PCI DSS要求

PCI-DSS（支付卡行业数据安全标准）是信用卡处理行业中最重要的安全标准。

这些规定是在全球最大的信用卡公司的监督下制定的，其目的是……保护持卡人的数据，防止数字欺诈行为的发生。所有在线供应商都必须遵守PCI-DSS标准，这样才能避免被罚款，同时降低数据泄露的风险。

这篇文章将会解释以下内容：12项核心的PCI-DSS要求。我们将说明如何将这些要求整合到安全设置中。此外，我们还将探讨组织在努力符合PCI-DSS标准时面临的一些重要挑战。

12项PCI DSS要求

• 构建安全的系统
• 保护持卡人的数据安全
• 管理网络漏洞
• 实施访问控制与身份验证机制，以限制访问权限。
• 对网络资产进行记录与测试
• 信息安全政策
  
  

这些分类为合规性项目提供了良好的基础。不过，IT团队需要逐一考虑这12项要求。那么，让我们来逐一了解这些要求，并说明如何达到PCI合规性标准吧。

要求1：实施网络安全控制措施

安装并维护一个安全的防火墙这是PCI-DSS合规性要求中最为重要的几项之一。.防火墙通过过滤进出网络的流量来保护存储的持卡人数据。它们还可以阻止那些身份不明的用户访问系统。而下一代防火墙则能够主动拦截恶意软件，并检测异常行为。

防火墙的配置非常重要。安全团队必须正确配置防火墙，以在保护CDE的同时，允许授权用户访问该系统。防火墙的规则应该被记录下来，并且需要加以明确说明。所有网络接入点都应该实现标准化。进入CDE的道路上不应有未经保护的路线。

数据流图有助于……用户设备、外部服务器与CDE之间的模型连接关系。企业必须清楚了解持卡人的信息是如何在用户与数据中心之间流动的。这些信息有助于实施有针对性的控制措施，从而保护机密数据的安全。

要求2：确保所有应用程序和设备的配置都得到安全保护。

PCI-DSS建议不要保留供应商的默认设置。这涉及到系统中的各个组件。这包括服务器、路由器、硬件防火墙，以及网络中所使用的所有应用程序。如果继续使用供应商提供的默认设置，那么原本安全的网络就会面临外部攻击的威胁。因此，务必将密码或用户名等默认的安全参数更换为更安全的替代方案。

采取必要的措施来加强第三方设备和应用程序的安全性。同时，要覆盖网络清单中的所有资产。例如，安全措施应适用于销售点设备、WEP密钥、操作系统以及CRM系统。此外，还要保护并重新配置所有与CDE相连的设备。

要求3：保护存储的持卡人数据

保护持卡人的数据是PCI-DSS法规的核心目标。该法规提供了一套关于如何实现强大数据安全性的建议。

各组织应该……使用256位加密标准对所有存储的客户数据进行加密处理。IT团队还应为加密密钥创建安全的存储系统。

一些客户数据，比如主要账户号码，通常并未被加密处理。在这种情况下，相关机构应当采取措施来保护这些数据的安全性。对数字进行截断处理，并应用掩码处理。使得PANs无法被未经授权的人员访问。

公司还应该有明确的……关于删除不必要的客户数据的政策。为数据删除设定时间限制，同时尽量减少服务器上存储的机密数据的数量。

要求4：在网络传输过程中，必须保护持卡人的数据安全。

PCI-DSS的规定还包括关于如何执行相关要求的建议。安全地传输持卡人的数据。在传输过程中，数据容易受到攻击，这些攻击可能来自主动的黑客，也可能来自那些潜伏在系统中的恶意软件。因此，对数据进行严格的控制是非常必要的。

安保团队应该……对持卡人数据的传输进行加密处理无论它走到哪里.同时，应使用最新版本的传输协议，比如TLS。还应制定相关规则，禁止通过电子邮件传输加密后的机密数据。此外，还要求电子邮件用户必须对所传输的数据进行加密处理。

公司应该……注意数据流动的情况系统必须记录支付卡数据的传输过程，包括数据传输的时间以及用户的身份信息。

要求5：必须安装恶意软件扫描工具和杀毒软件。

恶意软件攻击是数据泄露最常见的原因。根据PCI-DSS的规定，企业必须采取措施来防范此类攻击。有效的防御措施，以阻止恶意软件及其他有害软件的入侵。.

各组织必须……请安装防病毒软件，以保护CDE系统。防病毒软件应该能够有效应对各种新出现的威胁。这一点非常重要。定期更新安全工具攻击者会迅速利用反恶意软件系统中的漏洞进行攻击。因此，应自动化补丁更新流程，并将这些更新纳入常规的数据安全审计中。

请确保防病毒软件能够保护所有相关的设备。这包括本地服务器和路由器，以及处理信用卡数据的云存储容器和应用程序。同样重要的是，还需要保护远程设备。连接到CDE的设备必须采用最新的恶意软件防护措施。

要求6：开发并维护安全的硬件和软件系统。

符合PCI-DSS标准的组织必须……制定相关流程，以开发安全可靠的系统。数据安全性应该是所有网络规划中的关键要素。这包括开发新的应用程序、添加数据容器以及重新设计网络基础设施。

这是PCI-DSS合规性中的一个动态方面。企业必须证明自己能够在不断变化的环境中应用数据安全规则。

各组织应当具备相应的能力/条件来做到这一点。他们评估了CDE及其各个组成部分的风险。这包括识别潜在的漏洞，并选择合适的安全控制措施来消除这些漏洞。

更新管理同样非常重要。IT团队应在可能的情况下更新网络资产，包括所有连接的设备。所有的变更都应被记录下来，作为审计过程的一部分。

要求7：对机密信息的访问权限应仅限于需要知晓的人员。

严格的访问控制措施是PCI-DSS合规性的核心。各组织必须保护所有存储的持卡人数据。为此，他们必须采取相应的措施来确保数据安全。确保数据仅对授权用户可访问。此外，系统应该只在必要时才允许访问。

实现这一目标的最佳方式就是实施“仅允许必要人员访问”的访问控制措施。用户应根据其业务角色，拥有明确定义的权限。基于角色的访问控制机制应当允许对相关数据的访问。而CDE中的其他所有数据，在没有获得适当授权的情况下，都不得被访问。

定期评估基于角色的访问权限设置。这些设置应使得员工能够执行相应的任务，但同时应尽量减少其他用户的权限。管理员还应及时删除不再需要的账户，并记录所有账户的删除情况，以便进行审计。

要求8：结合认证与授权机制，以保护数据安全。

访问控制机制应结合可靠的认证系统来保障敏感数据的安全。根据PCI-DSS的规定，各组织必须做到这一点。实施多因素认证（MFA）当用户试图访问受保护的信息时，系统会进行验证。用户至少需要提供两个独特的标识符，之后系统才会授予访问权限。

用户身份也应该是唯一的。各组织应限制所有网络资源使用共享密码的情况。同时，也不应该通过共享账户来访问持卡人的数据。每个用户账户都应拥有唯一的标识符。这样，安全团队就可以记录用户的操作行为，并将这些行为追溯到具体的用户身上。

密码管理也很重要。用户应该……务必使用强度较高的密码。此外，安全政策还应要求定期更换密码。存储的密码必须被加密处理，同时，对于请求更改认证凭据的行为，也应有明确的政策规定。

要求9：为敏感设备制定物理访问控制措施。

PCI-DSS的合规性并非仅仅是数字领域的挑战。为了完全符合PCI-DSS的要求，各组织还必须……限制对存储或传输机密数据的设备的物理访问权限。这一部分还包括所有包含持卡人信息的纸质记录。

各组织应当能够安全地访问数据中心和办公室中的数据。只有具备相应资质的人员才能访问卡片上的数据。通常使用钥匙卡和扫描设备来限制对关键网络资源的物理访问。

公司还必须……记录与服务器及关键基础设施相关的活动情况根据PCI-DSS的规定，各组织必须至少保留相关区域的视频录像90天。同样，关于谁进入受限区域的记录也需被保存下来。

物理安全也涉及到……管理外部设备的使用例如，员工使用的任何U盘在使用后都应被销毁。此外，安全政策还应禁止在连接网络时使用未经授权的设备。

要求10：维护系统组件以及客户数据的活动日志。

根据PCI-DSS的要求，必须持续监控网络活动。各组织必须做到这一点。准确记录用户的操作行为。而且这些日志必须……处理所有访问请求这包括那些成功的和失败的请求。

管理员应该以易于阅读的格式存储日志数据，并且能够随时查看这些日志。根据记录的数据生成审计报告。报告中应包含有关访问时间以及用户所访问的资源的相关信息。审计人员应该能够利用这些数据来……分析过去一年中的用户活动情况.

伐木行为也应该如此。记录网络安全参数的变更情况。例如，如果管理员在防火墙配置中添加了新的规则，那么任何与安全相关的更改都应该被记录下来，以便审计人员参考。

合规机构也需要这样做。提供证据证明他们已经查阅了相关活动日志。各组织应安排审计工作，以分析网络中的漏洞，并利用所收集到的数据来完善其安全措施。

要求11：定期进行安全测试

应对不断变化的威胁这也是PCI-DSS合规性的另一个重要要求。符合要求的组织必须维护能够应对新威胁和漏洞的安全系统。这就要求定期进行全面的安全测试。

根据组织的PCI等级不同，安全测试的形式也会有所不同。几乎所有公司都必须进行这样的测试。季度性网络扫描。扫描工作必须由经过认可的扫描服务商来执行。他们使用诸如IP地址和外部域名等参数来检测未经授权的访问点。

各组织还应开展相应的工作。进行内部扫描，以识别网络中的薄弱环节。这些扫描能够检测到隐藏在系统中的恶意软件、未经授权的网络流量，以及潜在的软件漏洞。

许多符合PCI标准的公司也需要进行相关操作。定期渗透测试这些测试是由第三方合作伙伴来执行的，它们模拟了最常见的外部攻击形式。根据PCI规则，企业通常需要每年对自身的CDE系统进行渗透测试。

要求12：制定安全政策及培训计划，以支持数据安全系统的运行。

公司必须……制定信息安全政策该文件记录了企业的安全控制措施，同时也证明了企业具备完善的PCI合规性要求。

信息安全政策包含了关于整个数据安全环境的详细信息。这些政策明确说明了系统如何保护持卡人的数据。这包括：访问控制、加密措施、物理安全以及数据共享等方面的问题。该政策应被发送给所有网络用户，并且应存储在易于访问的中央存储库中。

该信息安全政策还提供了一些相关的内容/规定。员工及第三方培训的基础/依据合规的组织必须确保所有网络用户都了解数据安全政策。管理员应酌情核实并加强这些知识的普及工作。

如何达到 PCI DSS 的要求？

如果您接受在线信用卡支付或存储信用卡信息，那么您就必须遵守PCI-DSS标准。这一点适用于那些在全球范围内开展业务的公司，也适用于小型初创企业。不过，无论企业的规模如何，要符合这些标准的过程都是相对一致的。

为了实现合规，各组织需要做到以下几点：

1. 需要确定他们是否符合PCI系统的定义，即属于商业实体还是服务提供商。
2. 需要确定它们的PCI-DSS达标等级。这些等级通常与该组织每年处理的交易数量有关。随着组织在PCI等级体系中的层级上升，所需的控制措施和文档要求也会变得更加复杂。
3. 需遵守相关的PCI-DSS标准。应实施相应的控制措施，确保组织能够完全遵循PCI系统的12条要求。
4. 进行合规性报告（ROC）。这是一种对组织安全控制措施进行评估的方式。小型企业可以使用内部专业知识来完成这项任务。
5. 执行必要的网络扫描和渗透测试，以确保系统处于安全状态。进行网络测试时，通常需要借助第三方认证的检测机构来协助完成。
   
   

合规性并非一次性的成就。各组织必须努力保持其PCI认证资格。这涉及到每年进行安全评估，以及每季度对网络进行扫描。企业还应提供持续进行安全管理的证据，以保护持卡人的数据。这一过程是动态的。

此外，还有一些其他细节也是各组织需要了解的。

• Mastercard和Discovery卡的PCI等级通常是一致的。不过……美国运通、JCB以及Visa所使用的分类系统略有不同。请访问PCI的官方网站，以确保您能找到适合您组织的正确级别。
• 对于那些最近遭受过网络攻击的公司来说，签证申请者可能还需要提供更多的证明或保证。在某些情况下，信贷公司可能会将受影响的公司提升一个等级。这可能会显著改变实现合规所需的步骤和要求。
• 较小的组织通常可以在内部完成合规相关的任务。但在更高层次上，则需要外部的支持。这涉及到安全方面的需求。