什么是PCI DSS合规性?
支付卡行业数据安全标准(PCI DSS)是一套安全标准,旨在确保在信用卡交易期间保护持卡人数据。它旨在为处理信用卡支付的组织建立一个安全的环境,降低数据泄露、欺诈和未经授权访问敏感信息的风险。
2006年,美国运通、Discover Financial Services、JCB International、万事达卡和Visa等领先支付品牌成立了支付卡行业安全标准委员会(PCI SSC)。这标志着统一安全标准发展的一个重要里程碑。目前,理事会拥有700多个成员组织,横跨60多个国家。其主要任务是促进金融业内遵守并加强对这些重要安全原则的理解。
PCI DSS保护哪些数据?
PCI DSS专门保护持卡人数据和敏感身份验证数据。以下是这些类别的详细信息:
1.持卡人数据
持卡人数据是指以任何形式在支付卡上打印、处理、传输或存储的任何信息。根据PCI DSS,持卡人数据包括:
- 主帐号(PAN):这是最重要的持卡人数据,总是被认为是敏感的,如果存储,必须受到保护。
- 持卡人姓名:支付卡正面显示的姓名。
- 到期日期:支付卡到期的月份和年份,如卡上所示。
- 服务代码:显示在支付卡上的一组数字和/或字母,定义了卡属性和权限。
2.敏感的认证数据
敏感身份验证数据包括安全相关信息,用于对持卡人进行身份验证并授权支付卡交易。PCI DSS要求在授权后永远不要存储这些数据,即使加密了。这包括:
- 完整磁条数据(磁条数据或芯片上的等效数据):此数据位于用于验证卡数据的磁条或芯片中,包括PAN、持卡人姓名、到期日期和服务代码。
- CAV2/CVC2/CVV2/CID:这些是卡正面(美国运通)或背面(Visa、万事达卡和Discover)上的三位数或四位数,用于保护“无卡”交易。
- PIN/PIN 块:持卡人在持卡交易期间输入的个人识别号码(PIN)和交易消息中存在的加密PIN块。
为什么要保护这些数据?
保护这些数据至关重要,原因有几个:
- 防止欺诈:安全处理持卡人和敏感身份验证数据,降低了卡欺诈的风险。
- 避免达到:适当的安全措施有助于防止数据泄露,而这些数据泄露对企业来说可能成本高昂。
- 建立信任:确保支付数据的安全性有助于在商家和客户之间建立信任。
- 遵守法定要求:对于处理信用卡支付的企业来说,遵守PCI DSS不是可选的。不遵守规定可能会导致巨额罚款和处罚。
谁必须遵守?
PCI DSS普遍适用于任何参与存储、处理或传输持卡人数据的实体(即参与支付卡处理的参与者,包括商家、服务提供商、金融机构等)。它包括与持卡人数据相关或与之连接的系统组件的技术和操作方面。因此,如果您是参与接受或处理支付卡的商家,则必须遵守PCI DSS。
谁是商家?
商家被定义为接受带有PCI SSC(包括Visa、Mastercard、American Express、Discover和JCB)任何一个徽标的支付卡作为商品或服务的实体。商家有各种规模和类型,从小型本地商店到大型跨国公司,他们必须根据他们处理的交易量在不同程度上遵守PCI DSS。
商家的类别
- 第1级:每年在所有渠道上处理超过600万笔交易,或遭受数据泄露/数据泄露,导致帐户数据泄露。
- 第2级:每年在所有渠道上处理100万到600万笔交易。
- 第3级:每年处理2万到100万笔电子商务交易。
- 第4级:每年处理少于20,000笔电子商务交易,或每年在所有渠道处理多达100万笔交易。
根据交易量和收购银行制定的具体要求,商家必须每年通过外部合格安全评估员(QSA)或自我评估问卷(SAQ)验证其合规性。
谁是服务提供商?
服务提供商是指为其他实体处理持卡人数据或有可能影响持卡人数据环境安全的组织。这包括处理、存储或传输持卡人数据等活动。提供托管防火墙、入侵检测系统和其他安全服务等服务的托管服务提供商就是典型的例子。
服务提供商的类别
- PCI DSS范围内的所有服务提供商都必须符合PCI DSS,并每年验证合规性,通常通过合规性报表(ROC),这是一份官方文件,用于验证实体是否遵守PCI DSS要求,通常由QSA为处理大量交易的大型组织完成。
服务提供商在支付生态系统中发挥着至关重要的作用,因为他们经常处理敏感的持卡人数据或敏感的身份验证数据,这使得他们遵守PCI DSS对支付系统的整体安全性至关重要。
谁是PCI DSS QSA?
QSA是在QSA公司工作的个人,该公司由PCI SSC认证,可以进行PCI DSS评估。QSA必须满足理事会制定的具体要求,个人评估员及其公司都要接受认证和重新认证,以确保他们遵守理事会的评估标准。建议在每次参与QSA的服务时验证其当前资格状态。
什么是SAQ?
自我评估问卷(SAQ)是PCI DSS使用的工具,用于帮助商家和服务提供商报表其PCI DSS自我评估结果。SAQ包括一系列与PCI DSS要求相对应的问题,这些问题适用于其支付卡操作。SAQ的目的是帮助实体评估其对PCI DSS标准的遵守情况。
SAQ的类型
有几种类型的SAQ,都旨在满足不同的场景,具体取决于组织如何处理支付卡数据:
- SAQ A:适用于所有持卡人数据功能外包的商家。这可能是完全外包所有持卡人数据功能的电子商务、邮件或电话订单商家。
- SAQ A-EP:适用于将持卡人数据处理部分外包给第三方服务提供商,但不在其系统或场所存储、处理或传输任何持卡人数据的电子商务商家。
- SAQ B:对于仅使用独立拨号支付终端的商家,不以电子方式存储持卡人数据。
- SAQ C:适用于拥有连接到互联网的支付应用程序系统的商家,没有电子持卡人数据存储。
- SAQ D:适用于那些不符合先前SAQ类型描述的人,通常是服务提供商,其运营模式包括存储、处理或传输持卡人数据。
四个PCI DSS级别是什么?
根据每年处理的卡交易量,PCI合规性分为四个级别:
- PCI 1级:企业每年处理600多万笔交易。
- PCI 2级:企业每年处理100万到600万笔交易。
- PCI 3级:企业每年处理20,000至100万笔交易。
- PCI 4级:企业每年处理不到20,000笔交易。商家可以通过与服务提供商协调或使用报表工具来确定其PCI合规性水平。建议验证适用于所用信用卡公司的具体商家级别。
对于旨在实现PCI DSS合规性并确立自己作为可靠品牌的企业来说,最初的关键步骤是确定其当前的PCI DSS合规性水平。
12个PCI DSS要求是什么?
PCI DSS概述了组织必须遵守的12项要求,以保护持卡人数据并实现合规。这些要求旨在为信用卡交易建立一个安全的环境,并降低数据泄露的风险。
要求1:安装和维护防火墙配置,以保护持卡人数据
这一要求涉及设置防火墙,在持卡人数据环境和其他网络(如互联网)之间建立屏障。目的是防止未经授权访问网络及其包含的敏感数据。公司必须对防火墙和路由器配置有正式的政策,以确保它们得到正确设置和维护。
用例:一家零售公司实施有状态的防火墙,根据预先确定的安全规则监控和控制所有传入和传出的网络流量,以防止未经授权访问其支付系统所在的网络。
要求2:不要使用供应商提供的默认值来设置系统密码和其他安全参数
要求3:保护存储的持卡人数据
要求4:在开放的公共网络上加密持卡人数据的传输
要求5:保护所有系统免受恶意软件的侵害,并定期更新防病毒软件或程序
要求6:开发和维护安全的系统和应用程序
要求7:按业务需要限制对持卡人数据访问
要求8:识别和验证对系统组件的访问
要求9:限制对持卡人数据的物理访问
要求10:跟踪和监控对网络资源和持卡人数据的所有访问
要求11:定期测试安全系统和流程
要求12:维护一项解决所有人员信息安全问题的政策
如何符合PCI DSS标准
为了遵守PCI DSS要求,参与存储、处理或传输持卡人数据的实体必须遵循结构化方法。这涉及一系列步骤,有助于确保有效解决PCI DSS的各个方面。以下是每个步骤的详细细分:
- 第1步:定义范围 第一步是通过识别参与处理持卡人数据的所有系统组件、流程和网络来准确确定合规范围。这包括任何可能影响持卡人数据环境(CDE)安全的系统。必须明确定义CDE,以便将合规工作集中在网络的相关部分,从而降低复杂性和成本。
- 第2步:评估环境 一旦定义了范围,下一步涉及评估所有范围内系统组件是否符合PCI DSS要求。这种评估可以使用SAQ在内部进行,也可以由外部审计师或QSA进行。无论哪种方式,目标是确定合规性中的任何差距,并了解每个要求的遵守程度。
- 第3步:生成合规报表 评估后,实体必须完成必要的文档,这些文档因实体的规模和交易量而异。较小的商家可能有资格完成SAQ,而大型商家和服务提供商可能需要更详细的ROC。本文档包括PCI DSS要求的详细信息,实体如何遵守每个要求,以及任何已到位的补偿控制。
- 第4步:获得认证 在完成所需报表后,实体必须完成合规证明(AOC),这是实体对PCI DSS合规状态的正式声明。该证明由公司一名高管签署,确认PCI DSS评估的准确性和完整性。
- 第5步:提交报表SAQ或ROC,以及AOC和其他要求的证明文件,如来自经批准的扫描供应商(ASV)的扫描报表,必须提交给相关方。对于商家来说,这通常意味着向其收购方(处理其卡付款的银行或金融机构)提交。对于服务提供商来说,文件通常提交给需要合规验证的支付品牌或请求者。
- 第6步:采取补救措施 如果评估发现任何不合规领域,实体必须通过补救过程解决这些问题。这涉及修复评估期间发现的问题,以使系统组件符合要求。应记录补救工作,包括采取的行动和解决时间表。补救后,可能有必要重新评估受影响地区,以确保它们现在符合PCI DSS要求。
通过有条不紊地遵循这些步骤,实体可以确保他们满足PCI DSS要求,从而保护持卡人数据并降低数据泄露的风险。
下表概述了满足PCI DSS要求所需的安全控制和流程。
建立和维护一个安全的网络和系统
| 要求 | 描述 | 安全控制和流程 | ManageEngine如何提供帮助 | |
|---|---|---|---|---|
| 1. | 安装和维护防火墙配置,以保护持卡人数据 | 防火墙充当门卫,调节进出组织网络的数字流量,以及管理其内部基础架构内限制区域的访问。防火墙的功能可以集成到各种系统组件中。 |
建立配置标准
|
ManageEngine的统一SIEM解决方案Log360可以监控防火墙配置更改并记录防火墙活动,以检查系统问题。 |
|
网络分割和防火墙规则配置
|
Log360可以帮助您定期查看防火墙规则,监控和获取规则更改时的告警,并为您提供见解和分析,以验证防火墙规则更改是否已授权。 | |||
| 2. | 不要将供应商提供的默认值用于系统密码和其他安全参数 | 授权更改默认配置,以保护系统免受未经授权的访问。 |
|
Log360审核系统配置和权限的更改,提醒管理员未经授权修改安全设置。 |
保护持卡人数据
| 要求 | 描述 | 安全控制和流程 | ManageEngine如何提供帮助 | |
|---|---|---|---|---|
| 3. | 保护存储的持卡人数据 | 存储持卡人数据会增加风险。因此,必须使用严格的控制措施安全地进行。 |
|
Log360通过提供数据处理和存储机制的报表以及未经授权的访问尝试的告警来帮助确保数据存储的合规性。 |
| 4. | 加密持卡人数据在开放的公共网络上的传输 | 数据在通过互联网等不安全网络传输过程中特别容易受到攻击。 |
|
维护一个漏洞管理程序
| 要求 | 描述 | 安全控制和流程 | ManageEngine如何提供帮助 | |
|---|---|---|---|---|
| 5. | 使用并定期更新防病毒软件或程序 | 恶意软件可以感染众多系统,并访问或破坏敏感数据。 |
|
Log360与防病毒系统集成,以集中记录信息,提供告警和详细报表检测到的威胁和更新状态。 |
| 6. | 开发和维护安全的系统和应用程序 | 系统和应用程序中的漏洞可能会被利用,未经授权访问持卡人数据。 |
|
Log360可以监控漏洞扫描器和补丁管理软件,以检查安全系统和应用程序的日志是否有配置错误或未修补漏洞的迹象。它还可以跟踪补丁安装,并提醒缺少关键安全更新的系统。 |
实施强有力的访问控制措施
| 要求 | 描述 | 安全控制和流程 | ManageEngine如何提供帮助 | |
|---|---|---|---|---|
| 7. | 按业务需要限制对持卡人数据的访问 | 只有那些有合法业务需求的人才能访问敏感数据。 |
|
Log360提供访问控制和用户活动的实时监控和审计,确保只有授权用户才能访问敏感数据。 |
| 8. | 为每个有计算机访问权限的人分配一个唯一的ID | 跟踪和监控单个用户活动需要为每个用户提供唯一的标识符。 |
|
Log360确保所有用户活动都被记录下来,并可追溯到个人用户ID。AD360支持MFA实施,并监控用户身份验证策略的遵守情况。 |
| 9. | 限制对持卡人数据的物理访问 | 物理安全控制可以防止未经授权的人员访问。 |
|
定期监控和测试网络
| 要求 | 描述 | 安全控制和流程 | ManageEngine如何提供帮助 | |
|---|---|---|---|---|
| 10。 | 跟踪和监控对网络资源和持卡人数据的所有访问 | 持续监控所有网络和数据访问活动对安全至关重要。 |
|
Log360提供广泛的日志记录功能、实时告警和自动日志分析工具,以确保所有访问都得到监控和记录,从而方便快速检测安全事件。 |
| 11. | 定期测试安全系统和流程 | 定期测试有助于识别安全系统和流程中的漏洞。 | 应定期进行测试,包括漏洞扫描和渗透测试,以评估安全措施的稳健性。应对安全系统进行测试,以确保它们按预期运行,并有效应对威胁。 | Log360通过提供定期扫描的工具,并与外部测试解决方案集成以加强安全监督,从而促进持续的安全测试。 |
维护信息安全政策
| 要求 | 描述 | 安全控制和流程 | ManageEngine如何提供帮助 | |
|---|---|---|---|---|
| 12. | 维护一项解决所有人员信息安全问题的政策 | 强有力的安全政策是维持安全运营的基础。 |
|
用例
PCI DSS清单
- 使用强密码:用户密码需要难以利用,这是通过使用特殊字符、避免字符模式、创建更长的密码和使用所有允许的字符类型来实现的。密码也需要定期更改,以保持其强度。
- 加密敏感信息:为了保护敏感数据,如信用卡信息,在存储和传输时加密很重要。
- 使用防火墙:防火墙是网络安全的重要组成部分。它们通过控制传入和传出的网络流量来防止未经授权访问网络。
- 获取安全支付网关:安全支付网关通过使用加密和其他安全措施,确保在交易过程中保护敏感的支付信息。
- 使用防病毒软件:防病毒软件有助于保护系统免受恶意软件攻击,恶意软件可能会对网络造成严重损害。
- 限制远程和物理访问:限制对网络资源的远程和物理访问是保护敏感数据免受未经授权的访问的关键步骤。
- 制定安全评估政策:安全评估政策概述了为保护敏感信息而采取的步骤,并确保所有员工都意识到数据保护的重要性。
- 将流量限制在支付系统上:为了确保支付系统的安全,重要的是将流量限制在必要的流量,并阻止任何不需要的流量。
不合规的暗示
US$PCI DSS提供了保护敏感信息的指南,但遵守这些指南不是法律要求。这些法规由行业通过供应商协议在内部管理和维护。遵守PCI DSS规定的12项要求将使组织免于一系列后果,包括5000美元至10万的罚款,以及法律诉讼、保险声明、取消帐户以及在发生安全事件时撤销信用处理服务的可能性。
泄露数据造成的损害可能广泛且持久,影响消费者、商家和金融机构,并可能对公司的声誉和未来的成功造成不可挽回的损害。
违规的后果也可能涉及以下结果:
- QSA的面对面评估。
- 详细的取证调查。
- 重新发行信用卡和借记卡。
- 为受影响的客户提供免费信用监控。
- 技术维修和升级。
- 通知公众违规行为。
有助于合规的ManageEngine解决方案
日志360
Log360是一个统一的SIEM解决方案,具有集成的DLP和CASB功能,可以检测、确定优先次序、调查和应对安全威胁。Vigil IQ是该解决方案的TDIR模块,结合了威胁情报、分析事件工作台、基于ML的异常检测和基于规则的攻击检测技术来检测复杂的攻击,并提供事件管理控制台,以有效补救检测到的威胁。Log360通过其直观和高级的安全分析和监控功能,为本地、云和混合网络提供整体安全可见性。
试用我们30天域360
ManageEngine AD360是一个统一的身份和访问管理(IAM)解决方案,有助于管理身份、保护访问并确保合规性。它具有强大的功能,如自动身份生命周期管理、访问认证、风险评估、安全单人登录、自适应MFA、基于批准的工作流程、UBA驱动的身份威胁保护以及AD、Exchange Server和Microsoft 365的历史审计报表。AD360的直观界面和强大的功能使其成为满足您IAM需求的理想解决方案,包括培养零信任环境。
试用我们30天免责声明:本指南是根据相关政府当局发布的PCI DSS官方文件创建的。它旨在对PCI DSS要求2提供清晰全面的解释。内容仅供参考,不应被视为法律建议。组织应咨询合格的PCI DSS顾问,以确保合规。