|
|
|
|
|
|
來源: 發布日期:2015.02.09 點擊量:
一、 PCI DSS標準介紹
支付卡行業(Payment Card Industry (PCI))數據安全標準 (Data Security Standard(DSS)) 是一組全面的要求,旨在確保持卡人的信用卡和借記卡信息保持安全,而不管這些信息是在何處以何種方法收集、處理、傳輸和存儲。
PCI DSS 由 PCI 安全標準委員會的創始成員(包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 和 Visa International)制定,旨在鼓勵國際上采用一致的數據安全措施。
PCI DSS 中的要求是針對在日常運營期間需要處理持卡人數據的公司和機構提出的。具體而言,PCI DSS 對在整個營業日中處理持卡人數據的金融機構、貿易商和服務提供商提出了要求。PCI DSS 包括有關安全管理、策略、過程、網絡體系結構、軟件設計的要求的列表,以及用來保護持卡人數據的其他措施。
二、 PCI-DSS要求范圍
PCI-DSS安全要求適用于持卡人數據環境中包含或與之連接的所有系統組件。持卡人數據環境(CDE)包含存儲、處理或傳輸持卡人數據或敏感驗證數據的人員、流程和技術。系統組件包括網絡設備、服務器、計算設備和應用程序,系統組件包括但不限于:
提供安全服務、方便分段或可能影響CDE安全性的系統;
虛擬化組件,例如虛擬機、虛擬交換機/路由器、虛擬設備、虛擬應用該程序/桌面和虛擬機監控程序。
網絡組件,包括但不限于防火墻、交換機、路由器、無線接入點、網絡設備和其他安全設備;
服務器類型,包括但不限于WEB、應用程序、數據庫、驗證、郵件、代理、網絡事件協議(NTP)和域名系統(DNS);
應用程序,包括所有購買和自定義的應用程序以及內部和外部應用程序;
位于CDE內或連接到CDE的任何其他組件或設備;
PCI DSS評估的第一步是準確確定審核范圍。評估至少每年進行一次,接受評估的實體應在年度評估前查找持卡人數據的所有位置和數據流并確保其包含在PCI-DSS的范圍內,從而確定實體PCI-DSS范圍的準確性、適應性。
三、 PCI-DSS控制要求
PCI DSS包括6個控制域,12個控制目標,對支付卡行業中持卡人數據的存儲、處理、傳輸等過程進行嚴格控制,以保護持卡人數據信息不被泄露:
相關客戶案例: