支付卡行業(yè) (PCI) 合規(guī)性，最初稱(chēng)為支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 合規(guī)性，是由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)管理的自律行業(yè)行為準(zhǔn)則。PCI 合規(guī)性要求在主要信用卡計(jì)劃下處理品牌信用卡的組織安全地接受、存儲(chǔ)、處理和傳輸持卡人數(shù)據(jù)。 

什么是 PCI 合規(guī)性？

公司需要發(fā)現(xiàn)其系統(tǒng)中存儲(chǔ)、傳輸或處理的敏感數(shù)據(jù)，并保護(hù)其免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)，以遵守 PCI。敏感數(shù)據(jù)發(fā)現(xiàn)軟件可以更輕松地定位這些敏感數(shù)據(jù)，并幫助公司設(shè)置適當(dāng)?shù)拇胧﹣?lái)防止黑客訪(fǎng)問(wèn)它。

織需要以下條件才能符合 PCI 標(biāo)準(zhǔn)：

• PCI合規(guī)的12個(gè)一般要求
• 基于您的業(yè)務(wù)的 78 個(gè)基本要求
• 四百個(gè)測(cè)試程序可確保您的組織符合 PCI 要求（取決于您的業(yè)務(wù)）

PCI 合規(guī)性法規(guī)確?？蛻?hù)和企業(yè)免受數(shù)據(jù)泄露。它適用于所有攜帶信用卡信息的企業(yè)，是每個(gè)組織安全協(xié)議的基石。 

PCI 標(biāo)準(zhǔn)已擴(kuò)展其大綱，包括加密的互聯(lián)網(wǎng)交易，并增加了新的規(guī)則和法規(guī)，以適應(yīng)支付技術(shù)和商業(yè)的最新進(jìn)展。

PCI合規(guī)級(jí)別

四個(gè) PCI 合規(guī)級(jí)別決定了商家每年處理的交易數(shù)量。

• 級(jí)別 1：每年處理超過(guò) 600 萬(wàn)筆卡交易的商戶(hù)。

• 2 級(jí)：每年處理 1 到 600 萬(wàn)筆卡交易的商戶(hù)。

• 3 級(jí)：每年處理 20,000 到 100 萬(wàn)筆卡交易的商戶(hù)。

• 第 4 級(jí)：每年處理少于 20,000 筆卡交易的商戶(hù)。

對(duì)于 PCI 合規(guī)級(jí)別 1 的組織，實(shí)現(xiàn) PCI 合規(guī)包括由合格的安全評(píng)估員 (QSA) 或內(nèi)部安全評(píng)估員 (ISA) 執(zhí)行外部審計(jì)。QSA 或 ISA 進(jìn)行現(xiàn)場(chǎng)評(píng)估以： 

• 驗(yàn)證評(píng)估范圍 
• 審查技術(shù)信息和文件， 
• 確定是否滿(mǎn)足 PCI 要求 
• 在合規(guī)過(guò)程中提供指導(dǎo)和支持 
• 評(píng)估補(bǔ)償控制

成功評(píng)估后，合格的安全評(píng)估員向組織的運(yùn)營(yíng)銀行提交合規(guī)報(bào)告 (RoC) 以證明合規(guī)性。 

PCI 合規(guī)性 2 級(jí)組織還應(yīng)完成 RoC。 

2 至 4 級(jí)組織可以完成自我評(píng)估問(wèn)卷而不是外部審計(jì)來(lái)確定合規(guī)性。 

PCI DSS 合規(guī)性的好處

PCI DSS 合規(guī)性提供了一組法規(guī)和要求，以確保最佳的數(shù)據(jù)機(jī)密性和安全性。

符合 PCI DSS 的一些好處是：

• PCI DSS 合規(guī)性可確保公司資產(chǎn)具有多層安全性。 
• 它收集了不斷變化的威脅和攻擊媒介，使數(shù)據(jù)環(huán)境更加安全。
• PCI DSS 涉及設(shè)置防火墻、SIEM 系統(tǒng)和其他安全基礎(chǔ)設(shè)施，以便在發(fā)生異常情況時(shí)收集威脅情報(bào)。

• PCI 合規(guī)性強(qiáng)調(diào)對(duì)持卡人數(shù)據(jù)進(jìn)行加密，使符合 PCI DSS 的業(yè)務(wù)成為網(wǎng)絡(luò)犯罪分子價(jià)值較低的目標(biāo)。
• PCI 合規(guī)性原則重點(diǎn)關(guān)注在存儲(chǔ)或傳輸時(shí)保護(hù)持卡人數(shù)據(jù)。它強(qiáng)調(diào)通過(guò)適當(dāng)?shù)陌踩A(chǔ)設(shè)施執(zhí)行 PCI 原則，以幫助組織防止數(shù)據(jù)泄露。 
• PCI DSS 合規(guī)性建立和維護(hù)客戶(hù)信任，使數(shù)據(jù)安全無(wú)憂(yōu)。
• PCI 合規(guī)性有助于使企業(yè)在存儲(chǔ)、處理和傳輸持卡人信息方面符合行業(yè)公認(rèn)的標(biāo)準(zhǔn)。 
• PCI DSS 合規(guī)性可幫助組織遵守行業(yè)認(rèn)可的數(shù)據(jù)安全標(biāo)準(zhǔn)。

PCI 合規(guī)性要求

PCI DSS 合規(guī)性要求側(cè)重于實(shí)現(xiàn) PCI 合規(guī)性和保護(hù)持卡人數(shù)據(jù)免遭未經(jīng)授權(quán)的訪(fǎng)問(wèn)。

1.用防火墻保護(hù)公司網(wǎng)絡(luò)

您可以采取的保護(hù)網(wǎng)絡(luò)的步驟：

• 配置防火墻以保護(hù)公司網(wǎng)絡(luò)并根據(jù)組織標(biāo)準(zhǔn)調(diào)節(jié)傳入和傳出流量。
• 使用硬件防火墻和軟件防火墻來(lái)保護(hù)網(wǎng)絡(luò)。
• 為入站和出站流量配置防火墻。如果攻擊者侵入系統(tǒng)，由于出站規(guī)則，他們將很難導(dǎo)出被盜信息。

2. 避免使用默認(rèn)密碼和配置設(shè)置

為了符合 PCI 合規(guī)性的第二個(gè)要求：

• 修改默認(rèn)密碼，實(shí)現(xiàn)系統(tǒng)加固和系統(tǒng)配置管理。
• 解決系統(tǒng)中的所有漏洞，修復(fù)并報(bào)告它們，并確保系統(tǒng)強(qiáng)化標(biāo)準(zhǔn)符合行業(yè)最佳實(shí)踐。
• 采用系統(tǒng)管理軟件，它是一個(gè)完整的軟件包，用于監(jiān)控、掃描和配置設(shè)備和系統(tǒng)強(qiáng)化選項(xiàng)。
• 驗(yàn)證系統(tǒng)強(qiáng)化標(biāo)準(zhǔn)是否在新設(shè)備和應(yīng)用程序引入系統(tǒng)環(huán)境時(shí)安全實(shí)施。

3. 保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)免遭未經(jīng)授權(quán)的訪(fǎng)問(wèn)

采取以下措施保護(hù)持卡人數(shù)據(jù)免遭未經(jīng)授權(quán)的訪(fǎng)問(wèn)：

• 使用強(qiáng)大且行業(yè)認(rèn)可的加密標(biāo)準(zhǔn)（如 AES-256）對(duì)持卡人數(shù)據(jù)進(jìn)行加密。
• 確保系統(tǒng)以加密格式存儲(chǔ)持卡人的機(jī)密詳細(xì)信息。
• 創(chuàng)建并記錄持卡人數(shù)據(jù) (CHD) 流程圖。它是組織內(nèi)數(shù)據(jù)流的圖形表示。
• 使用敏感數(shù)據(jù)發(fā)現(xiàn)工具在公司系統(tǒng)中查找敏感信息（如社會(huì)安全號(hào)碼）以對(duì)其進(jìn)行加密或刪除。

4. 加密跨開(kāi)放公共網(wǎng)絡(luò)的持卡人數(shù)據(jù)傳輸

考慮以下因素來(lái)加密跨開(kāi)放或公共網(wǎng)絡(luò)的持卡人數(shù)據(jù)傳輸：

• 確定數(shù)據(jù)的傳輸方式和位置。跟蹤發(fā)送類(lèi)似詳細(xì)信息的所有區(qū)域。
• 從安全套接字層 (SSL) 和早期版本的傳輸層安全 (TLS) 過(guò)渡到更安全的 TLS 版本。
• 檢查網(wǎng)關(guān)、終端提供商、服務(wù)提供商和銀行，看看他們是否對(duì)交易應(yīng)用程序使用更新的加密。

5.使用更新版本的殺毒軟件

采取以下措施以符合第五條 PCI DSS 要求。

• 使用防病毒軟件并防止系統(tǒng)受到已知惡意軟件的攻擊。
• 定期更新防病毒軟件。
• 收集有關(guān)新興惡意軟件及其滲透公司系統(tǒng)的不同方式的信息。
• 配置系統(tǒng)和設(shè)計(jì)流程以在系統(tǒng)環(huán)境中發(fā)生任何惡意活動(dòng)時(shí)發(fā)出警報(bào)。
• 運(yùn)行定期惡意軟件掃描，以確保您有一個(gè)旨在實(shí)施它的流程。

6. 開(kāi)發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序

練習(xí)以下方法來(lái)開(kāi)發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序：

• 使用軟件提供商發(fā)布的最新補(bǔ)丁修補(bǔ)安全漏洞。
• 在對(duì)卡數(shù)據(jù)流至關(guān)重要的應(yīng)用程序和系統(tǒng)中安裝最新的安全更新和修補(bǔ)漏洞。
• 在發(fā)布后一個(gè)月內(nèi)安裝關(guān)鍵補(bǔ)丁以確保合規(guī)性
• 補(bǔ)丁發(fā)布后，積極主動(dòng)地管理和實(shí)施補(bǔ)丁。

7. 限制業(yè)務(wù)需要知道的對(duì)持卡人數(shù)據(jù)的訪(fǎng)問(wèn)

考慮以下限制對(duì)持卡人數(shù)據(jù)的訪(fǎng)問(wèn)：

• 通過(guò)實(shí)施基于角色的訪(fǎng)問(wèn)控制 (RBAC) 系統(tǒng)來(lái)確保對(duì)持卡人數(shù)據(jù)的嚴(yán)格訪(fǎng)問(wèn)控制，該系統(tǒng)在需要知道的基礎(chǔ)上授予對(duì)持卡人詳細(xì)信息的訪(fǎng)問(wèn)權(quán)限。
• 避免創(chuàng)建群組用戶(hù)或與其他用戶(hù)共享公共用戶(hù)帳戶(hù)。跟蹤數(shù)據(jù)泄露將是一項(xiàng)挑戰(zhàn)。`

8. 為每個(gè)有計(jì)算機(jī)訪(fǎng)問(wèn)權(quán)限的人分配一個(gè)唯一的 ID

采取以下步驟以符合 PCI DSS 要求的第八項(xiàng)要求：

• 為每個(gè)具有計(jì)算機(jī)訪(fǎng)問(wèn)權(quán)限的用戶(hù)分配一個(gè)唯一 ID，并創(chuàng)建強(qiáng)密碼以防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)。 
• 在保護(hù)用戶(hù)帳戶(hù)時(shí)創(chuàng)建多層安全性。
• 使用多因素身份驗(yàn)證解決方案來(lái)提供額外的防御層并保護(hù)您的系統(tǒng)免受攻擊者的侵害。

9. 限制對(duì)工作場(chǎng)所和持卡人數(shù)據(jù)的物理訪(fǎng)問(wèn)

遵守 PCI DSS 的第九條要求需要考慮的重要事項(xiàng)：

• 限制員工訪(fǎng)問(wèn)存儲(chǔ)有持卡人數(shù)據(jù)的區(qū)域。
• 記錄可以訪(fǎng)問(wèn)安全環(huán)境的員工以及需要訪(fǎng)問(wèn)權(quán)限的員工。列出所有授權(quán)的設(shè)備用戶(hù)、不允許使用設(shè)備的位置以及設(shè)備當(dāng)前所在的位置。請(qǐng)注意可以在設(shè)備上訪(fǎng)問(wèn)的所有應(yīng)用程序。記錄使用設(shè)備的內(nèi)容、地點(diǎn)、時(shí)間和原因。
• 區(qū)分組織中的員工和訪(fǎng)客，并使用方法監(jiān)控有權(quán)訪(fǎng)問(wèn)安全環(huán)境的人員。
• 確保刪除用戶(hù)的訪(fǎng)問(wèn)權(quán)限，并在員工離職時(shí)禁用或退回鑰匙和訪(fǎng)問(wèn)卡等物理訪(fǎng)問(wèn)機(jī)制。

10. 跟蹤和監(jiān)控對(duì)返工資源和持卡人數(shù)據(jù)的訪(fǎng)問(wèn)

在跟蹤和監(jiān)控對(duì)網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的訪(fǎng)問(wèn)時(shí)要考慮的關(guān)鍵點(diǎn)：

• 實(shí)施和維護(hù)一個(gè)日志系統(tǒng)，以查看所有日志并在發(fā)生異常時(shí)獲得警報(bào)。 
• 每天至少檢查一次系統(tǒng)事件日志，以識(shí)別模式、收集威脅情報(bào)并檢測(cè)與預(yù)期趨勢(shì)相矛盾的行為。
• 使用安全信息和事件管理 (SIEM) 解決方案來(lái)構(gòu)建和管理集中式日志收集系統(tǒng)、監(jiān)控和檢查。

11.定期測(cè)試安全系統(tǒng)和流程

請(qǐng)遵循以下提到的做法，以符合 PCI DSS 的第十一條要求。

• 進(jìn)行頻繁的漏洞掃描以確定安全漏洞是否已成功修補(bǔ)。
• 使用 PCI 批準(zhǔn)的掃描供應(yīng)商 (ASV) 對(duì)持卡人數(shù)據(jù)環(huán)境中暴露的所有外部 IP 和域執(zhí)行季度漏洞掃描。
• 定期進(jìn)行滲透測(cè)試，以確定黑客利用漏洞的不同方式，以安全地配置您的安全系統(tǒng)并保護(hù)數(shù)據(jù)免受類(lèi)似惡意策略的侵害。（滲透測(cè)試頻率取決于您的自我評(píng)估問(wèn)卷 (SAQ)、環(huán)境、規(guī)模、程序和其他因素）。

12. 風(fēng)險(xiǎn)評(píng)估和文件

采用以下做法以符合 PCI DSS 合規(guī)性的最終要求：

• 記錄與組織的信息安全實(shí)踐相關(guān)的所有政策、程序和證據(jù)。
• 評(píng)估正式風(fēng)險(xiǎn)和年度風(fēng)險(xiǎn)，以確定關(guān)鍵威脅、漏洞和相關(guān)風(fēng)險(xiǎn)。