PCI-DSS合规检查清单：您的企业是否符合相关要求？

PCI-DSS就是……对于处理在线信用数据的企业来说，这是最重要的监管框架。

PCI安全规则旨在保护持卡人的数据免受泄露。这些规则适用于任何处理或存储信用卡数据的公司。这些规则对违反规定的行为实施严厉的处罚，从而防止数据丢失。这就是原因所在。一个有效的PCI合规性策略至关重要。

这篇文章将会……PCI合规性检查清单为了满足这12项关键的PCI要求，这份清单会详细解释每一项要求的内容，从而帮助您构建符合监管标准的安全系统。随着PCI 4.0标准的即将实施，我们还将探讨PCI合规性的未来发展方向，并为您提供帮助。针对关键数据安全问题，需要找到持久的解决方案。.

12项PCI DSS要求

1. 安装并维护防火墙。
2. 重新配置供应商的默认设置
3. 保护存储的持卡人数据
4. 对传输中的持卡人数据进行加密处理
5. 防止恶意软件的侵害
6. 确保关键系统和应用程序的安全性。
7. 限制对持卡人数据的访问权限
8. 识别并授权所有用户的使用权限。
9. 限制对持卡人数据的物理访问权限
10. 跟踪并监控网络访问情况
11. 持续测试安全系统
12. 制定并实施网络安全政策。
    
    

遵守PCI-DSS的要求不仅仅是满足这些简单的要求。请参考关于PCI-DSS要求的介绍，以了解该法规标准究竟要求什么。

为什么PCI合规性检查清单如此重要呢？

这份PCI合规检查清单非常重要，因为客户期望企业能够保护持卡人的数据。数据泄露会导致业务损失以及面临监管部门的处罚。而那些不重视安全问题的企业，肯定会被那些符合PCI要求的企业所超越。

遵守 PCI 标准还需要注重细节。通过遵循我们提供的所有建议，企业可以保护其技术和运营系统。同时，这些企业也能避免因不遵守规定而面临罚款的麻烦。

PCI DSS合规性检查清单

安装并维护防火墙。

防火墙是抵御外部威胁的第一道防线。符合PCI标准的组织必须在网络边缘实施防火墙保护。

网络防火墙的配置应当能够阻止未经授权的流量，同时限制公众对持卡人数据环境的访问。所有连接到网络的设备都必须受到防火墙的保护，没有任何例外。

2. 更改默认供应商设置

来自第三方供应商的设备和应用程序通常都带有默认设置。黑客通常会尝试使用这些公开且广为人知的默认密码。如果黑客通过利用这些默认密码成功攻破某个设备，他们就有可能获得对整个网络的访问权限。

那些遵守规定的公司必须在部署相关资产之前，更改所有默认的密码。系统组件应具有符合网络安全标准的自定义配置。对资产的访问应该通过加密技术和强密码来保护。

这同样适用于任何共享的基础设施或应用程序。合作伙伴应更改服务器管理方面的默认密码。遵守规定的组织应该再次确认是否已经完成了这一操作。

3. 保护持卡人的数据安全

保护CDE是PCI-DSS合规性中最重要的一项任务。各组织必须清楚持卡人数据究竟存储在何处。他们还必须记录并保护所有存储持卡人数据的容器。此外，所有的信用卡信息都必须通过强大的加密手段来保护。

包含持卡人数据的数据库应该与其他网络资源分离。管理员可以利用防火墙配置和访问控制来实现网络分段。每个网络段都应经过严格测试，以确保数据的安全性。

数据保留也是一项重要的合规要求。企业应当至少在合理的时间内保留持卡人的数据。这些数据必须被安全地删除。此外，在获得信用卡授权之后，不应再收集任何数据。对于那些无法被加密的支付账户号码，相关组织必须对其进行隐藏处理。

加密密钥同样需要得到保护。根据PCI规范，这些密钥必须被加密，并且必须以安全的方式存储起来。

4. 在数据传输过程中对持卡人的数据进行加密处理。

仅仅保护静态数据是不够的。为了符合PCI-DSS的合规要求，组织还必须确保持卡人的数据能够安全地传输。

各公司应对所有数据传输进行严格的加密处理。他们必须使用经过批准的协议，比如更高版本的TLS协议。同时，必须确保所使用的协议符合最新的PCI-DSS规定。此外，PAN信息永远不应以明文形式进行传输。

5. 使用防病毒软件来防止恶意软件的攻击。

恶意软件是导致数据泄露的主要攻击手段之一。遵守PCI-DSS标准的组织必须采取相应措施，在恶意软件造成损害或窃取数据之前，将其检测出来并加以清除。

企业应当要求所有联网设备都安装防病毒软件。这包括了员工在家中使用的远程设备、网络服务器以及办公工作站。

仅仅安装防病毒软件是不够的，因为这远远无法满足合规要求。组织必须将所有防病毒软件更新到最新版本。此外，威胁检测工具还必须生成日志文件，以便用于PCI-DSS的审计工作中。

各组织应使用威胁检测工具来保护CDE。同时，他们还必须对网络用户进行培训，以降低钓鱼攻击的风险。这包括提高用户对恶意附件以及使用外部设备的认识。

6. 维护系统和应用程序的安全性。

这一要求主要侧重于风险评估。企业必须对其所使用的系统进行评估，并找出任何相关的安全风险。这涉及到以下几个方面：

• 识别潜在的攻击途径。
• 对每种资产的风险等级进行分类
• 记录安全控制措施，以降低这些风险。
  
  

风险评估需要采用全面的方法来确保网络资产的安全。安全团队必须确保所有资产都得到更新，以反映最新的威胁情况。整个网络的威胁检测系统应该能够保护所有与持卡人数据相关的信息。此外，安全的DevOps系统也是必不可少的。这样，内部开发的应用程序才能符合PCI-DSS标准。

本部分的核心目标是证明，该组织已经识别出主要的威胁，并采取了相应的措施来应对这些威胁。这需要持续进行安全评估与审计工作。

7. 限制对持卡人数据的访问权限

门禁控制系统应当能够保护CDE免受未经授权的入侵者侵害。企业应采用“零信任”原则，即仅允许有业务需求的人访问相关资源。如果用户没有业务需求，那么系统应该阻止其访问，并立即向安全管理人员报告这一情况。

企业应当部署强大的身份验证系统，以限制合法用户的访问权限。PCI建议采用多因素认证或双因素认证系统。这两种系统都要求用户提供不止一个验证因素。这样一来，外部人员就很难获得访问权限了。

8. 为每位用户分配一个独特的访问身份。

PCI规定要求每个网络用户都有一个唯一的标识符。用户的操作行为应该被记录下来，并且易于追踪。系统必须记录所有的访问请求以及会话相关的元数据。这些信息在审计过程中也应该是可获取的。

PCI-DSS规定还要求对共享账户进行严格的管理。组织应尽量减少群组账户的数量，并明确说明为何需要设置这样的账户。用户应该了解与同事共享凭证所带来的风险。此外，安全团队应定期审查访问政策，以禁止不安全的访问行为。

9. 限制对持卡人数据的物理访问权限

这一要求将关于数字访问控制的建议扩展到了物理设备上。

访问控制应适用于所有参与CDE的设备。如果某个设备接收、传输或存储持卡人的信息，那么该设备只能被授权的用户访问。这一点适用于那些能够连接到CDE的设备，即使这些设备并不处理信用卡数据。此外，这也适用于那些存储持卡人信息的纸质文件。

企业应当实施物理访问控制措施，例如使用卡片阅读器或锁具来限制人员进入。同时，企业还应通过监控摄像头来监测物理环境。这些摄像头应记录所有入口点以及重要的资产。

根据PCI-DSS的规定，存储访问记录的时间应至少为90天。这些记录应明确记录哪些人进入了敏感区域，同时，对于外部访客，也应有单独的记录。

物理访问控制同样适用于包含持卡人数据的移动设备和存储设备。这些设备必须始终处于安全状态。而且，使用完毕后，这些设备必须被销毁，以消除数据被盗的风险。

10. 跟踪和监控网络访问情况

各组织必须监控对CDE的访问情况。系统应记录所有的访问请求，并为网络管理员提供实时信息。

访问监控的结果应该被纳入到全面的审计工作中。遵守相关规定的组织必须记录与访问请求以及涉及持卡人数据的所有用户活动相关的信息。对于管理账户的相关操作，也应分别进行记录。此外，诸如访问尝试失败等安全警报也应该被记录下来。

安全系统必须自动记录对CDE及其相关资产所做的任何更改。这包括应用程序配置的变化以及产品的更新。系统还应记录权限提升以及对象的创建过程。此外，记录审计程序的任何变化也是非常重要的。

审计数据应存储在安全的存储设备中，同时，除了安全团队之外，其他用户对数据的访问权限应尽可能受到限制。数据应至少保存3个月，且必须以易于检索的格式进行存储。过去一年的信息则应以适合年度PCI审计的格式进行归档。

11. 定期测试安全系统。

满足PCI标准的要求在于，需要在各个层面定期进行网络测试。外部和内部网络的测试应由经过认可的扫描供应商来执行。

网络测试应能够发现诸如不安全的终端设备等漏洞。测试结果应记录下存在的任何弱点。安全团队还应记录为保障网络资产安全而采取的后续措施。

在较高的PCI级别下，每年都需要进行渗透测试。对于所有符合要求的组织来说，进行渗透测试是非常必要的。渗透测试应该总是在系统发生重大变更后进行。这些测试的目的是模拟主要的数据泄露风险。

这一要求还可能包括实施持续性的测试流程。例如，企业可以部署变更检测系统，以便在应用程序或访问控制机制发生变更时发出警报。入侵检测系统则可以持续进行扫描，以发现存在安全漏洞的系统组件。

12. 制定并实施网络安全政策。

文档编制是满足PCI合规要求的重要方面。企业必须制定并实施适用于整个网络的信息安全政策。该政策应涵盖网络中的所有安全控制措施，同时明确说明每项控制措施与PCI合规性之间的关系。

信息安全政策详细说明了用户如何安全地访问敏感数据。该政策还包含了关于组织应对突发事件的详细措施，包括威胁缓解和系统恢复等方面的内容。此外，该政策还阐明了与第三方合作的相关要求。

这些政策应该定期进行年度审查。安全团队应定期检查现有系统是否能够有效应对各种风险。此外，年度的更新工作也应确保相关政策符合PCI的最佳实践标准。

PCI合规性的未来会是什么样子呢？

PCI-DSS的相关规定会不断发生变化。虽然我们的PCI-DSS合规检查清单中的建议仍然有效，但随着相关规定的不断发展，保持对最新信息的了解是非常重要的。

支付卡行业安全标准委员会会定期更新安全框架，以反映技术发展和网络安全的威胁变化。即使是微小的变化，也可能让企业面临监管机构的罚款风险。而遵守这些标准则有助于提升企业的安全性，从而有效应对最新的威胁。

截至2023年7月，最新的PCI-DSS更新版本为PCI-DSS 4.0。PCI-DSS 4.0于2022年3月正式发布。对于那些仍然符合旧版安全标准的企业来说，他们还有两年的过渡期。不过，所有受监管的实体都必须在2024年3月31日之前达到PCI-DSS 4.0的标准要求。

企业可能需要采取行动，以使其安全系统保持最新状态。4.0版本的PCI-DSS标准中包含一些重要的功能：

• 对多因素认证的使用有更严格的要求。
• 组织在配置支付系统方面具有更大的灵活性。这包括针对非接触式支付系统、移动设备以及平板电脑的相关指导。
• 针对云托管业务平台的个性化定制选项。
• 用于防止代码注入攻击的具体控制措施。
• 对于规模较大的组织来说，越来越多地使用“指定实体补充验证”测试方法。
• SSL以及更早版本的TLS传输协议正在被淘汰。
• 将安全视为一项持续面临的挑战，同时要有证据表明企业正在采取有效的措施来遵守相关规定。
  
  

这并不会导致组织在保护持卡人数据方面的方式发生根本性的改变。不过，您仍然应该使用我们的检查清单来指导安全策略的制定。不过，建议还是先评估当前的合规要求，并将您的系统与PCI标准进行比较。