编辑：我很高兴我能够编辑这个以添加到我的答案中，因为在一分钟前再次阅读它之后，我意识到我离真正以直接、有用的方式回答你的问题还有多远。我昨天在下面所说的并没有错，但是让我先多加一点，以便真正开始回答您提出的问题并与我昨天写的内容联系起来。所以：

首先，一个必要的免责声明：从您的角度来看，您不应将我视为 QSA 或您聘用的其他合规专业人士，并在您的有薪工作中非常熟悉您的具体情况。从您的角度来看，您应该将我视为互联网上的某个人，他可能知道也可能不知道他在说什么，并且您可能不应该依赖您在任何重要问题上的唯一信息来源和建议。

可以，然后呢...

让我们从这个开始：您注意到的那五台服务器？你很可能不需要它们中的任何一个。

为什么？好吧，事情是这样的：许多 PCI 要求，正如您可能已经直觉到的那样，实际上并没有考虑到小企业主的情况——尤其是单人小企业主的情况——。相反，它们中的许多实际上是针对中型和大型企业的。然而，复杂的事情是，需求中没有一个实际的、单一的地方说明哪些适用于所有人，哪些仅适用于需要监控的更复杂操作的大型实体。这背后的原因实际上有点道理：一些小企业可能实际上使用或运行某些通常在大公司中发现的元素或功能，并涉及一些额外的安全考虑。但根据我的经验，这种不太清楚的方法可以

现在，不要误会我的意思：小企业，甚至是一个人的小企业，都不是以任何方式免除遵守最具体要求的需要或义务。您不能存储未加密的卡数据，也不能运行未打补丁的 PC 操作系统或类似的东西。但是，关于给定要求是否适用于您，至少涉及到一点“健全性测试”元素。让我们来看一个例子：如果您经营一家单人企业，您使用一台装有 POS 应用程序的 Windows PC，要求 6.1 对您有什么要求？如果您将 Windows 设置为自动下载和安装补丁程序，您是否仍然必须“建立一个流程来识别安全漏洞，使用有信誉的外部来源获取安全漏洞信息，并分配风险等级（例如，“高”、“中,” 或 “低”)..." Windows 漏洞？即使您非常有动力在每个月发布的安全更新发布时阅读 Microsoft 的漏洞公告，并且您已经阅读了它们并（不知何故）对它们进行了评级，但您唯一的 Windows PC 可能已经安装了具有修好了吗？（现在，另一方面，如果您是一个拥有大型全国零售商的安全团队，可能会发现这更相关。）比如说，要求 12.10.5 怎么样？您是否需要制定书面响应计划，然后“[d] 制定流程，根据经验教训修改和发展事件响应计划，并结合行业发展。” 如果你有一个单一的运营商业务？s 在发布安全更新时宣布了它们，并且您已经阅读它们并对其进行了评级（不知何故）您唯一的 Windows PC 可能已经安装了修复它们的安全更新？（现在，另一方面，如果您是一个拥有大型全国零售商的安全团队，可能会发现这更相关。）比如说，要求 12.10.5 怎么样？您是否需要制定书面响应计划，然后“[d] 制定流程，根据经验教训修改和发展事件响应计划，并结合行业发展。” 如果你有一个单一的运营商业务？s 在发布安全更新时宣布了它们，并且您已经阅读它们并对其进行了评级（不知何故）您唯一的 Windows PC 可能已经安装了修复它们的安全更新？（现在，另一方面，如果您是一个拥有大型全国零售商的安全团队，可能会发现这更相关。）比如说，要求 12.10.5 怎么样？您是否需要制定书面响应计划，然后“[d] 制定流程，根据经验教训修改和发展事件响应计划，并结合行业发展。” 如果你有一个单一的运营商业务？如果你是一个拥有大型全国零售商的安全团队，可能会发现这更相关。）比如说，要求 12.10.5 怎么样？您是否需要制定书面响应计划，然后“[d] 制定流程，根据经验教训修改和发展事件响应计划，并结合行业发展。” 如果你有一个单一的运营商业务？如果你是一个拥有大型全国零售商的安全团队，可能会发现这更相关。）比如说，要求 12.10.5 怎么样？您是否需要制定书面响应计划，然后“[d] 制定流程，根据经验教训修改和发展事件响应计划，并结合行业发展。” 如果你有一个单一的运营商业务？

明显不是。如果您查看您的 SAQ D 自我调查表，您会看到除了“是”、“是，有补偿控制”和“否”之外的“不适用”列。小型企业可以期望充分利用该列。特别是，适用于您在问题中列出的服务器类型的许多要求根本不适用于您，即既没有任何这些服务器也不需要此类服务器的业务运营商。我们必须假设，这不是 PCI 要求的意图，让您单独购买额外的计算机用于您的操作，以便您可以采取某些措施来保护它们并在 SAQ 表格上勾选“是”框。

但是那些不太明确的事情呢？对于（比方说）一个人、一台计算机的小型企业来说，这些要求似乎很繁琐，但听起来可能是相关的重要控制？例如，如果您愿意依赖对现实世界安全中可以依赖的“补偿控制”的常识性理解，并直接使用 SAQ，则可以防止您需要这样做。 ，必须部署基于网络的入侵检测系统或专用的文件修改监控软件。

稍后再详细介绍。但首先有一个重要的技术问题需要先回答：在您的支付设置中，信用卡/借记卡信息是否在其仍位于读卡器或终端本身中时首先被加密，以便您连接的 PC 与您的销售点它上面的软件甚至根本看不到未加密的重要卡信息? 或者，卡信息是否从您的读卡器/终端“以明文形式”传递到您连接的 POS 机，PC 上的软件首先对其进行加密，然后再通过 Internet 将其发送出去？因为该问题的结果取决于两件事：您应该填写的 PCI 问卷类型（SaQ-P2PE 与 SAQ D）以及您需要实施的措施程度，以提供可以合法地进行 PCI 审查的安全环境. （而且，您知道，实际上保护您客户的财务信息。）

让我们从您的读卡器或终端开始。如果你有合适的，它可以在你必须处理的 PCI 合规性方面的麻烦中产生巨大的差异。为什么？因为存在“刷卡”、读卡器到支付处理器、端到端加密。 到目前为止，当涉及到您的 PCI 合规性和您将用来保护客户卡信息的实际安全质量时，这是最重要的一个问题。

为什么呢？因为通过刷卡加密，您客户的重要借记卡/信用卡信息在离开读卡器并进入您的系统之前就已被加密。仅当该信息束在通过 Internet 传输后到达您的支付处理器的基础架构时，它才会被解密。换句话说，无论安全弱点或缺陷，甚至是您的销售点系统上的活动恶意软件安装（不幸的是，目前大多数设置中支付信息仍然首先被加密），都变得无关紧要。*阅读器内加密意味着您、您的设备以及可能存在于您设备中的任何窃取卡信息的恶意软件根本无法以电子方式访问骗子伪造客户卡或滥用客户卡号所需的信息。如果目标，凯马特，家得宝等。已经实施了端到端加密并正确配置了任何卡片，这些卡片的信息不可能被销售点恶意软件捕获，因为这些违规行为如此震撼了美国零售支付领域。并且 - 最直接适用于您的问题 - 对于具有 o-swipe/端到端加密设置的商家的 PCI 要求比正常规则短得多，并且需要遵守的费用和复杂程度要少得多。（现有的那些规则完全集中在您是否正确设置了加密以及一些非技术政策领域。）并且 - 最直接适用于您的问题 - 对于具有 o-swipe/端到端加密设置的商家的 PCI 要求比正常规则短得多，并且需要遵守的费用和复杂程度要少得多。（现有的那些规则完全集中在您是否正确设置了加密以及一些非技术政策领域。）并且 - 最直接适用于您的问题 - 对于具有 o-swipe/端到端加密设置的商家的 PCI 要求比正常规则短得多，并且需要遵守的费用和复杂程度要少得多。（现有的那些规则完全集中在您是否正确设置了加密以及一些非技术政策领域。）

你如何获得刷卡/阅读器加密？好吧，您需要致电您的支付处理器并与他们讨论用加密读卡器替换您当前的读卡器。对于我工作的最后一家非常小的企业，不到一年前，它的支付处理器有一个 Magtek 阅读器（这个支付处理器恰好与 Magtek 合作；那里还有其他优秀的制造商），每个阅读器大约 90 美元; 设置需要通过电话与客户支持完成配置过程，哦，大约 10 分钟。在购买新的阅读器之前，我们还打电话给在我们使用的标准 Windows PC 上制作 POS 软件的公司，只是为了保守地避免冲突；没问题。安装和激活非常顺利，

或者，如果您可能有兴趣从 Square、Amazon 和 Paypal 切换到新的支付产品，他们所有正在发货的阅读器都内置了刷卡加密功能。如果您正在考虑今年 10 月并考虑让 EMV/芯片卡读卡器满足支持该标准的非正式的、非截止日期的最后期限，那么您将看到的几乎所有双 EMV/磁条终端都会到来带有用于磁刷卡交易的内置加密。（但购买前请检查。）

嗯是的。那将是我的指导（作为一个人，在法律意义上，你不应该仅仅依靠指导。 只是一个提醒/免责声明）。但是，是的，在读卡器上加密您的卡数据。

*是的，我想也许我有点接近说刷卡加密是某种神奇的万灵药。在信息技术方面，您应该始终做一些纵深防御的工作（例如确保定期下载和应用您的操作系统和程序安全补丁，对您在 PC 上安装的程序保持一定程度的谨慎，以体面的方式运行）反恶意软件程序等）但阅读器内加密确实是一件大事。

tl;dr 获取加密读卡器，正确设置，让合规变得更容易，客户的信用卡/借记卡信息更安全。