PCI DSS 3.0 标准要求和安全评估程序

0x00 前言

本支付卡行业数据安全标准 (PCI DSS) 旨在促进并增强持卡人的数据安全，便于统一的数据安全措施在全球范围内的广泛应用。PCI DSS 为意在保护持卡人数据的技术和操作要求提供了一个基准。PCI DSS 适用于所有涉及支付卡处理的实体，包括商户、处理机构、收单机构、发卡机构、服务 提供商以及所有其他存储、处理或传输持卡人数据 (CHD) 和/或敏感验证数据 (SAD) 的实体。以下是对 12 条 PCI DSS 要求的主要概述。

0x01 概述

 PCI DSS 要求 – 此列定义数据安全标准要求；根据这些要求对 PCI DSS 遵从性进行验证。

测试程序 – 此列展示评估商用来验证 PCI DSS 要求是否满足且“到位”的流程。

指南 – 此列说明每项 PCI DSS 要求的目的或安全目标。本列只包含指南，旨在帮助读者理解每项要求的目的。本列中的指南并不替代或扩 充《PCI DSS 要求和测试程序》。

注：如果未实施或实划在将来某个日期完成控制，实实实 PCI DSS 要求不到位。在实体纠正任何未完成或不到位的项目后，评估商会重新进行评估 以验证是否完成纠正且满足所有要求。
请参阅以下资源（位于 PCI SSC 网站），记录 PCI DSS 评估：
     关于完成遵从性报告 (ROC) 的说明，请参阅《PCI DSS ROC 报告模板》。
     关于完成自我实估实实实卷 (SAQ) 的说明，请参阅《PCI DSS SAQ 说明和指南》。

     关于提交 PCI DSS 遵从性实实实告的实明，实参实《PCI DSS 遵从性实明实》。

0x02 要求和安全评估程序

建立并维护安全的网络和系统

要求 1： 安装并维护防火墙配置以保护持卡人数据

防火墙是一种用以控制实体网络（内部）和不可信网络（外部）之间允许的计算机访问流量，以及实体内部可信网络中较敏感区域的输入和输出流
量的设备。例如，持卡人数据环境就是实体可信网络中的较敏感区域。
防火墙会检查所有网络流量并阻止不符合指定安全标准的传输。
无论是以电子商务方式通过互联网访问、员工经桌面浏览器访问互联网、员工电子邮件访问、专用连接（例如企业对企业连接）还是通过无线网络
或其他来源进入系统，都应避免任何系统受到来自不可信网络的非授权访问。通常，连接到不可信网络和来自其的看似不显眼的路径会使关键系统
遭受无保护的访问。防火墙是任何计算机网络的关键防护机制。
只要符合要求 1 中规定的防火墙最低要求，其他系统组件也能提供防火墙功能。如果在持卡人数据环境中使用其他系统组件来提供防火墙功能，则
这些设备必须纳入要求 1 的范围和评估中。

要求 2： 不要使用供应商提供的默认系统密码和其他安全参数

恶意个人（实体的外部和内部）经常使用供应商默认密码和其他供应商默认设置来威胁系统安全。黑客团体十分了解并可通过公共信息轻松确定这些密码和设置。

保护持卡人数据

要求 3： 保护存储的持卡人数据

诸如加密、截词、掩盖和散列等保护方法都是持卡人数据保护的重要组成部分。即使入侵者绕过其他安全控制并获得加密数据的访问权险，但如果没有正确的加密密钥，仍不能读取或使用这些数据。此外，也应考虑使用其他保护已存储数据的有效方法，以降低潜在风险。例如，最大限度地降 低风险的方法包括：如非绝对必要则不存储持卡人数据，如不需要完整 PAN 则截词持卡人数据，不使用终端用户消息传递技术（例如电子邮件和即 时消息）发送未受保护的 PAN。

要求 4： 加密持卡人数据在开放式公共网络中的传输

在恶意个人可轻松访问的网络中传输敏感信息时必须进行加密。错误配置的无线网络和旧版加密及验证协议中的漏洞仍然是恶意个人攻击的目标，他们利用这些漏洞来获取持卡人数据环境的访问特权。

维护漏洞管理计划

要求 5： 为所有系统提供恶意软件防护并定期更新杀毒软件或程序

恶意的软件通常称为“恶意软件”（包括病毒、蠕虫病毒和特洛伊木马），可在很多业务许可活动（包括员工电子邮件以及互联网、移动计算机和存储设备的使用）中进入网络，从而利用系统漏洞。经常受恶意软件影响的所有系统均必须使用杀毒软件，以避免系统经受当前和不断进化的恶意软件 的威胁。除杀毒软件以外，也可以考虑其他反恶意软件解决方案；但此类反恶意软件解决方案无法代替杀毒软件。

要求 6： 开发并维护安全的系统和应用程序

恶意个人会利用安全漏洞获得系统访问特权。很多此类漏洞可通过供应商提供的安全补丁修复，而负责管理系统的实体必须安装这些补丁。所有系 统均须具备所有适当的软件补丁，以防恶意个人和恶意软件利用、破坏持卡人数据。
注：适当的软件补丁指已通过充分评估和测试确定不会与现有安全配置相冲突的补丁。对于内部开发的应用程序，很多漏洞均可通过采用标准系统开发流程和安全编码技术加以避免。

实施强效访问控制措施

要求 7： 按业务知情需要限制对持卡人数据的访问

为确保仅被授权人员能访问关键数据，必须根据知情需要和工作职责，通过适当的系统和流程来限制访问。“知情需要”只授权访问执行工作所需的最低限度的数据量和权限。

要求 8： 识别并验证对系统组件的访问

为有访问权限的每个人分配唯一标识符 (ID)，确保每个人都能对自己的操作负责。实施这种责任制后，由已知被授权用户和流程对关键数据和系统执行操作和跟踪。密码的有效性主要取决于验证系统的设计和实施，尤其是允许攻击者尝试密码的频率以及在输入点、传输过程和存储中保护用户密码的安全方法。
注：这些要求适用于所有帐户，包括有管理功能的销售点终端帐户以及用来查看或访问持卡人数据或者访问含持卡人数据系统的所有帐户。还包括供应商和其他第三方（例如，进行支持或维护）使用的帐户。但是，要求 8.1.1、8.2、8.5、8.2.3-8.2.5 以及 8.1.6-8.1.8 不适用于销售点终端支付应用程序中的用户帐户，为了促成单笔交易，这些帐户一次只能 访问一个卡号（例如出纳帐户）。

要求 9： 限制对持卡人数据的物理访问

对数据或存储持卡人数据的系统的物理访问会让个人有机会访问设备或数据，删除系统或硬拷贝，所以应予以适当限制。在要求 9 中，“现场工作人员”指出现在实体经营场所的全职和兼职员工、临时工、承包商和顾问。“访客”指供应商、任何现场工作人员的客人、服务工人，或任何需要短时进 入经营场所的人员，停留时间通常不超过一天。“媒介”指所有包含持卡人数据的纸质和电子媒介。

定期监控并测试网络

要求 10： 跟踪并监控对网络资源和持卡人数据的所有访问

记录机制和用户活动跟踪功能对防止、检测或最大程度降低数据威胁的影响很重要。如果所有环境中存在日志，则可在出错时执行彻底的跟踪、告警和分析。如果没有系统活动日志，则很难确定导致威胁的原因。

要求 11： 定期测试安全系统和流程

恶意个人和研究人员不断发现漏洞，而新软件不断引出漏洞。应经常测试系统组件、流程和自定义软件，以确保安全控制继续反映不断变化的环境。

维护信息安全政策

要求 12：维护针对所有工作人员的信息安全政策

强有力的安全政策不仅为整个实体奠定了安全基调，而且让工作人员了解公司对他们的要求。所有工作人员均应了解数据的敏感性及其保护这些数据的责任。在要求 12 中，“工作人员”指“常驻”实体经营场所或可以其他方式访问持卡人数据环境的全职和兼职员工、临时工、承包商和顾问。

0x03 参考资料

https://github.com/ym2011/SecurityManagement/tree/master/PCI DSS

欢迎大家分享更好的思路，热切期待^^_^^ !