PCI-DSS是支付卡行业数据安全标准。顾名思义,本标准适用于支付卡行业。
无论是现金还是信用卡,金融交易都有风险。对于现金交易,实物安全至关重要。对于信用卡交易,数据安全是最重要的,物理安全是最重要的。支付卡可以是贷记卡或借记卡。如果支付卡的财务和个人数据是安全的,它将防止交易失败。
如果支付卡的数据不安全:
因此,支付卡行业主动以数据安全标准规范卡数据交易。
信用卡数据行业的主要参与者Visa、Master card、American Express、Discover和JCB于2006年结成联盟,以创建一个安全标准理事会支付卡行业。委员会为支付卡交易中涉及的所有数据制定了安全标准。PCI-DSS合规性(PCI DSS compliance Firewall)适用于支付卡交易中涉及的所有实体。该条例涵盖中小商户、大商户、银行和金融机构参与信用卡交易受PCI-DSS。对于软件应用程序开发人员来说,它是PCI PA-DSS。对于POS供应商和硬件制造商来说,它是PCI-PTS。其中,PCI-DSS非常重要,因为它管理着大量的实体。这些实体参与了数以百万计的信用卡交易。
数据窃贼寻找持卡人和身份验证数据。
持卡人数据
敏感身份验证数据
所有参与支付卡交易的人都应该确保数据是安全的。为了保证数据的安全,PCI-DSS安全委员会提出了一系列要求来满足这些要求。
PCI-DSS有12个要求和测试程序,包括技术和操作组件。
| 实现目标 | 如何实现 |
| 建立和维护一个安全的网络 |
|
| 保护持卡人数据 |
|
| 维护漏洞管理程序 |
|
实施强有力的访问控制措施 |
|
| 定期监测和测试网络 |
|
| 维护信息安全策略 |
|
这是一个三步走的过程(如何获得PCI DSS合规性?)保护任何组织的持卡人数据。
他们是:
在此步骤中,识别持卡人数据,清点IT资产和支付卡业务流程,并分析漏洞。
要评估,有合格的安全评估员。选择附近可用的评估员。对于小商人和服务提供商来说,自我评估问卷(SAQ)就足够了。
修复此漏洞,除非绝对必要,否则不要存储持卡人数据。
确保持续监控合规性。定期监控可能会有漏洞,以防数据被盗。
编译并提交PCI DSS合规性报告执行卡品牌或银行。
PCI-DSS安全委员会不强制遵守PCI DSS防火墙。只有信用卡品牌或银行。
Firewall Analyzer持续监视网络以符合PCI-DSS防火墙要求(PCI compliance Firewall configuration)。这个防火墙PCI符合性报告可以随时拉到满足审核要求。您还可以安排PCI防火墙报告并将其记录以备将来参考,从而确保符合PCI DSS的防火墙(PCI兼容防火墙)。请参阅防火墙分析器涵盖的PCI-DSS合规性要求。