PCI-DSS評估及認(rèn)證咨詢
來源: 發(fā)布日期:2015.02.09 點擊量:
一�、 PCI DSS標(biāo)準(zhǔn)介紹
支付卡行業(yè)(Payment Card Industry (PCI))數(shù)據(jù)安全標(biāo)準(zhǔn) (Data Security Standard(DSS)) 是一組全面的要求,旨在確保持卡人的信用卡和借記卡信息保持安全��,而不管這些信息是在何處以何種方法收集����、處理�、傳輸和存儲。
PCI DSS 由 PCI 安全標(biāo)準(zhǔn)委員會的創(chuàng)始成員(包括 American Express��、Discover Financial Services�����、JCB、MasterCard Worldwide 和 Visa International)制定�,旨在鼓勵國際上采用一致的數(shù)據(jù)安全措施。
PCI DSS 中的要求是針對在日常運(yùn)營期間需要處理持卡人數(shù)據(jù)的公司和機(jī)構(gòu)提出的��。具體而言���,PCI DSS 對在整個營業(yè)日中處理持卡人數(shù)據(jù)的金融機(jī)構(gòu)����、貿(mào)易商和服務(wù)提供商提出了要求��。PCI DSS 包括有關(guān)安全管理�����、策略��、過程�、網(wǎng)絡(luò)體系結(jié)構(gòu)、軟件設(shè)計的要求的列表�,以及用來保護(hù)持卡人數(shù)據(jù)的其他措施。
二����、 PCI-DSS要求范圍
PCI-DSS安全要求適用于持卡人數(shù)據(jù)環(huán)境中包含或與之連接的所有系統(tǒng)組件�����。持卡人數(shù)據(jù)環(huán)境(CDE)包含存儲�、處理或傳輸持卡人數(shù)據(jù)或敏感驗證數(shù)據(jù)的人員�����、流程和技術(shù)�����。系統(tǒng)組件包括網(wǎng)絡(luò)設(shè)備��、服務(wù)器����、計算設(shè)備和應(yīng)用程序,系統(tǒng)組件包括但不限于:
提供安全服務(wù)����、方便分段或可能影響CDE安全性的系統(tǒng)�;
虛擬化組件,例如虛擬機(jī)、虛擬交換機(jī)/路由器����、虛擬設(shè)備、虛擬應(yīng)用該程序/桌面和虛擬機(jī)監(jiān)控程序�。
網(wǎng)絡(luò)組件,包括但不限于防火墻��、交換機(jī)����、路由器、無線接入點���、網(wǎng)絡(luò)設(shè)備和其他安全設(shè)備��;
服務(wù)器類型��,包括但不限于WEB���、應(yīng)用程序、數(shù)據(jù)庫�、驗證、郵件�����、代理、網(wǎng)絡(luò)事件協(xié)議(NTP)和域名系統(tǒng)(DNS)���;
應(yīng)用程序�����,包括所有購買和自定義的應(yīng)用程序以及內(nèi)部和外部應(yīng)用程序�;
位于CDE內(nèi)或連接到CDE的任何其他組件或設(shè)備���;
PCI DSS評估的第一步是準(zhǔn)確確定審核范圍��。評估至少每年進(jìn)行一次�,接受評估的實體應(yīng)在年度評估前查找持卡人數(shù)據(jù)的所有位置和數(shù)據(jù)流并確保其包含在PCI-DSS的范圍內(nèi)��,從而確定實體PCI-DSS范圍的準(zhǔn)確性�、適應(yīng)性。
三����、 PCI-DSS控制要求
PCI DSS包括6個控制域,12個控制目標(biāo)�����,對支付卡行業(yè)中持卡人數(shù)據(jù)的存儲����、處理、傳輸?shù)冗^程進(jìn)行嚴(yán)格控制�,以保護(hù)持卡人數(shù)據(jù)信息不被泄露:
相關(guān)客戶案例:
