敏感金融数据保护——PCI DSS

一、基本概念

0、概述

PCI DSS（Payment Card Industry Data Security Standard） 是 2004 年启动的一套安全标准；这些标准适用于任何接受、处理、存储或传输信用卡数据的企业。PCI DSS 由 PCI SSC（支付卡行业安全标准委员会，全球安全标准）负责管理，组成该委员会的大型信用卡公司包括Mastercard、Visa、Discover、美国运通和 JCB。

1、术语

1.1 PCI安全标准协会

2006年由美国运通、发现金融（Discover）、JCB 国际信用卡公司、万事达卡（Mastercard）国际组织与 Visa公司共同创建的开放全球论坛。

1.2 持卡人数据 CHD（Cardholder Data）

• 主账号 (PAN，Primary Account Number)：一般为银行卡号，大多数信用卡账户由16位字符串组成；
• 持卡人姓名：主账户中登记的归属人的姓名或任何授权使用卡的人；
• 到期日期：卡片到期日
• 服务代码：3至4位数字的编码，用于定义服务属性、识别国际和国内的数据交换、
  识别使用限制等信息。

加密存储持卡人信息

1.3 敏感身份验证信息（SAD，Sensitive Authentication Data）

• 全磁道数据（磁条数据或芯片上的等效数据）：

信用卡背面磁条中存储的数据，每个磁条拥有三条磁道，分别记录了PAN、姓名、失效日、业务码、CVV、PVV等数据；

• 信用卡安全码：银行卡安全验证码，一般为3至4位，常见的安全码有CVV2（VISA）、CVC2（万事达卡）、CVN2（中国银联）、CID（美国运通卡）、CAV2（日本JCB）等；
  • CVV号（Card Verification Value）：CVV号是信用卡上的一种安全码，用于在不需要实体卡片的交易中验证卡片的真实性。通常是3位或者4位数字。
• PIN/PIN 数据块：信用卡交易密码

禁止存储：敏感验证信息在交易完成后禁止存储。

1.4 持卡人数据环境（CDE，Cardholder Data Environment）

存储、处理或传输持卡人数据或敏感验证数据的人员、流程或技术。

2、适用场景

PCI DSS 标准适用于接受、处理、存储或传输持卡人数据的任何企业，因此以下类型的企业必须满足该标准的要求：

• 各种规模的商家
• 金融机构
• 支付服务提供商，包括硬件和软件提供商
• 销售点 (POS) 供应商

除了金融机构和支付机构需要对系统本身加强保护，越来越多的行业都开始关注卡数据的安全。

尽管 PCI DSS 是作为支付卡数据安全标准，但目前也已经不再局限于支付卡行业，而是更广泛的被借鉴成为数据保护的信息安全标准。

二、内容框架

1、6大领域、12个安全控制项

PCI DSS包含 建立并维护安全的网络和系统、保护帐户数据、维护漏洞管理计划、实施强效访问控制措施、定期监控并测试网络、维护信息安全政策这6大领域内容，具体囊括12项 具体安全标准要求。

2、关注核心环节

• “最小化范围” 确保只保护必需资产，降低合规与安全成本 （隔离隔离！！）
• “强认证 + 最小权限” 杜绝凭证滥用与横向渗透
• “全生命周期加密 + 严密密钥管理” 阻断数据在传输与存储层面的泄露
• “24×7 日志监控与自动化响应” 快速发现并处置安全事件
• “持续治理与人因管理” 从制度、审核到培训，形成闭环合规与安全文化

3、仅关注PCI数据吗？

PCI DSS 范围之外的信息

• 生物特征数据（如人脸、指纹、虹膜等）

  PCI DSS 并不直接规范生物识别信息的收集、存储或处理。但如果这些数据与持卡人账户直接关联，并且存放在与 CDE（持卡人数据环境）相同的系统中，那么这些系统就必须符合 PCI DSS 的安全要求。

• 交易流水（Transaction Logs）

  交易流水本身作为审计日志是非常重要的监控资源，但 PCI DSS 仅关注其中是否包含 PAN 或其他 CHD/SAD。如果流水日志中包含了完整卡号或安全码，同样要按 CHD/SAD 规则保护；如果只是交易金额、时间、商户编号等普通业务指标，则按照企业的日志管理与隐私保护策略处理。

• 其他个人敏感信息（PII）

  如身份证号、手机号、电子邮件、地址等，属于更广义的隐私范畴，PCI DSS 并不直接管控。但在设计系统时，建议同步参考 GDPR、ISO 27001/27701、中国个人信息保护法（PIPL） 等法规/标准，统一制定统一的 PII 保护策略，避免出现“卡数据安全合规，但用户其他数据泄露”的盲区。