本文主要是介绍安全隐私合规/PCI DSS--1--支付卡行业数据安全标准介绍,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、简介
PCI DSS指的是Payment Card Industry Data Security Standard(支付卡行业数据安全标准)的认证。PCI DSS是一个由PCI安全标准委员会制定的全球性信息安全标准,旨在保护持卡人数据和处理与支付卡相关的交易的组织安全。
现行标准版本为PCI DSS v4.0
PCI DSS合规性评估
PCI DSS标准从信息安全管理体系、网络安全、物理安全、数据加密等方方面面提出了诸多的安全基线要求。虽然没有任何一个信息安全标准或者安全建设可以保障实现百分之百的抵御安全风险,然而根据业界的积累,能够实现PCI DSS并且严格按照PCI DSS的要求持续实施针对持卡人数据环境的安全防护,安全事件发生的可能性将大大降低。
二、PCI DSS发展历程
三、PCI DSS适用性声明
PCI DSS适用于所有存储、处理或传输持卡人数据(CHD)或/和敏感验证数据(SAD)或可能影响持卡人数据环境(CDE)安全性的实体。
这包括所有参与支付卡帐户处理的实体—包括商户、处理商、收单机构、发卡机构和其他服务提供商。
四、PCI DSS的要求范围
–可能不存储、处理或传输CHD/SAD的系统组件,但它们可以不受限制地连接到那些存储、处理或传输CHD/SAD的系统组件。
▪可能影响CDE安全的系统组件、人员和流程。
“系统组件”包括网络设备、服务器、计算设备、虚拟组件、云组件和软件。系统组件的包括但不限于:
▪存储、处理或传输帐户数据的系统(例如,支付终端、授权系统、清算系统、支付中间件系统、支付后台系统、购物车和店面系统、支付网关/开关系统、欺诈监控系统)。
▪提供安全服务的系统(例如,验证服务器、访问控制服务器、安全信息和事件管理(SIEM)系统、物理安全系统(例如,标记访问或CCTV)、多因素验证系统、反恶意软件系统)。
▪促进分段的系统(例如,内部网络安全控制)。
▪可能影响帐户数据或CDE安全的系统(例如,名称解析,或电子商务(网络)重定向服务器)。
▪虚拟化组件,例如虚拟机、虚拟交换机/路由器、虚拟设备、虚拟应用程序/桌面和虚拟机监视器。▪云基础设施和组件,包括外部和内部,并包括容器或图像的实例、虚拟私有云、基于云的身份和访问管理、驻留在内部或云中的CDE、带有容器化应用程序的服务网格以及容器协调工具。
▪网络组件,包括但不限于网络安全控制、交换机、路由器、VoIP网络设备、无线接入点、网络设备和其他安全设备。
▪服务器类型,包括但不限于Web、应用程序、数据库、验证、邮件、代理、网络时间协议(NTP)和域名系统(DNS)。
▪终端用户设备,例如计算机、笔记本、工作站、管理工作站、平板电脑和移动设备。
▪打印机,以及扫描、打印和传真的多功能设备。
▪任何格式的存储帐户数据(例如,纸质、数据文件、音频文件、图像和视频记录)。
▪应用程序、软件和软件组件、无服务器应用程序,包括所有购买的、订阅的(例如,软件即服务)、订制和定制软件,包括内部和外部(例如,互联网)应用程序。
▪实施软件配置管理的工具、代码库和系统,或用于将对象部署到CDE或可能影响CDE的系统。
五、PCI DSS测评内容概要(6大目标,12个大类)
建立并维护安全的网络和系统
1、安装并维护防火墙配置以保护持卡人数据
2、不要使用供应商提供的默认系统密码和其他安全参数
保护持卡人数据
3、保护存储的持卡人数据
4、加密通过开放的公用网络传输的持卡人数据
维护漏洞管理程序
5、为所有系统提供恶意软件防护并定期更新杀毒软件或程序
6、开发并维护安全系统和应用程序
实施强效访问控制措施
7、按业务知情需要限制对持卡人数据的访问
8、识别并验证对系统组件的访问
9、限制对持卡人数据的物理访问
定期监控并测试网络
10、跟踪并监控对网络资源和持卡人数据的所有访问
11、定期测试安全系统和流程
维护信息安全政策
12、维护针对所有工作人员的信息安全政策
这篇关于安全隐私合规/PCI DSS--1--支付卡行业数据安全标准介绍的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!