博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

PCI 3.2.1合规要求

Posted on 2025-02-05 13:04  徐正柱-  阅读(59)  评论(0)    收藏  举报

PCI 合规要求

PCI SSC 有六大目标,其中提出了企业必须遵守才能始终维持合规的 12 项要求。为此,您必须完成 PCI 合规自检清单中列出的以下任务。

目标 1

PCI 合规自检清单的第一个目标是构建和维护始终安全的网络。毕竟这是企业支付卡安全的根基。这个目标下有两项要求:

1.  使用和维护防火墙

网络安全而言,防火墙是不可或缺的元素。防火墙是抵御恶意流量的第一道防线,有助于阻止恶意黑客访问您的企业网络。

由于防火墙可以有效防止恶意流量,因此使用和维护防火墙是 PCI DSS 的一项关键合规要求。

2. 更改默认密码和安全设置

不幸的是,许多企业并未保护路由器、调制解调器、销售点 (POS) 系统和其他第三方产品。这些设备通常都预设了任何人都可以轻松获取的通用密码。

设置防火墙后,更改默认密码和安全设置也是必不可少的步骤。这有助于防止他人可能掌握或猜测默认凭据或设置。

除了更改密码外,企业还应定期更新密码并确保仅授权用户才能访问。为此,您必须实施强大的身份验证系统,例如双重身份验证或多重身份验证。

为了始终维持合规,您需要列出需要某种形式的密码或安全措施才能访问的设备和软件清单。定期更新此设备/密码清单,并采取其他基本预防措施(例如经常更改密码)。

目标 2

保护持卡人数据是 PCI 合规的第二个目标,也称为数据保护和加密。要保护持卡人信息,您至少要满足两项要求:

3.  保护存储的持卡人数据

企业处理、存储或传输持卡人数据时,必须采取额外的预防措施保护这些数据。例如,安全地存储数据并尽可能使用加密技术。

PCI SSC 建议采用双重系统来保护持卡人信息,包括采用算法对数据进行加密。此外,加密数据所用的加密密钥也应加密。

例如,将存储的持卡人数据放在单独的安全服务器上,确保仅有需求的人才能访问这些数据。此外,对所有通过公共网络传输的持卡人数据进行加密。

为了确保您的数据安全,您应该经常扫描和维护您的主账号 (PAN)。

4. 对通过开放公共网络传输的持卡人数据进行加密

为保护公开传输(例如客户在线下单时)的持卡人数据,企业应使用安全协议,例如 PCI DSS 指定的协议。

例如,网站必须具有最新且经过验证的安全套接字层 (SSL) 证书或传输层安全 (TLS) 证书。这有助于保护客户在购物时提供的敏感数据。

此外,您应将持卡人数据限制为仅有需要的人员可以访问。这就表示您要创建一个安全的用户帐户系统,时常进行监控和更新。

这些措施有助于保护客户的敏感数据,避免数据在传输途中被拦截或盗取。

目标 3

第三个目标是维护漏洞管理程序。这包括监控和测试网络中是否存在安全漏洞,并尽快解决这些漏洞。第三个目标下有两项要求,分别是:

5.  使用和维护防病毒软件

企业务必在处理、存储或传输持卡人数据的所有计算机和应用程序上安装和维护防病毒软件。这将有助于检测和删除系统中的恶意软件

此外,任何存储 PAN 或与 PAN 交互的设备都必须安装防病毒软件。您还应该定期更新防病毒软件,确保它处于最新状态。

此外,企业必须定期扫描其网络和应用程序中是否存在任何安全漏洞。这就要使用授权扫描机构 (ASV) 定期每季度对其外部网络进行扫描。

6.  正确更新的软件和系统

软件和系统需要定期更新最新的安全补丁。这样可以确保及时堵上安全漏洞,避免被黑客利用。

您还必须在发布任何新应用程序之前进行测试,确保它们不存在漏洞或弱点,以免给黑客留下可乘之机。

目标 4

漏洞管理计划部署到位后,接下来关注第四个目标:实施强有力的访问控制措施。这就要企业基于用户的角色限制对持卡人数据的访问权限。该目标下有三项要求:

7.  限制数据访问权限

确保只有需要访问持卡人数据的人才能获得访问权限。这表示企业要实施严格的访问控制措施,务必经常监控和更新用户帐户。

要实现这个目标,其中一种方法就是严格限制数据的访问权限,实行按需访问。无论何种职位的员工,都应实行按需访问制度。此外,根据 PCI DSS 的要求,您还应记录并定期更新需要访问敏感数据的角色。

8.  为每个有计算机访问权限的人分配唯一的 ID

数据安全的一个基本要素就是了解访问数据的人员和具体时间。因此,如果有权访问敏感数据的员工使用共享登录凭据,就很难确定到底是谁访问了这些数据。

为每个用户创建唯一的 ID 有助于确保仅授权人员才能访问数据。此举还有助于防止任何他人未经授权访问或操纵持卡人数据。

9.  限制对持卡人数据的物理访问

企业还要限制和监控对持卡人数据的物理访问。这就表示企业要构建物理安防措施,如锁门、安全柜和限制出入区域。

您还应部署措施监控和记录所有员工对数据的物理访问行为,并在员工离职后注销用户帐户。

目标 5

仅仅部署良好的基础架构和系统是远远不够的。您还要定期监控和测试网络。这就是目标 5 的意义所在。该目标下的两项要求包括:

10.  跟踪和监控对网络资源和持卡人数据的所有访问行为

所有涉及主账户号 (PAN) 和持卡人数据的活动都必须录入日志。但是,最普遍的安全问题还是缺乏正确的文档,或没有正确记录对机密信息的访问行为。

为了遵守相关规定,您要跟踪数据是如何流入公司的,以及相关人员需要访问数据的频率。为了准确起见,您还要部署软件记录下所有活动。

11.  扫描和测试漏洞

要实现此目标,您需要使用授权扫描机构 (ASV) 提供的漏洞扫描工具。ASV 将扫描您的网络和应用程序,识别安全问题或漏洞。

通过定期运行扫描,您可以确保系统处于最新状态,漏洞管理程序符合 PCI DSS 标准。

目标 6

最后,目标 6 是维护一项政策以解决信息安全问题。该目标下有一项要求:

12.  维护信息安全政策

创建和维护信息安全政策是 PCI DSS 的最后一条要求。该政策应规定与数据安全相关的规则、流程和角色。它还应规定如何存储、传输和使用机密信息。

该政策应及时更新以维持最新状态,且经过董事会批准。企业还应定期审查,确保其符合现行法规和行业最佳实践