记录一下PCI DSS标准

携程在手，说走就走  这句话真好

我没做过飞机，没有住过宾馆，携程的漏洞与我无关

不过我从中学到了PCI DSS安全标准，在此记录一下

全称Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业PCI DSS)数据安全标准，是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定，力在使国际上采用一致的数据安全措施，以下简称PCI DSS

PCI DSS对于支付网关的安全方面作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体，包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS包括一组保护持卡人信息的基本要求，并可能增加额外的管控措施，以进一步降低风险

PCI DSS信息安全标准有6大项，12小项，整个PCI安全标准基本就围绕这些项目进行的，正在或准备有意向要做PCI合规审查的组织可以作为参考

• 安全概要

建立并维护安全的网络

1、安装于维护防火墙设定以保护持卡人资料。

2、对于系统密码及其他安全参数，不能使用供应商提供的预设值（默认密码）。

保护持卡人信息

3、保护存储的持卡人资料。

4、加密通过开放的公用网络传输的持卡人资料。

维护漏洞管理程序

5、使用并定期更新杀毒软件或程序。

6、开发并维护安全系统和应用程序。

实施严格的存储控制措施

7、限制为只有业务需要的人才能存取持卡人资料。

8、为具有电脑存取权的每个人指定唯一的ID。

9、限制对持卡人资料的实际存储。

定期监控并测试网络

10、追踪并监控对网络资源及持卡人资料的所有存取。

11、定期测试安全系统和程序。

维护信息安全政策

   12、维护满足所有人员信息安全需求的政策。

注：源自百度百科