没有合适的资源?快使用搜索试试~ 我知道了~
首页PCI-DSS支付卡行业数据安全标准
PCI-DSS支付卡行业数据安全标准
2星 需积分: 17 20 下载量 32 浏览量
更新于2023-03-16
评论
收藏 2.87MB DOC 举报
系统介绍PCI-DSS的应用环境及具体策略要求。在网络安全相关标准配置要求。
资源详情
资源评论
资源推荐
支付卡行业 (PCI)
数据安全标准
要求和安全评估程序
版本1.2
2008 年 10 月
PCI DSS
要求和安全评估程序,
v1.2
2008 PCI
安全标准委员会版权所有
2008
年
10 月
第
1
页
目录
引言和
PCI
数据安全标准概述
.................................................................................................................................................................
3
PCI DSS
适用性信息
................................................................................................................................................................................
4
PCI DSS
要求合规性的评估范围
.............................................................................................................................................................. 5
网络分段
.................................................................................................................................................................................................................... 5
无 线
...........................................................................................................................................................................................................................
5
第三方
/
外包
..............................................................................................................................................................................................................
6
业 务 场 所 和 系 统 组 件 抽 样
.......................................................................................................................................................................................... 6
补偿性控制
................................................................................................................................................................................................................ 7
合规性报告的说明与内容
......................................................................................................................................................................... 8
报告内容和格式
.........................................................................................................................................................................................................
8
未清项的再验证
.......................................................................................................................................................................................................
10
PCI DSS
合规
-
完成步骤
........................................................................................................................................................................................ 10
详细的
PCI DSS
要求和安全评估程序
...................................................................................................................................................
11
构建并维护安全的网络............................................................................................................................................................................................... 12
要求
1
:安装并维护防火墙配置,以保护持卡人数据
............................................................................................................................................. 12
要求
2
:系统密码和其他安全参数不使用供应商提供的默认设置
........................................................................................................................... 15
保护持卡人数据 .........................................................................................................................................................................................................
17
要求
3
:保护存储的持卡人数据
..............................................................................................................................................................................
17
要求
4
:在开放型的公共网络中传输持卡人数据时会加密
...................................................................................................................................... 22
维护漏洞管理程序......................................................................................................................................................................................................
23
要求
5
:使用并定期更新杀毒软件或程序
................................................................................................................................................................
23
要求
6
:开发、维护安全系统和应用程序
................................................................................................................................................................
24 执行严格的访问控制措施..........................................................................................................................................................................................
29
要求
7
:限制为只有业务需要知道的人才能访问持卡人数据
...................................................................................................................................
29
要求
8
:为每位拥有计算机访问权限的用户分配唯一的
ID
。
..................................................................................................................................
30
要求
9
:限制对持卡人数据的物理访问。
................................................................................................................................................................ 34
定期监控网络和测试网络...........................................................................................................................................................................................
37
要求
10
:跟踪和监控访问网络资源和持卡人数据的所有操作。
.............................................................................................................................
37
要求
11
:定期测试安全系统和流程。
.....................................................................................................................................................................
40 维护信息安全政策.....................................................................................................................................................................................................
42
要求
12
:维护针对雇员和承包商信息安全的政策。
...............................................................................................................................................
42
PCI DSS
要求和安全评估程序,
v1.2
2008 PCI
安全标准委员会版权所有
2008
年
10 月
第
2
页
附录
A:
针对共享主机提供商的额外
PCI DSS
要求
........................................................................................................................ 47
附录
B:
补偿性控制
......................................................................................................................................................................... 49
附录 C:
补偿性控制工作表
............................................................................................................................................................... 50
附录 D:
遵从性证明书
—
商户
......................................................................................................................................................... 52
附录 E:
遵从性证明书
—
服务提供商
.............................................................................................................................................. 56
附录 F: PCI DSS
检查
-
界定和选择样品
........................................................................................................................................ 60
PCI DSS
要求和安全评估程序,
v1.2
2008 PCI
安全标准委员会版权所有
2008
年
10 月
第
3
页
引言和 PCI 数据安全标准概述
制定支付卡行业 (PCI) 数据安全标准 (DSS) 以促进并提高持卡人数据安全,有利于全球广泛采用统一的数据安全标准。本文档(PCI 数据安全标准
要求和安全评估程序
)将
12 条 PCI DSS 要求作为基础,并将这些要求与相应的测试程序融入到安全评估工具中。此标准的设计目的是供评估者使
用,以对必须验证 PCI DSS 合规性的商家和服务提供商进行现场评估。以下是 12 条 PCI DSS 要求的高级概述。接下来几页介绍了准备、实施和报
告 PCI DSS 评估的背景,详细的 PCI DSS 要求将从第 13 页开始。
PCI DSS
要求和安全评估程序,
v1.2
2008 PCI
安全标准委员会版权所有
2008
年
10 月
第
4
页
PCI DSS 适用性信息
下表描述了持卡人和敏感认证数据的常用元素,无论是允许还是禁止每个数据元素的存储,或者是必须保护每个数据元素。此表并非十分详尽,但
足以说明应用到各数据元素的不同类型的要求。
数据元素 允许存储 需要保护
PCI DSS
要求
3.4
持卡人数据
主账户
(PAN)
是 是 是
持卡人姓名
1
是 是
1
否
业务代码
1
是 是
1
否
失效日
1
是 是
1
否
敏感认证数据
2
完整磁条数据
3
否 不存在 不存在
CAV2/CVC2/CVV2/CID
否 不存在 不存在
PIN/PIN
数据块
否 不存在 不存在
1
这些数据元素如果连同
PAN
一起存储,则必须对其进行保护。该保护措施应当符合
PCI DSS
对持卡人数据环境一般保护的相关要求。此外,如果在业务过程中
收集与消费者相关的个人数据,其他立法(例如,与消费者个人数据保护、隐私、身份盗窃或数据安全有关的法律)可能要求对此类数据进行特别保护,或要求 对
公司操作进行适当披露。然而,如果不对
PAN
进行存储、处理或传输,则
PCI DSS 不适用。
2
敏感认证数据不应在认证后存储(即便是经过加密的)。
3
来自磁条、芯片上的磁条图形或其他地方的全磁道数据。
剩余60页未读,继续阅读
sikiou
- 粉丝: 0
- 资源: 8
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- RTL8188FU-Linux-v5.7.4.2-36687.20200602.tar(20765).gz
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
- SPC统计方法基础知识.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论2