|
|
|
|
|
|
来源: 发布日期:2015.02.09 点击量:
一、 PCI DSS标准介绍
支付卡行业(Payment Card Industry (PCI))数据安全标准 (Data Security Standard(DSS)) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。
PCI DSS 由 PCI 安全标准委员会的创始成员(包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 和 Visa International)制定,旨在鼓励国际上采用一致的数据安全措施。
PCI DSS 中的要求是针对在日常运营期间需要处理持卡人数据的公司和机构提出的。具体而言,PCI DSS 对在整个营业日中处理持卡人数据的金融机构、贸易商和服务提供商提出了要求。PCI DSS 包括有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表,以及用来保护持卡人数据的其他措施。
二、 PCI-DSS要求范围
PCI-DSS安全要求适用于持卡人数据环境中包含或与之连接的所有系统组件。持卡人数据环境(CDE)包含存储、处理或传输持卡人数据或敏感验证数据的人员、流程和技术。系统组件包括网络设备、服务器、计算设备和应用程序,系统组件包括但不限于:
提供安全服务、方便分段或可能影响CDE安全性的系统;
虚拟化组件,例如虚拟机、虚拟交换机/路由器、虚拟设备、虚拟应用该程序/桌面和虚拟机监控程序。
网络组件,包括但不限于防火墙、交换机、路由器、无线接入点、网络设备和其他安全设备;
服务器类型,包括但不限于WEB、应用程序、数据库、验证、邮件、代理、网络事件协议(NTP)和域名系统(DNS);
应用程序,包括所有购买和自定义的应用程序以及内部和外部应用程序;
位于CDE内或连接到CDE的任何其他组件或设备;
PCI DSS评估的第一步是准确确定审核范围。评估至少每年进行一次,接受评估的实体应在年度评估前查找持卡人数据的所有位置和数据流并确保其包含在PCI-DSS的范围内,从而确定实体PCI-DSS范围的准确性、适应性。
三、 PCI-DSS控制要求
PCI DSS包括6个控制域,12个控制目标,对支付卡行业中持卡人数据的存储、处理、传输等过程进行严格控制,以保护持卡人数据信息不被泄露:
相关客户案例: