PCI DSS安全评估简介

PCI DSS 安全评估标准简介

一、什么是PCI DSS
Payment Card Industry Data Security Standard支付卡行业数据安全标准。
PCI DSS标准是面向持卡人数据环境的应用、系统、网络、物理环境、策略流程和人员管理等，从业务数据的存储、传输和处理出发关注全面且持续的信息安全建设。

二、PCI DSS的背景
由PCI安全标准委员会的创始成员（Visa、Mastercard、American Express、Discover Financial Services、JCB等五大发卡组织）制定的一致数据安全措施

三、PCI DSS标准的保护对象——Account Data

四、PCI DSS的存储要求

五、 PCI DSS的目标
5.1 PCI DSS加强和保持数据安全性，提供了保护持卡人数据的技术和操作要求，旨在保护持卡人数据，并通过额外控制和最佳实践方法减少风险；

5.2 PCI DSS适用于所有涉及支付卡处理的机构—包括第三方收单机构、发卡行、商户、服务提供商和其他涉及存储、传输或者处理持卡人数据的机构，目前是作为五大发卡组织开展相关业务的准入条件之一；

5.3 PCI DSS的认证周期为每年一次，认证通过后延续一年有效期，目前执行的评估标准为2016年4月发布的V3.2。

六、PCI DSS的审核范围
6.1 确定持卡人数据环境（Cardholder Data Environment, CDE）
➢ 包含存储、处理、或传输持卡人数据或敏感验证数据的人员、流程和技术。

6.2 明确系统组件（System Components）
➢ “系统组件”包括网络设备、服务器、计算设备和应用程序。

6.3 确定审核范围
➢ CDE的系统组件；
➢ 直接连接到CDE的系统组件；
➢ 对CDE的安全性有影响的系统组件。

七、PCI DSS的3.2标准要求：共计6大类，12大项，300余子项

要求1：安装并维护防火墙配置以保护持卡人数据

要求 2：不要使用供应商提供的默认系统密码和其他安全参数

要求3：保护存储的持卡人数据

要求 4：加密持卡人数据在开放式公共网络中的传输

要求 5：为所有系统提供恶意软件防护并定期更新杀毒软件或程序

要求 6：开发并维护安全的系统和应用程序

要求 7：按业务知情需要限制对持卡人数据的访问

要求 8：识别并验证对系统组件的访问

要求 9：限制对持卡人数据的物理访问

要求 10：跟踪并监控对网络资源和持卡人数据的所有访问

要求 11：定期测试安全系统和流程

要求 12：维护针对所有工作人员的信息安全政策