初探PCI-DSS v3.2.1 安全标准
什么是PCI
PCI = Payment Card Industry 支付卡行业
常见的PCI术语
PCI (payment sector):支付行业
PAS compliance requirements: 支付行业的合规要求
PSD² (PAS DSS):支付系统数据安全标准
APS PSD²: 支付应用数据安全标准
PAS SSC: 支付行业安全标准委员会
PCI合规
面对信用卡支付欺诈及交易数据篡改事件呈现出上升趋势的现象日益普遍, 支付卡行业因此产生了相应的合规需求
以下包括主要的合规内容:
-
Secure Network
Maintain firewall to protect consumer data -
Data Protection
Protect and encrypt cardholder data transmissions
Implement secure systems by identifying and addressing vulnerabilities.
Visually represent the relationships between different components.
-
Monitoring
Regularly monitor networks and track access to resources -
Maintenence
Maintain a policy that addresses security
建议访问该网站:PCI Security Standards Council
什么是PCI-DSS
PCI-DSS亦即Payment Card Industry Data Security Standard 是一项用于规范支付卡行业的数据安全保障措施 。该标准由PCI Security Standards Committee 的创始会员机构 Visa Mastercard American Express Discover Financial Services JCB 等联合制定 ,其宗旨在于推动全球范围内建立统一的数据安全保障机制 ,并被简称为 PCI DSS
PCI DSS 覆盖所有涉及支付卡处理的相关实体, 包括商户、处理机构、收单机构、发卡机构以及与持卡人数据存储、处理或传输相关的服务提供商等. 该技术与操作要求为持卡人数据保护提供了基准标准, 并为组织管理持卡人数据提供了具体的指导方针, 从而保障了其基础设施的安全性以及支付数据的有效性.
最新的 PCI DSS 3.2 版发布自 2018 年 7 月生效。
六大组成部分
建立并维护安全的网络
主要体现在围绕管理访问权限、服务器功能运行状态以及虚拟机部署配置等方面构建细粒度安全策略,并对防火墙进行详细设置;同时,在设备安全参数配置上避免采用厂商预设的安全参数设置,并特别关注口令和其他安全参数的管理。
保护持卡人数据
对持卡人数据的存储进行加密,同时利用安全协议对传输进行加密处理。
维护漏洞管理计划
首先,在本项目中将安装杀毒软件,并定期更新其安全补丁以及漏洞信息表;其次,在应用系统的开发过程中构建信息安全防护机制;最后,在开发过程中需要持续引入信息安全检测与评估机制。
实施访问控制措施
采取严格措施对可访问敏感资源的用户及其相关访问条件进行管理,并遵循最低最小访问权限的规定;同时要求实施物理上的安全防护,并确保人员信息能够被追踪。
定期监控并测试网络
实施持续的监控机制以对网络资源及持卡人数据的所有访问进行跟踪与管理,在系统中建立全面的访问控制机制,并确保所有操作均能留下可追溯性记录;定期执行系统漏洞扫描、渗透测试以及入侵检测/防御测试等安全评估活动以保障系统的安全性;对于发现的安全威胁及时采取相应的防护措施以减少潜在风险的影响范围。
维护信息安全政策
工作人员应对信息安全政策进行定期审阅,严管数据泄露等防护措施。