什么是PCI DSS合规性?

PCI-DSS是支付卡行业数据安全标准。顾名思义,本标准适用于支付卡行业。

为什么需要PCI-DSS合规性法规?

无论是现金还是信用卡,金融交易都有风险。对于现金交易,实物安全至关重要。对于信用卡交易,数据安全是最重要的,物理安全是最重要的。支付卡可以是贷记卡或借记卡。如果支付卡的财务和个人数据是安全的,它将防止交易失败。

如果支付卡的数据不安全:

  • 客户可能会赔钱。
  • 商人和金融机构将失去信誉,反过来商业。
  • 它将招致刑事诉讼和罚款。

因此,支付卡行业主动以数据安全标准规范卡数据交易。

信用卡数据行业的主要参与者Visa、Master card、American Express、Discover和JCB于2006年结成联盟,以创建一个安全标准理事会支付卡行业。委员会为支付卡交易中涉及的所有数据制定了安全标准。PCI-DSS合规性(PCI DSS compliance Firewall)适用于支付卡交易中涉及的所有实体。该条例涵盖中小商户、大商户、银行和金融机构参与信用卡交易受PCI-DSS。对于软件应用程序开发人员来说,它是PCI PA-DSS。对于POS供应商和硬件制造商来说,它是PCI-PTS。其中,PCI-DSS非常重要,因为它管理着大量的实体。这些实体参与了数以百万计的信用卡交易。

要保护哪些支付卡数据?

数据窃贼寻找持卡人和身份验证数据。

持卡人数据

  • 主账号(PAN)
  • 持卡人姓名
  • 到期日期
  • 服务代码

敏感身份验证数据

  • 全磁道数据(磁条数据或芯片上的等效数据)
  • CAV2/CVC2/CVV2/CID
  • PINs/PIN blocks

所有参与支付卡交易的人都应该确保数据是安全的。为了保证数据的安全,PCI-DSS安全委员会提出了一系列要求来满足这些要求。

PCI DSS合规性包括哪些内容?

PCI-DSS有12个要求和测试程序,包括技术和操作组件。

实现目标 如何实现
建立和维护一个安全的网络
  1. 安装并维护防火墙配置以保护持卡人数据。
  2. 不要对系统密码和其他安全参数使用供应商提供的默认值。
保护持卡人数据
  1. 保护存储的持卡人数据。
  2. 在开放的公共网络上加密持卡人数据的传输。
维护漏洞管理程序
  1. 使用并定期更新防病毒软件或程序。
  2. 开发和维护安全系统和应用程序。

实施强有力的访问控制措施
  1. 根据业务需要限制对持卡人数据的访问。
  2. 为每个有计算机访问权限的人分配一个唯一的ID。
  3. 限制对持卡人数据的物理访问。
定期监测和测试网络
  1. 跟踪和监控对网络资源和持卡人数据的所有访问。
  2. 定期测试安全系统和流程。
维护信息安全策略
  1. 维护一个解决员工和承包商信息安全问题的政策。

 

这是一个三步走的过程(如何获得PCI DSS合规性?)保护任何组织的持卡人数据。

他们是:

  • 评估

在此步骤中,识别持卡人数据,清点IT资产和支付卡业务流程,并分析漏洞。
要评估,有合格的安全评估员。选择附近可用的评估员。对于小商人和服务提供商来说,自我评估问卷(SAQ)就足够了。

  • 补救

修复此漏洞,除非绝对必要,否则不要存储持卡人数据。
确保持续监控合规性。定期监控可能会有漏洞,以防数据被盗。

  • 报告

编译并提交PCI DSS合规性报告执行卡品牌或银行。
PCI-DSS安全委员会不强制遵守PCI DSS防火墙。只有信用卡品牌或银行。

Firewall Analyzer如何使您的PCI-DSS法规遵从性更容易

Firewall Analyzer持续监视网络以符合PCI-DSS防火墙要求(PCI compliance Firewall configuration)。这个防火墙PCI符合性报告可以随时拉到满足审核要求。您还可以安排PCI防火墙报告并将其记录以备将来参考,从而确保符合PCI DSS的防火墙(PCI兼容防火墙)。请参阅防火墙分析器涵盖的PCI-DSS合规性要求