旧卡并发行新卡。

您所听到的是关于公司或呼叫中心的安全政策，作为防止持卡人数据丢失的预防措施。我听说过其他公司围绕稍微不同的数据集做同样的事情。每年都有许多呼叫中心工作人员因使用信用卡而被捕，因此这可能只是一种安全控制，以帮助降低一些安全风险（受损的无线设备是另一个想到的问题）。

关于咖啡店的评论。咖啡店里的人可能无法访问与您所指的呼叫中心工作人员访问的数据库一样多的信用卡。

您可以从他们的网站免费下载实际的 PCI 标准。

https://www.pcisecuritystandards.org/document_library

该标准引用了各种控件，但有许多方法可以实现这些控件中的每一个。有问题的呼叫中心可能会将此作为其 PCI 控制结构的一部分，但我怀疑他们这样做只是为了降低风险和总体上的攻击面。