初探PCI-DSS v3.2.1 安全标准

什么是PCI

PCI = Payment Card Industry 支付卡行业

常见的PCI术语

PCI（Payment Card Industry）：支付卡行业
PCI compliance：支付卡行业合规
PCI DSS（Payment Card Industry Data Security Standard）：指支付卡行业数据安全标准
PA DSS（Payment Application Data Security Standard）：支付应用程序数据安全标准
PCI SSC（PCI Security Standards Council）：支付卡行业安全标准委员会

PCI合规

面对信用卡支付欺诈和交易数据的篡改事件逐渐增多，支付卡行业合规需求应然而生。
那么合规有哪些标准呢？
PCI-DSS： 数据安全标准，确保支付卡在数据处理上的安全要求，主要是针对支付卡数据存储和支付处理的企业。
PA-DSS: 支付应用程序数据安全标准, 主要是为了保护持卡人的数据，支付处理应用程序应该满足的要求。在PCI SSC有一个认证维护的应用程序列表。主要针对支付软件生产企业。

以下包括主要的合规内容：

1. Secure Network
   Maintain firewall to protect consumer data
2. Data Protection
   Protect and encrypt cardholder data transmissions
3. Risk Management
   Maintain secure systems by targeting vulnerabilities
4. Access Control
   Restrict access to cardholder data by a need-to-know basis
5. Monitoring
   Regularly monitor networks and track access to resources
6. Maintenence
   Maintain a policy that addresses security

可参考官方网站：
PCI Security Standards Council

什么是PCI-DSS

PCI-DSS = Payment Card Industry - Data Security Standard
即支付卡行业数据安全标准，是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定，力在使国际上采用一致的数据安全措施，简称PCI DSS。

PCI DSS 适用于所有涉及支付卡处理的实体，包括商户、处理机构、收单机构、发卡机构、服务提供商以及所有其他存储、处理或传输持卡人数据和/或敏感验证数据的实体。旨在保护持卡人数据的技术和操作要求提供了一个基准, 同时为管理持卡人数据的组织提供了一套详细的指导方针，以保护其基础设施和其管理的支付数据。

最新的 PCI DSS 3.2 版发布自 2018 年 7 月生效。

六大组成部分

建立并维护安全的网络

关键在于围绕管理访问、服务器功能、虚拟机等方面建立强大的细粒度控制，配置防火墙，设备安全参数不使用默认的厂商配置，如口令和其他参数。

保护持卡人数据

对持卡人数据的存储进行加密，同时利用安全协议对传输进行加密处理。

维护漏洞管理计划

部署杀毒软件，对系统不断的更新安全补丁和和漏洞信息，同时在应用系统的开发上面进行有效的环境隔离，比如UAT, SIT, PRD的环境隔离，在开发过程中需要不断引入信息安全检测和评估。

实施访问控制措施

对可访问敏感资源的用户以及访问条件建立强有力的控制，根据业务的需求以最低最小访问权限为原则，要做到物理，人员可追踪。

定期监控并测试网络

跟踪并监控对网络资源和持卡人数据的所有访问，做到日志记录可审计，对所有安全措施进行定期测试，如漏洞扫描，渗透测试，入侵检测/防御测试。

维护信息安全政策

工作人员应对信息安全政策进行定期审阅，严管数据泄露等防护措施。

中文参考文档

中文PCI-DSS v3.2.1 数据安全标准及安全评估程序
或 在官方文档集中输入关键字找到：Link