PCI DSS 合规是什么呢?它包含哪些内容?本文为你详细介绍 PCI DSS 定义、作用等信息。
产生背景
MasterCard、VISA、American Express、Discovery 和 JCB 是目前PCI产业中的五个全球支付品牌。每个品牌都有自己的安全要求,每个品牌所维护的安全策略体系也依然在用。经五个卡品牌协商,为了更好的促进支付卡产业数据安全的发展,把数据保护的相关要求统一维护,成立 PCI 安全标准委员会。
PCI 安全标准委员会作为一家全球性组织,主要负责全球范围内对于数据保护标准的制定和更新、体系的管理、人员和机构的培训、审核机构的授权还有安全意识的教育等等。
什么是 PCI DSS
Payment Card Industry Data Security Standard(PCI DSS),全称为支付卡行业数据安全标准,是由 PCI 安全标准委员会的五个创始成员共同制定,力在使国际上采用一致的数据安全标准。
PCI DSS 适用于所有涉及到支付卡存储、传输和处理的实体,主要包括商户、第三方支付机构、发卡机构和服务提供商等。PCI DSS 包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步提高数据的安全性,降低数据泄露的风险。
适用对象
存储+传输+处理= PCI DSS。这就是说,在支付业务流程当中,但凡涉及到卡数据的存储、传输或者是处理,都需要合规 PCI DSS 标准。这对于许多商户(如:航空公司、酒店、超市、电子商务)来说都是需要特别关注的。
因此,在我们日常工作中,除了金融机构和支付机构需要对系统本身加强保护,越来越多的行业都开始关注卡数据的安全。
尽管 PCI DSS 是作为支付卡数据安全标准,但目前也已经不再局限于支付卡行业,而是更广泛的被借鉴成为数据保护的信息安全标准。
标准的内容
PCI DSS 对于所有涉及信用卡信息机构在持卡人数据的存储、传输和处理方面作出标准的要求,包括防火墙管理、信息安全策略、访问控制、数据传输加密等12项最佳安全实践要求:
以下是对 12 项 PCI DSS 要求的概述:
| 目的 | 内容 |
|---|---|
| 建立和维护一个安全的网络和系统 | 1. 安装并维护防火墙配置,以保护持卡者数据 2. 请勿使用供应商提供的系统密码和其他安全参数的默认设置 |
| 保护持卡者数据 | 3. 保护存储的持卡者数据 4. 在开放公用网络上传输持卡者数据时进行加密 √ |
| 维护漏洞管理程序 | 5. 保护所有系统免受恶意软件攻击,定期更新杀毒软件或程序 6. 开发并维护安全的系统和应用程序 |
| 部署严格的访问控制措施 | 7. 根据企业需要限制对持卡者数据的访问 8. 对系统组件的访问进行识别和身份验证 √ 9. 限制对持卡者数据的物理访问 |
| 定期监控和测试网络 | 10. 跟踪并监控对网络资源和持卡者数据的所有访问 11. 定期测试安全系统和流程 |
| 维护信息安全策略 | 12. 维护旨在为所有人员解决信息安全问题的策略 |
√:可以通过 SSL 数字证书来满足要求。
重要性
持卡人数据的泄露或盗用会影响整个支付卡生态系统:
- 客户突然失去商户或金融机构的信任,个人信用可能会受到负面影响。
- 商家和金融机构失去信用,将承担着无数的金融负债。
遵循 PCI DSS 安全标准,有助于确保全球数以亿计的人每天都在使用健康可靠的支付卡交易。