什么是PCI DSS合规
PCI DSS即支付卡行业数据安全标准,是由Visa、MasterCard、American Express、Discover和JCB等主要信用卡公司组成的PCI安全标准委员会(PCI SSC)制定的一套安全标准。其核心目标是确保所有处理、存储或传输信用卡或持卡人数据的公司都能维护一个安全的环境,从而保护持卡人数据免受数据泄露和欺诈风险,进而增强消费者信任,降低因数据安全问题导致的财务罚款和声誉损害风险。
PCI DSS合规认证是什么
PCI DSS合规认证是对组织遵守PCI DSS标准的一种经审计的保证。该认证通过一个严格的过程获得,包括由授权的独立审计机构进行的内部和外部安全筛查。认证过程涉及一系列全面的标准和规则,所有流程和程序每年都要接受详细的现场审计。
PCI DSS等级合规是什么
PCI DSS等级合规是指组织根据每年处理的信用卡或借记卡交易数量,必须遵守的不同合规等级。支付卡行业数据安全标准(PCI DSS)设有四个合规等级,每个等级都有其特定的要求。这些等级旨在确保所有处理持卡人数据的公司都能维护一个安全的环境,以防止数据泄露和欺诈。
PCI DSS合规等级
一级
适用对象 :每年处理超过600万笔信用卡交易的商户,包括大型零售商和金融机构。
要求 :
- 由PCI SSC批准的合格安全评估师(QSA)进行年度现场审计。
- 每季度由批准的扫描供应商(ASV)进行网络扫描。
- 完成合规证明(AOC)表格。
示例 :大型跨国零售商和金融机构。
二级
适用对象 :每年处理100万至600万笔信用卡交易的商户。
要求 :
- 完成年度自我评估问卷(SAQ)。
- 每季度由ASV进行网络扫描。
- 对于高安全风险商户(例如,完成SAQ A、A – EP或D的商户),需由QSA或内部安全评估师(ISA)进行年度审计。
示例 :交易量较大的中型企业。
三级
适用对象 :每年处理2万至100万笔电子商务交易的商户。
要求 :
- 完成年度自我评估问卷(SAQ)。
- 每季度由ASV进行网络扫描。
- 完成合规证明(AOC)表格。
示例 :交易量适中的小型电子商务运营。
四级
适用对象 :每年处理少于2万笔电子商务交易或不超过100万笔总信用卡交易的商户。
要求 :
- 完成年度自我评估问卷(SAQ)。
- 每季度由ASV进行网络扫描。
示例 :小型企业、地方零售商以及交易量较小的服务提供商。
相关术语
- 年度信用卡或借记卡交易数量 :商户在一年内处理的信用卡或借记卡交易总数。这个数字决定了PCI DSS合规等级。
- 电子商务交易 :通过互联网进行的交易,通常涉及信用卡或借记卡。
- 商户 :接受客户信用卡或借记卡支付的企业。
- 现实世界交易 :在实体店或其他非数字方式中发生的交易。
- PCI DSS合规等级 :基于年度交易数量的四个合规等级(一级、二级、三级、四级)。
- 批准的扫描供应商(ASV) :由PCI SSC批准执行季度网络扫描以确保合规的供应商。
- 合格安全评估师(QSA) :由PCI SSC批准为一级商户进行现场审计的专业人士。
- 自我评估问卷(SAQ) :商户完成的表格,用于自我评估其遵守PCI DSS要求的情况。
- 合规证明(AOC) :商户完成的表格,用于详细说明其内部安全标准和流程。
了解这些等级和要求对于商户来说至关重要,以确保他们遵守PCI DSS标准,保护持卡人数据并维护消费者信任。
什么是PCI DSS合规的要求
要实现并维持PCI DSS合规,组织必须遵守以下12项主要要求,这些要求旨在保护持卡人数据并确保交易安全:
- 安装并维护防火墙配置
- 制定并维护防火墙和路由器配置的标准,以确保持卡人数据免受内外部访问的威胁。定期审查并更新这些配置规则。
- 不要使用供应商提供的默认设置
- 避免使用网络设备的供应商提供的默认设置和配置。更改它们或停用不必要的默认账户,使用强加密技术,并制定最大安全性的配置标准。
- 保护存储的持卡人数据
- 只有在业务运营必要时才保留持卡人数据。限制存储,使敏感认证数据不可恢复,并在显示时遮蔽主账户号码(PAN),以防止欺诈或数据泄露。
- 加密跨开放网络传输的持卡人数据
- 使用强加密标准和安全协议来保护敏感持卡人数据在开放/公共网络上的传输。遵循最佳行业实践和标准,以维护认证并保护传输过程。
- 防范恶意软件并保持防病毒软件更新
- 在个人电脑和服务器上安装防病毒软件。定期评估不断演变的恶意软件威胁,进行深入扫描,并确保所有防病毒工具都保持最新。监控防病毒机制,以确保其正常运行。
- 维护安全的系统和应用程序
- 优先考虑安全,及时安装相关的安全更新。通过每年评估应用程序漏洞并使用自动化工具,维护和保护系统及应用程序免受威胁。
- 限制对持卡人数据的访问
- 限制对系统组件和持卡人数据的访问,仅限于特定员工。实施访问控制系统,并在整个组织内一致地记录安全政策和程序,以确保意识和合规性。
- 认证系统访问
- 确保每个访问系统或相关组件的个体都能通过分配独特的用户ID来唯一识别。制定政策和程序,有效管理普通用户和管理员在所有系统组件中的用户识别。
- 限制对持卡人数据的物理访问
- 实施有效的设施入口控制,以规范和监督对系统的物理访问。建立程序,以便轻松区分员工和访客,例如发放身份徽章。
- 跟踪和监控对网络资源和持卡人数据的所有访问
- 使用日志记录软件和机制来跟踪和监控对网络资源和持卡人数据的访问。实施自动化的审计跟踪,利用时间同步技术,并仔细审查安全事件,以识别异常情况。
- 定期测试安全系统和流程
- 定期测试安全系统和流程,以识别漏洞。这包括每季度由批准的扫描供应商(ASV)进行网络扫描,以及对一级商户进行年度渗透测试。
- 维护涵盖信息安全的政策
- 制定并维护一份全面的信息安全政策,涵盖所有人员和安全需求。确保所有员工都了解并遵守这些政策。
相关术语
- PCI要求6.6 :该要求包括应对电子商务等网络应用环境中持卡人数据常见威胁的选项。它涉及应用程序审查和使用网络应用防火墙。
- 持卡人数据访问 :仅限于业务目的需要的人员访问持卡人数据。
- 持卡人数据传输 :确保持卡人数据在开放网络上传输时被加密。
- 防火墙配置 :设置并维护防火墙,以防止持卡人数据未经授权的访问。
- 物理访问 :控制存储或处理持卡人数据的系统的物理访问。
- 安全的持卡人数据 :使用加密和其他保护措施保护存储的持卡人数据。
- 安全基础设施 :为保护持卡人数据而设置的总体安全措施和系统。
- 存储的持卡人数据 :系统中保留的数据,必须加以保护并加以限制。
- 系统密码 :更改默认密码,并使用强且独特的密码进行系统访问。
- 跟踪和监控的访问 :记录并监控对持卡人数据和网络资源的所有访问,以检测并应对安全事件。
通过遵守这些要求,组织可以确保其符合PCI DSS标准,保护持卡人数据并维护消费者信任。