安全隐私合规/PCI DSS--1--支付卡行业数据安全标准介绍

本文主要是介绍安全隐私合规/PCI DSS--1--支付卡行业数据安全标准介绍,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、简介

PCI DSS指的是Payment Card Industry Data Security Standard(支付卡行业数据安全标准)的认证。PCI DSS是一个由PCI安全标准委员会制定的全球性信息安全标准,旨在保护持卡人数据和处理与支付卡相关的交易的组织安全。

现行标准版本为PCI DSS v4.0

PCI DSS合规性评估

PCI DSS标准从信息安全管理体系、网络安全、物理安全、数据加密等方方面面提出了诸多的安全基线要求。虽然没有任何一个信息安全标准或者安全建设可以保障实现百分之百的抵御安全风险,然而根据业界的积累,能够实现PCI DSS并且严格按照PCI DSS的要求持续实施针对持卡人数据环境的安全防护,安全事件发生的可能性将大大降低。

二、PCI DSS发展历程

三、PCI DSS适用性声明

PCI DSS适用于所有存储、处理或传输持卡人数据(CHD)或/和敏感验证数据(SAD)或可能影响持卡人数据环境(CDE)安全性的实体。
这包括所有参与支付卡帐户处理的实体—包括商户、处理商、收单机构、发卡机构和其他服务提供商。

四、PCI DSS的要求范围

PCI DSS 要求适用于:
▪持卡人数据环境(CDE)由以下部分组成:
–存储、处理和传输持卡人数据和/或敏感验证数据的系统组件、人员和流程

–可能不存储、处理或传输CHD/SAD的系统组件,但它们可以不受限制地连接到那些存储、处理或传输CHD/SAD的系统组件。

▪可能影响CDE安全的系统组件、人员和流程。
“系统组件”包括网络设备、服务器、计算设备、虚拟组件、云组件和软件。系统组件的包括但不限于:
▪存储、处理或传输帐户数据的系统(例如,支付终端、授权系统、清算系统、支付中间件系统、支付后台系统、购物车和店面系统、支付网关/开关系统、欺诈监控系统)。
▪提供安全服务的系统(例如,验证服务器、访问控制服务器、安全信息和事件管理(SIEM)系统、物理安全系统(例如,标记访问或CCTV)、多因素验证系统、反恶意软件系统)。
▪促进分段的系统(例如,内部网络安全控制)。
▪可能影响帐户数据或CDE安全的系统(例如,名称解析,或电子商务(网络)重定向服务器)。
▪虚拟化组件,例如虚拟机、虚拟交换机/路由器、虚拟设备、虚拟应用程序/桌面和虚拟机监视器。▪云基础设施和组件,包括外部和内部,并包括容器或图像的实例、虚拟私有云、基于云的身份和访问管理、驻留在内部或云中的CDE、带有容器化应用程序的服务网格以及容器协调工具。
▪网络组件,包括但不限于网络安全控制、交换机、路由器、VoIP网络设备、无线接入点、网络设备和其他安全设备。
▪服务器类型,包括但不限于Web、应用程序、数据库、验证、邮件、代理、网络时间协议(NTP)和域名系统(DNS)。
▪终端用户设备,例如计算机、笔记本、工作站、管理工作站、平板电脑和移动设备。
▪打印机,以及扫描、打印和传真的多功能设备。
▪任何格式的存储帐户数据(例如,纸质、数据文件、音频文件、图像和视频记录)。
▪应用程序、软件和软件组件、无服务器应用程序,包括所有购买的、订阅的(例如,软件即服务)、订制和定制软件,包括内部和外部(例如,互联网)应用程序。
▪实施软件配置管理的工具、代码库和系统,或用于将对象部署到CDE或可能影响CDE的系统。

五、PCI DSS测评内容概要(6大目标,12个大类)

建立并维护安全的网络和系统

1、安装并维护防火墙配置以保护持卡人数据

2、不要使用供应商提供的默认系统密码和其他安全参数

保护持卡人数据

3、保护存储的持卡人数据

4、加密通过开放的公用网络传输的持卡人数据

维护漏洞管理程序

5、为所有系统提供恶意软件防护并定期更新杀毒软件或程序

6、开发并维护安全系统和应用程序

实施强效访问控制措施

7、按业务知情需要限制对持卡人数据的访问

8、识别并验证对系统组件的访问

9、限制对持卡人数据的物理访问

定期监控并测试网络

10、跟踪并监控对网络资源和持卡人数据的所有访问

11、定期测试安全系统和流程

维护信息安全政策

12、维护针对所有工作人员的信息安全政策

这篇关于安全隐私合规/PCI DSS--1--支付卡行业数据安全标准介绍的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/333174

相关文章

性能测试介绍

性能测试是一种测试方法,旨在评估系统、应用程序或组件在现实场景中的性能表现和可靠性。它通常用于衡量系统在不同负载条件下的响应时间、吞吐量、资源利用率、稳定性和可扩展性等关键指标。 为什么要进行性能测试 通过性能测试,可以确定系统是否能够满足预期的性能要求,找出性能瓶颈和潜在的问题,并进行优化和调整。 发现性能瓶颈:性能测试可以帮助发现系统的性能瓶颈,即系统在高负载或高并发情况下可能出现的问题

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

图神经网络模型介绍(1)

我们将图神经网络分为基于谱域的模型和基于空域的模型,并按照发展顺序详解每个类别中的重要模型。 1.1基于谱域的图神经网络         谱域上的图卷积在图学习迈向深度学习的发展历程中起到了关键的作用。本节主要介绍三个具有代表性的谱域图神经网络:谱图卷积网络、切比雪夫网络和图卷积网络。 (1)谱图卷积网络 卷积定理:函数卷积的傅里叶变换是函数傅里叶变换的乘积,即F{f*g}

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

AI行业应用(不定期更新)

ChatPDF 可以让你上传一个 PDF 文件,然后针对这个 PDF 进行小结和提问。你可以把各种各样你要研究的分析报告交给它,快速获取到想要知道的信息。https://www.chatpdf.com/

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

C++——stack、queue的实现及deque的介绍

目录 1.stack与queue的实现 1.1stack的实现  1.2 queue的实现 2.重温vector、list、stack、queue的介绍 2.1 STL标准库中stack和queue的底层结构  3.deque的简单介绍 3.1为什么选择deque作为stack和queue的底层默认容器  3.2 STL中对stack与queue的模拟实现 ①stack模拟实现

数据治理框架-ISO数据治理标准

引言 "数据治理"并不是一个新的概念,国内外有很多组织专注于数据治理理论和实践的研究。目前国际上,主要的数据治理框架有ISO数据治理标准、GDI数据治理框架、DAMA数据治理管理框架等。 ISO数据治理标准 改标准阐述了数据治理的标准、基本原则和数据治理模型,是一套完整的数据治理方法论。 ISO/IEC 38505标准的数据治理方法论的核心内容如下: 数据治理的目标:促进组织高效、合理地