PCI DSS安全评估简介

PCI DSS 安全评估标准简介

一、什么是PCI DSS
Payment Card Industry Data Security Standard支付卡行业数据安全标准。
PCI DSS标准是面向持卡人数据环境的应用、系统、网络、物理环境、策略流程和人员管理等,从业务数据的存储、传输和处理出发关注全面且持续的信息安全建设。

二、PCI DSS的背景
由PCI安全标准委员会的创始成员(Visa、Mastercard、American Express、Discover Financial Services、JCB等五大发卡组织)制定的一致数据安全措施

三、PCI DSS标准的保护对象——Account Data
PCI DSS安全评估简介_第1张图片
四、PCI DSS的存储要求
PCI DSS安全评估简介_第2张图片
五、 PCI DSS的目标
5.1 PCI DSS加强和保持数据安全性,提供了保护持卡人数据的技术和操作要求,旨在保护持卡人数据,并通过额外控制和最佳实践方法减少风险;

5.2 PCI DSS适用于所有涉及支付卡处理的机构—包括第三方收单机构、发卡行、商户、服务提供商和其他涉及存储、传输或者处理持卡人数据的机构,目前是作为五大发卡组织开展相关业务的准入条件之一;

5.3 PCI DSS的认证周期为每年一次,认证通过后延续一年有效期,目前执行的评估标准为2016年4月发布的V3.2。

六、PCI DSS的审核范围
6.1 确定持卡人数据环境(Cardholder Data Environment, CDE)
➢ 包含存储、处理、或传输持卡人数据或敏感验证数据的人员、流程和技术。

6.2 明确系统组件(System Components)
➢ “系统组件”包括网络设备、服务器、计算设备和应用程序。

6.3 确定审核范围
➢ CDE的系统组件;
➢ 直接连接到CDE的系统组件;
➢ 对CDE的安全性有影响的系统组件。
PCI DSS安全评估简介_第3张图片

七、PCI DSS的3.2标准要求:共计6大类,12大项,300余子项
PCI DSS安全评估简介_第4张图片
要求1:安装并维护防火墙配置以保护持卡人数据
PCI DSS安全评估简介_第5张图片
要求 2:不要使用供应商提供的默认系统密码和其他安全参数
PCI DSS安全评估简介_第6张图片
要求3:保护存储的持卡人数据
PCI DSS安全评估简介_第7张图片
要求 4:加密持卡人数据在开放式公共网络中的传输
PCI DSS安全评估简介_第8张图片
要求 5:为所有系统提供恶意软件防护并定期更新杀毒软件或程序
PCI DSS安全评估简介_第9张图片
要求 6:开发并维护安全的系统和应用程序
PCI DSS安全评估简介_第10张图片
要求 7:按业务知情需要限制对持卡人数据的访问
PCI DSS安全评估简介_第11张图片
要求 8:识别并验证对系统组件的访问
PCI DSS安全评估简介_第12张图片
要求 9:限制对持卡人数据的物理访问
PCI DSS安全评估简介_第13张图片
要求 10:跟踪并监控对网络资源和持卡人数据的所有访问
PCI DSS安全评估简介_第14张图片
要求 11:定期测试安全系统和流程
PCI DSS安全评估简介_第15张图片
要求 12:维护针对所有工作人员的信息安全政策

PCI DSS安全评估简介_第16张图片

你可能感兴趣的:(PCI DSS安全评估简介)