PCI DSS合规政策和模板

PCI-DSS（支付卡行业数据安全标准）是一套旨在保护持卡人数据、防止支付卡欺诈的安全要求。该标准为各组织提供了关于如何安全地处理和存储信用卡及借记卡信息的明确指导。

如果一个组织符合PCI DSS的要求，那就意味着该组织已经实施了必要的安全控制措施。实际上，这包括对敏感信息进行加密处理、维护安全的网络环境，以及持续监控其系统状况。

为什么需要一份PCI政策呢？

• 持卡人数据环境的范围
• 用于保护CDE的访问控制机制
• 诸如加密和威胁管理系统之类的数据保护工具
• 针对数据保护以及功能恢复而制定的应急响应计划
• 为确保数据安全而制定的审计程序
• 用于调查和解决安全问题的系统测试

PCI-DSS政策旨在向关键利益相关方提供相关信息。该政策应当让网络用户了解他们在保障网络安全方面的责任。为员工或第三方提供培训补充内容。为评估用户活动提供了基准依据。

一个良好的PCI政策也非常重要。融入到严格的数据安全实践之中该政策有助于明确安全目标，并识别出重要的资产。企业可以找出需要改进的地方，比如相关协议以及访问控制方面的问题。满足PCI安全标准将有助于确保系统的安全性。数据保护得到改进，数据泄露事件减少，经济损失也相应降低。.

此外，PCI相关政策文件为监管机构、客户以及审计人员提供明确的信息。这增强了人们对公司致力于保障安全这一承诺的信心。外部人士可以轻松评估公司的安全控制措施以及整个组织的安全状况。

这很重要，因为……安全性是企业评估过程中的核心要素之一。那些在安全与合规性方面表现不佳的组织，将会在竞争中处于劣势，因为那些拥有严格合规流程的竞争对手能够轻松战胜他们。

一个PCI政策应该包含哪些内容呢？

IT团队应当确保包含了PCI-DSS政策中的所有相关条款。这个模板结构包含了所有最重要的要素：

范围/规模

本部分定义了该政策所涵盖的範围。这包括那些受PCI-DSS合规性约束的关键系统、流程以及网络用户。

角色与职责

描述/说明个人和团队在保护持卡人数据方面所扮演的角色这是一项基本要求，即网络用户必须遵循相关的合规政策，并履行自己的职责。具体的角色与职责则会在下面的安全控制条款中详细说明。

安全目标

概述了该组织的总体安全目标。这一简短的目标陈述应着重于确保卡持有人的数据环境符合PCI-DSS的要求。

安全控制措施

该政策的这一深入部分详细说明了为保护客户数据而所需采取的安全措施。每个控件都应包含三个部分：

• 目的为什么安全控制是PCI-DSS中的重要要求呢？
• 观众/听众– 安全控制措施适用于哪些对象/情况
• 政策/规定– 信息安全控制措施是如何满足特定的PCI-DSS要求的。
  
  

相关的安全控制措施包括：

访问管理

访问控制机制决定了谁可以访问CDE，以及他们可以在何时进行访问，同时还能决定他们可以执行哪些操作。这适用于所有能够访问持卡人数据的人。此外，它还包含了关于设备使用的规则，包括现场使用以及远程使用的情况。需要记录所有正在使用的授权系统，包括基于属性或角色的访问控制方式。

账户管理

详细说明了用户账户的创建、管理和删除过程。其中，用户必须同意遵守相关的安全政策。每个账户都应拥有唯一的标识符。禁止共享账户。本部分还可能涉及多因素认证或双因素认证系统的相关细节。此外，如果适用，还可能会涉及到第三方或供应商账户的相关内容。

数据加密

定义了用于保护客户数据的加密标准，以及如何存储加密密钥和敏感认证数据。

数据保护与存储

其中包含了关于如何保留和安全地删除持卡人数据的指导方针。这些指导方针应包括对支付卡数据的安全保护措施，比如主账户号码的保护，同时还需要对所有信用卡数据进行加密处理。

防火墙

防火墙是如何配置的，以及防火墙如何保护CDE内的安全区域。其中还包含了针对远程设备的防火墙相关要求。此外，还可能包含有关如何实现分段以创建DMZ来保护最敏感数据的详细信息。

设备管理

该文档详细描述了该组织如何管理数字和物理资产以保护数据。其中包括用于接收支付款项以及处理持卡人数据的设备。此外，还需要对所有设备进行清点，并记录设备的维护活动。备份与安全措施也是此部分的内容之一。

网络管理

这些规定涉及CDE范围内的网络基础设施。标准的网络安全配置应强制要求对设备进行补丁更新，并更改供应商提供的默认设置。各公司应绘制数据流图，以跟踪网络中持卡人的数据信息。所有设备都应安装防病毒软件。此外，加密措施应适用于无线网络，同时还需要对无线接入点实施特定的控制措施。

活动记录

这表明，该组织为所有设备和用户都保留了审计记录。所有访问请求和操作都必须使用时间戳来标记。这些审计记录应当受到保护，避免被篡改。此外，日志信息也需要被仔细审查，以便发现任何安全问题。

事件响应

在发生安全事件时，该组织应如何应对。根据PCI-DSS的规定，该组织需要制定一份定期测试的应对计划。安全团队应随时能够响应各种安全警报。

物理访问权限

在CDE的管辖范围内，所有的设备都需要进行访问控制。企业还应通过摄像头和传感器来密切监控物理访问情况。对物理访问权限的授予应基于角色进行，只有具备特定权限的人才能访问存储持卡人数据的设备。访客管理部门应该对所有外部访客进行身份识别并授予相应的访问权限。

远程访问

对于远程访问CDE的情况，应该采取不同的控制措施。这包括使用多因素认证机制，以及利用数据跟踪技术来防止敏感数据的传输。组织应审批所有用于远程访问的设备。同时，还应制定相关规则，以规范对敏感认证数据的存储方式，并避免使用不安全的公共网络进行访问。

软件开发

其中包括了关于创建和维护CDE的相关规则。这一部分主要涉及到开发人员的职责。在测试过程中，所有与个人用户相关的数据都应被删除。应用程序开发者应遵循安全编码规范。此外，还必须采取适当的措施来保护那些面向公众的应用程序。

脆弱性管理

本节定义了检测安全漏洞的相关流程。该内容可以作为安全控制机制的一部分来包含，也可以单独作为一个独立的章节进行介绍。无论哪种情况，该部分都应涵盖PCI-DSS的相关规定。

网络扫描

网络扫描应该每季度进行一次。组织应委托经过认可的扫描供应商来执行网络扫描工作。扫描结果应依据其严重程度来评定存在的漏洞。在确保所有漏洞都被修复之前，可能需要继续进行扫描工作。

定期进行补丁管理

IT团队应在获得新的安全补丁后，立即更新CDE中的所有软件。如果尚未安装这些补丁，则需要进行网络扫描，以确定是否需要更新软件。

渗透测试

该政策可能要求由ASV每年进行一次渗透测试。这种测试可以模拟常见的网络攻击，从而找出需要改进的地方。

入侵检测/预防系统（IDPS）应该能够检测到即将到来的威胁，并采取相应的控制措施来消除这些攻击。

培训/训练

该文档详细说明了为满足所有PCI-DSS要求而实施的培训及员工意识提升计划。这些培训应围绕数据安全方面的责任展开，且这些计划应涵盖所有使用CDE系统的用户。

监控

该政策应该明确界定相关事项。用于监控PCI合规性的一系列流程。这包括按照组织的 PCI 级别进行定期审计。此外，还包括对威胁的评估以及事件的报告工作。

执行/实施

一个简短的章节，用于介绍/说明相关内容。不遵守PCI安全规范的行为所应受到的处罚违规行为可能包括内部纪律处分、解除劳动合同，甚至面临刑事处罚。此外，本节还应包括对供应商的处罚措施，包括解除与供应商的协议以及进行法律追究。

政策审查

需要制定一份用于审查PCI-DSS政策的计划。该计划应考虑到新的法规、组织运营结构的变更以及技术的发展情况。

PCI-DSS模板应包含所有这些要素，以全面满足监管要求。点击此处下载包含必要要素的PCI政策模板样本。

如何创建PCI政策模板

建议遵循PCI模板来操作。这些模板涵盖了所有相关领域，同时还能吸引IT团队的注意力，从而帮助他们实现PCI-DSS的目标。他们减少了那些不太重要的数据安全措施，而将重点转向那些属于PCI规则范围内的问题。

各组织可以下载预先准备好的模板，或者按照上述结构来自行设计模板。使管理员能够自定义其 PCI 合规政策的结构和内容。如果您选择自己创建模板的话，请遵循以下建议，以制作出一份有效的合规文件。

了解PCI-DSS的要求。

在撰写任何内容之前，政策制定者必须熟悉PCI相关法规。IT团队应该确定其组织的PCI等级。同时，他们还需要明确哪些信用卡公司与其面临的合规挑战相关。

各公司的合规要求有所不同。例如，American Express在保护持卡人数据方面的要求与Mastercard有所不同。这些政策必须符合企业的实际需求。作家们必须清楚自己所保护的权益是什么，同时也要明白监管机构对他们的期望是什么。.

2. 根据组织的需求来定制您的模板。

每一个符合PCI-DSS要求的组织都是独一无二的。各公司的具体情况也各不相同。每家公司都有自己独特的运营方式、系统以及流程。因此，其PCI合规政策也必须能够反映这种多样性。

请考虑一下您的行业领域以及公司的规模。另外，请考虑到特定的安全需求。一些公司拥有规模较大的物理数据中心，这些数据中心用于处理持卡人的数据。在这种情况下，视频存储就成为了PCI-DSS的基本要求之一。此外，还有一些公司管理着多云支付环境。对于这些企业来说，微分段技术和加密技术则显得尤为重要。

PCI合规性并非一种适用于所有人的标准。请对您的系统进行全面的风险评估。目的是明确持卡人的数据是如何被存储和传输的。利用这一评估结果，可以制定出能够保护敏感数据的相应政策。

3. 编写清晰且简洁的模板。

在PCI模板中使用的语言应该是……清晰易懂。该文档不应包含只有IT人员才能理解的技术术语。该政策的目的是为读者提供有用的信息和支持。作者必须不惜一切代价避免造成读者的困惑。

将安全控制措施与PCI要求相结合。说明这些控制措施如何保护持卡人的数据，同时提供有关审计和评估的详细信息。明确说明员工在使用安全系统时必须遵循的步骤。此外，还需要明确员工的职责范围。

请仔细检查每一部分的内容，确保其表述清晰明了。请其他业务部门也提供反馈意见。确保所使用的语言清晰易懂。

4. 定期提供培训。

PCI合规性政策并非一份可以简单地存储起来就忘记的静态文件。各组织应培训网络用户，让他们能够理解相关政策。此外，如果必要的话，还应邀请员工们来查阅相关的政策文件。

应安排培训活动来介绍PCI合规政策。这些培训内容应包括对员工责任的说明，以及关于数据安全控制的解释。此外，还需要定期举行培训课程，以更新用户的相关知识。

请记住，PCI标准是一个不断变化的目标。培训应该与合规政策的变更同步进行。这样，员工就能始终清楚自己的职责所在。

5. 建立流程以审查和更新相关政策。

PCI合规性政策需要随着时间的推移而进行调整。PCI-DSS的相关规定会定期发生变化。安全技术也在不断发展，同时，针对持卡人数据的各种新威胁也不断出现。

应建立一种机制，定期审查并更新与PCI相关的政策和流程。IT团队应该负责这项工作。指派一名官员负责随时了解PCI相关的最新动态。这位官员应该检查相关的法规更新情况，并提出任何必要的建议。