支付卡行业 (PCI) 合规性,最初称为支付卡行业数据安全标准 (PCI DSS) 合规性,是由支付卡行业安全标准委员会管理的自律行业行为准则。PCI 合规性要求在主要信用卡计划下处理品牌信用卡的组织安全地接受、存储、处理和传输持卡人数据。
什么是 PCI 合规性?
公司需要发现其系统中存储、传输或处理的敏感数据,并保护其免受未经授权的访问,以遵守 PCI。敏感数据发现软件可以更轻松地定位这些敏感数据,并帮助公司设置适当的措施来防止黑客访问它。
织需要以下条件才能符合 PCI 标准:
- PCI合规的12个一般要求
- 基于您的业务的 78 个基本要求
- 四百个测试程序可确保您的组织符合 PCI 要求(取决于您的业务)
PCI 合规性法规确保客户和企业免受数据泄露。它适用于所有携带信用卡信息的企业,是每个组织安全协议的基石。
PCI 标准已扩展其大纲,包括加密的互联网交易,并增加了新的规则和法规,以适应支付技术和商业的最新进展。
PCI合规级别
四个 PCI 合规级别决定了商家每年处理的交易数量。
- 级别 1:每年处理超过 600 万笔卡交易的商户。
- 2 级:每年处理 1 到 600 万笔卡交易的商户。
- 3 级:每年处理 20,000 到 100 万笔卡交易的商户。
- 第 4 级:每年处理少于 20,000 笔卡交易的商户。
对于 PCI 合规级别 1 的组织,实现 PCI 合规包括由合格的安全评估员 (QSA) 或内部安全评估员 (ISA) 执行外部审计。QSA 或 ISA 进行现场评估以:
- 验证评估范围
- 审查技术信息和文件,
- 确定是否满足 PCI 要求
- 在合规过程中提供指导和支持
- 评估补偿控制
成功评估后,合格的安全评估员向组织的运营银行提交合规报告 (RoC) 以证明合规性。
PCI 合规性 2 级组织还应完成 RoC。
2 至 4 级组织可以完成自我评估问卷而不是外部审计来确定合规性。
PCI DSS 合规性的好处
PCI DSS 合规性提供了一组法规和要求,以确保最佳的数据机密性和安全性。
符合 PCI DSS 的一些好处是:
- PCI DSS 合规性可确保公司资产具有多层安全性。
- 它收集了不断变化的威胁和攻击媒介,使数据环境更加安全。
- PCI DSS 涉及设置防火墙、SIEM 系统和其他安全基础设施,以便在发生异常情况时收集威胁情报。
- PCI 合规性强调对持卡人数据进行加密,使符合 PCI DSS 的业务成为网络犯罪分子价值较低的目标。
- PCI 合规性原则重点关注在存储或传输时保护持卡人数据。它强调通过适当的安全基础设施执行 PCI 原则,以帮助组织防止数据泄露。
- PCI DSS 合规性建立和维护客户信任,使数据安全无忧。
- PCI 合规性有助于使企业在存储、处理和传输持卡人信息方面符合行业公认的标准。
- PCI DSS 合规性可帮助组织遵守行业认可的数据安全标准。
PCI 合规性要求
PCI DSS 合规性要求侧重于实现 PCI 合规性和保护持卡人数据免遭未经授权的访问。
1.用防火墙保护公司网络
您可以采取的保护网络的步骤:
- 配置防火墙以保护公司网络并根据组织标准调节传入和传出流量。
- 使用硬件防火墙和软件防火墙来保护网络。
- 为入站和出站流量配置防火墙。如果攻击者侵入系统,由于出站规则,他们将很难导出被盗信息。
2. 避免使用默认密码和配置设置
为了符合 PCI 合规性的第二个要求:
- 修改默认密码,实现系统加固和系统配置管理。
- 解决系统中的所有漏洞,修复并报告它们,并确保系统强化标准符合行业最佳实践。
- 采用系统管理软件,它是一个完整的软件包,用于监控、扫描和配置设备和系统强化选项。
- 验证系统强化标准是否在新设备和应用程序引入系统环境时安全实施。
3. 保护存储的持卡人数据免遭未经授权的访问
采取以下措施保护持卡人数据免遭未经授权的访问:
- 使用强大且行业认可的加密标准(如 AES-256)对持卡人数据进行加密。
- 确保系统以加密格式存储持卡人的机密详细信息。
- 创建并记录持卡人数据 (CHD) 流程图。它是组织内数据流的图形表示。
- 使用敏感数据发现工具在公司系统中查找敏感信息(如社会安全号码)以对其进行加密或删除。
4. 加密跨开放公共网络的持卡人数据传输
考虑以下因素来加密跨开放或公共网络的持卡人数据传输:
- 确定数据的传输方式和位置。跟踪发送类似详细信息的所有区域。
- 从安全套接字层 (SSL) 和早期版本的传输层安全 (TLS) 过渡到更安全的 TLS 版本。
- 检查网关、终端提供商、服务提供商和银行,看看他们是否对交易应用程序使用更新的加密。
5.使用更新版本的杀毒软件
采取以下措施以符合第五条 PCI DSS 要求。
- 使用防病毒软件并防止系统受到已知恶意软件的攻击。
- 定期更新防病毒软件。
- 收集有关新兴恶意软件及其渗透公司系统的不同方式的信息。
- 配置系统和设计流程以在系统环境中发生任何恶意活动时发出警报。
- 运行定期恶意软件扫描,以确保您有一个旨在实施它的流程。
6. 开发和维护安全的系统和应用程序
练习以下方法来开发和维护安全的系统和应用程序:
- 使用软件提供商发布的最新补丁修补安全漏洞。
- 在对卡数据流至关重要的应用程序和系统中安装最新的安全更新和修补漏洞。
- 在发布后一个月内安装关键补丁以确保合规性
- 补丁发布后,积极主动地管理和实施补丁。
7. 限制业务需要知道的对持卡人数据的访问
考虑以下限制对持卡人数据的访问:
- 通过实施基于角色的访问控制 (RBAC) 系统来确保对持卡人数据的严格访问控制,该系统在需要知道的基础上授予对持卡人详细信息的访问权限。
- 避免创建群组用户或与其他用户共享公共用户帐户。跟踪数据泄露将是一项挑战。`
8. 为每个有计算机访问权限的人分配一个唯一的 ID
采取以下步骤以符合 PCI DSS 要求的第八项要求:
- 为每个具有计算机访问权限的用户分配一个唯一 ID,并创建强密码以防止未经授权的访问。
- 在保护用户帐户时创建多层安全性。
- 使用多因素身份验证解决方案来提供额外的防御层并保护您的系统免受攻击者的侵害。
9. 限制对工作场所和持卡人数据的物理访问
遵守 PCI DSS 的第九条要求需要考虑的重要事项:
- 限制员工访问存储有持卡人数据的区域。
- 记录可以访问安全环境的员工以及需要访问权限的员工。列出所有授权的设备用户、不允许使用设备的位置以及设备当前所在的位置。请注意可以在设备上访问的所有应用程序。记录使用设备的内容、地点、时间和原因。
- 区分组织中的员工和访客,并使用方法监控有权访问安全环境的人员。
- 确保删除用户的访问权限,并在员工离职时禁用或退回钥匙和访问卡等物理访问机制。
10. 跟踪和监控对返工资源和持卡人数据的访问
在跟踪和监控对网络资源和持卡人数据的访问时要考虑的关键点:
- 实施和维护一个日志系统,以查看所有日志并在发生异常时获得警报。
- 每天至少检查一次系统事件日志,以识别模式、收集威胁情报并检测与预期趋势相矛盾的行为。
- 使用安全信息和事件管理 (SIEM) 解决方案来构建和管理集中式日志收集系统、监控和检查。
11.定期测试安全系统和流程
请遵循以下提到的做法,以符合 PCI DSS 的第十一条要求。
- 进行频繁的漏洞扫描以确定安全漏洞是否已成功修补。
- 使用 PCI 批准的扫描供应商 (ASV) 对持卡人数据环境中暴露的所有外部 IP 和域执行季度漏洞扫描。
- 定期进行渗透测试,以确定黑客利用漏洞的不同方式,以安全地配置您的安全系统并保护数据免受类似恶意策略的侵害。(渗透测试频率取决于您的自我评估问卷 (SAQ)、环境、规模、程序和其他因素)。
12. 风险评估和文件
采用以下做法以符合 PCI DSS 合规性的最终要求:
- 记录与组织的信息安全实践相关的所有政策、程序和证据。
- 评估正式风险和年度风险,以确定关键威胁、漏洞和相关风险。