什么是PCI
PCI = Payment Card Industry 支付卡行业
常见的PCI术语
PCI(Payment Card Industry):支付卡行业
PCI compliance:支付卡行业合规
PCI DSS(Payment Card Industry Data Security Standard):指支付卡行业数据安全标准
PA DSS(Payment Application Data Security Standard):支付应用程序数据安全标准
PCI SSC(PCI Security Standards Council):支付卡行业安全标准委员会
PCI合规
面对信用卡支付欺诈和交易数据的篡改事件逐渐增多,支付卡行业合规需求应然而生。
那么合规有哪些标准呢?
PCI-DSS: 数据安全标准,确保支付卡在数据处理上的安全要求,主要是针对支付卡数据存储和支付处理的企业。
PA-DSS: 支付应用程序数据安全标准, 主要是为了保护持卡人的数据,支付处理应用程序应该满足的要求。在PCI SSC有一个认证维护的应用程序列表。主要针对支付软件生产企业。
以下包括主要的合规内容:
- Secure Network
Maintain firewall to protect consumer data - Data Protection
Protect and encrypt cardholder data transmissions - Risk Management
Maintain secure systems by targeting vulnerabilities - Access Control
Restrict access to cardholder data by a need-to-know basis - Monitoring
Regularly monitor networks and track access to resources - Maintenence
Maintain a policy that addresses security
可参考官方网站:
PCI Security Standards Council
什么是PCI-DSS
PCI-DSS = Payment Card Industry - Data Security Standard
即支付卡行业数据安全标准,是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使国际上采用一致的数据安全措施,简称PCI DSS。
PCI DSS 适用于所有涉及支付卡处理的实体,包括商户、处理机构、收单机构、发卡机构、服务提供商以及所有其他存储、处理或传输持卡人数据和/或敏感验证数据的实体。旨在保护持卡人数据的技术和操作要求提供了一个基准, 同时为管理持卡人数据的组织提供了一套详细的指导方针,以保护其基础设施和其管理的支付数据。
最新的 PCI DSS 3.2 版发布自 2018 年 7 月生效。
六大组成部分
建立并维护安全的网络
关键在于围绕管理访问、服务器功能、虚拟机等方面建立强大的细粒度控制,配置防火墙,设备安全参数不使用默认的厂商配置,如口令和其他参数。
保护持卡人数据
对持卡人数据的存储进行加密,同时利用安全协议对传输进行加密处理。
维护漏洞管理计划
部署杀毒软件,对系统不断的更新安全补丁和和漏洞信息,同时在应用系统的开发上面进行有效的环境隔离,比如UAT, SIT, PRD的环境隔离,在开发过程中需要不断引入信息安全检测和评估。
实施访问控制措施
对可访问敏感资源的用户以及访问条件建立强有力的控制,根据业务的需求以最低最小访问权限为原则,要做到物理,人员可追踪。
定期监控并测试网络
跟踪并监控对网络资源和持卡人数据的所有访问,做到日志记录可审计,对所有安全措施进行定期测试,如漏洞扫描,渗透测试,入侵检测/防御测试。
维护信息安全政策
工作人员应对信息安全政策进行定期审阅,严管数据泄露等防护措施。
中文参考文档
中文PCI-DSS v3.2.1 数据安全标准及安全评估程序
或 在官方文档集中输入关键字找到:Link